Google Cloud環境への接続
接続とリソースの作成および管理では、接続を作成するウィザードについて説明しています。以下の情報は、Google Cloud環境に固有の詳細を扱います。
注:
Google Cloud環境への接続を作成する前に、まずGoogle Cloudアカウントをリソースの場所として設定を完了する必要があります。Google Cloud環境を参照してください。
接続の追加
接続とリソースの作成のガイダンスに従ってください。以下の説明は、ホスティング接続の設定方法を案内します。
-
管理 > 構成から、左ペインで ホスティング を選択します。
-
アクションバーで 接続とリソースの追加 を選択します。
-
接続 ページで、新しい接続の作成 と Citrix Provisioning™ツール を選択し、次へ を選択します。
- 接続の種類。メニューから Google Cloud を選択します。
- 接続名。接続の名前を入力します。
-
リージョン ページで、メニューからプロジェクト名を選択し、使用するリソースを含むリージョンを選択して、次へ を選択します。
-
ネットワーク ページで、リソースの名前を入力し、メニューから仮想ネットワークを選択し、サブネットを選択して、次へ を選択します。リソース名は、リージョンとネットワークの組み合わせを識別するのに役立ちます。名前に (Shared) サフィックスが付いている仮想ネットワークは、共有VPCを表します。共有VPCのサブネットレベルのIAMロールを構成した場合、共有VPCの特定のサブネットのみがサブネットリストに表示されます。
注:
- リソース名は1~64文字で構成でき、空白のみ、または文字
\ / ; : # . * ? = < > | [ ] { } " ' ( ) ' )を含めることはできません。
- リソース名は1~64文字で構成でき、空白のみ、または文字
-
概要 ページで情報を確認し、完了 を選択して 接続とリソースの追加 ウィンドウを終了します。
接続とリソースを作成すると、作成した接続とリソースが一覧表示されます。接続を構成するには、接続を選択し、アクションバーで該当するオプションを選択します。
同様に、接続の下に作成されたリソースを削除、名前変更、またはテストできます。これを行うには、接続の下のリソースを選択し、アクションバーで該当するオプションを選択します。
サービスエンドポイントURL
以下のURLにアクセスできる必要があります。
https://oauth2.googleapis.comhttps://cloudresourcemanager.googleapis.comhttps://compute.googleapis.comhttps://storage.googleapis.comhttps://cloudbuild.googleapis.com
Google Cloudプロジェクト
Google Cloudプロジェクトには基本的に2つの種類があります。
- プロビジョニングプロジェクト:この場合、現在の管理者アカウントがプロジェクト内のプロビジョニングされたマシンを所有します。このプロジェクトはローカルプロジェクトとも呼ばれます。
- 共有VPCプロジェクト:プロビジョニングプロジェクトで作成されたマシンが、共有VPCプロジェクトのVPCを使用するプロジェクト。プロビジョニングプロジェクトに使用される管理者アカウントは、このプロジェクトで限られた権限、具体的にはVPCを使用する権限のみを持ちます。
GCP管理トラフィックのセキュアな環境の作成
Google CloudプロジェクトへのプライベートGoogleアクセスを許可できます。この実装により、機密データを処理するためのセキュリティが強化されます。これを実現するには、次のいずれかを実行できます。
-
Cloud BuildサービスアカウントのVPCサービスコントロールの以下のイングレスルールを含めます。この手順を実行する場合、GCP管理トラフィックのセキュアな環境を作成するための以下の手順は実行しないでください。
Ingress Rule 1 From: Identities: <ProjectID>@cloudbuild.gserviceaccount.com Source > All sources allowed To: Projects = All projects Services = Service name: All services <!--NeedCopy--> -
プライベートワーカープールを使用している場合は、
UsePrivateWorkerPoolをCustomPropertiesに追加します。プライベートワーカープールの詳細については、プライベートプール概要を参照してください。
GCP管理トラフィックのセキュアな環境を作成するための要件
GCP管理トラフィックのセキュアな環境を作成するための要件は次のとおりです。
- カスタムプロパティを更新する際は、ホスティング接続がメンテナンスモードであることを確認します。
- プライベートワーカープールを使用するには、以下の変更が必要です。
- Citrix Cloud™サービスアカウントに、以下のIAMロールを追加します。
- Cloud Buildサービスアカウント
- Compute Instance Admin
- Service Account User
- Service Account Token Creator
- Cloud Build WorkerPool Owner
- ホスティング接続の作成に使用するのと同じプロジェクトにCitrix Cloudサービスアカウントを作成します。
-
DNS構成で説明されているように、
private.googleapis.comおよびgcr.ioのDNSゾーンを設定します。
-
プライベートネットワークアドレス変換(NAT)を設定するか、プライベートサービス接続を使用します。詳細については、エンドポイントを介したGoogle APIへのアクセスを参照してください。
-
ピアリングされたVPCを使用している場合は、ピアリングされたVPCへのCloud DNSゾーンピアリングを作成します。詳細については、ピアリングゾーンの作成を参照してください。
-
VPCサービスコントロールで、APIとVMがインターネットと通信できるようにエグレスルールを設定します。イングレスルールはオプションです。例:
Egress Rule 1 From: Identities:ANY_IDENTITY To: Projects = All projects Service = Service name: All services <!--NeedCopy-->
- Citrix Cloud™サービスアカウントに、以下のIAMロールを追加します。
プライベートワーカープールの有効化
プライベートワーカープールを有効にするには、ホスト接続でカスタムプロパティを次のように設定します。
- Delivery Controller™ホストまたはリモートPowerShellからPowerShellウィンドウを開きます。リモートPowerShell SDKの詳細については、SDKとAPIを参照してください。
-
次のコマンドを実行します。
Add-PSSnapin citrix®*cd XDHyp:\Connections\dir
- 接続から
CustomPropertiesをメモ帳にコピーします。 -
プロパティ設定
<Property xsi:type="StringProperty" Name="UsePrivateWorkerPool" Value="True"/>を追加します。例:``` <CustomProperties xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://schemas.citrix.com/2014/xd/machinecreation"> <Property xsi:type="StringProperty" Name="UsePrivateWorkerPool" Value="True"/> </CustomProperties> <!--NeedCopy--> ``` - PowerShellウィンドウで、変更されたカスタムプロパティを変数に割り当てます。例:
$customProperty = '<CustomProperties…</CustomProperties>'。 -
$gcpServiceAccount = "<ENTER YOUR SERVICE ACCOUNT EMAIL HERE>"を実行します。 -
$gcpPrivateKey = "<ENTER YOUR SERVICE ACCOUNT PRIVATE KEY HERE AFTER REMOVING ALL INSTANCES OF \n >"を実行します。 -
$securePassword = ConvertTo-SecureString $gcpPrivateKey -AsPlainText -Forceを実行します。 -
既存のホスト接続を更新するには、以下を実行します。
Set-Item -PassThru -Path @('XDHyp:\\Connections\\<ENTER YOUR CONNECTION NAME HERE>') -SecurePassword $securePassword -UserName $gcpServiceAccount -CustomProperties $customProperty <!--NeedCopy-->
CMEKグローバルキーとリージョンキーの指定
注:
GCPでのCMEKのサポートは現在プレビュー中です。
GCPには、顧客管理の暗号化キー(CMEK)が2種類あります。
- リージョン:同じリージョン内のリソースのみが使用できる暗号化キー。
- グローバル:複数のリージョンからのリソースが使用できる暗号化キー。
サービスアカウントがアクセスできるすべてのプロジェクトから、グローバルまたはリージョンの顧客管理暗号化キー(CMEK)を参照して使用できます。その後、そのキーを使用してCMEK対応MCSマシンカタログを作成し、Set-ProvSchemeコマンドを使用して既存のCMEK対応MCSマシンカタログを更新できます。PowerShellを使用してCMEK対応カタログを作成する方法については、カスタムプロパティを使用したCMEKによるカタログの作成を参照してください。
この機能には、以下の2つのサービスアカウントに対する追加の権限が必要です。
- ホスティング接続が作成されている現在のプロジェクトのサービスアカウント。
- 現在のプロジェクトのCompute Engineサービスエージェント(メールアドレス:
service-PROJECT_NUMBER@compute-system.iam.gserviceaccount.com)。詳細については、Compute Engineサービスアカウントを参照してください。
サービスアカウントでは、使用したい暗号キーを持つプロジェクト(例:共有プロジェクト)で以下のロールを割り当てる必要があります。
- Cloud KMS Viewer
- Cloud KMS CryptoKey Encrypter/Decrypter
ロールを割り当てない場合は、以下の権限があることを確認してください。
- resourcemanager.projects.get
- cloudkms.keyRings.list
- cloudkms.keyRings.get
- cloudkms.cryptoKeys.get
- cloudkms.cryptoKeys.list
- cloudkms.cryptoKeyVersions.useToDecrypt
- cloudkms.cryptoKeyVersions.useToEncrypt
暗号化キーのリスト
PowerShellコマンドを使用して、同じプロジェクト内およびアクセス可能な他のすべてのプロジェクト内のグローバルおよびリージョンの暗号化キーをリストできます。これを行うには:
- Delivery Controller™ホストまたはリモートPowerShellからPowerShellウィンドウを開きます。
-
asnp citrix*コマンドを実行して、Citrix固有のPowerShellモジュールをロードします。 -
暗号化キーをリストするには、次のコマンドを実行します。例:
-
encryptionKeysフォルダーの内容をリストするには:Get-ChildItem XDHyp:\HostingUnits\my-hostingunit\encryptionKeys.folder <!--NeedCopy--> -
同じプロジェクト内のグローバル暗号化キーを取得するには:
Get-Item XDHyp:\HostingUnits\my-hostingunit\encryptionKeys.folder\myglobalkeyring.globalkeyring\myglobalkey.cryptokey <!--NeedCopy-->
-
-
同じプロジェクト内でリージョン暗号化キーを取得するには:
Get-Item XDHyp:\HostingUnits\my-hostingunit\encryptionKeys.folder\regional-ring.keyring\shared-key.cryptokey <!--NeedCopy--> -
アクセス可能な別のプロジェクト (例: myanotherproject) からグローバル暗号化キーを取得するには:
Get-Item XDHyp:\HostingUnits\my-hostingunit\encryptionKeys.folder\myanotherproject.project\shared-global-ring.globalkeyring\shared-key.cryptokey <!--NeedCopy--> -
アクセス可能な別のプロジェクト (例: myanotherproject) からリージョン暗号化キーを取得するには:
Get-Item XDHyp:\HostingUnits\my-hostingunit\encryptionKeys.folder\myanotherproject .project.project\shared-uscentral.keyring\shared-uscentral-key.cryptokey <!--NeedCopy-->
注:
- グローバルキーリングのキーリングインベントリアイテムの拡張子は
.globalkeyringです。- グローバルキーリングのIDには
globalという単語が含まれています。
必要なGCP権限
このセクションには、GCP権限の完全なリストが含まれています。機能が正しく動作するように、このセクションに記載されている権限の完全なセットを使用してください。
注:
GCPは、2024年4月29日以降、Cloud Build Servicesのデフォルトの動作とサービスアカウントの使用に変更を導入しています。詳細については、Cloud Build Service Account Changeを参照してください。2024年4月29日より前にCloud Build APIが有効になっている既存のGoogleプロジェクトは、この変更の影響を受けません。ただし、4月29日以降も既存のCloud Build Serviceの動作を維持したい場合は、APIを有効にする前に、組織ポリシーを作成または適用して制約の適用を無効にすることができます。新しい組織ポリシーを設定した場合、このセクションの既存の権限と、Cloud Build Service Account変更前とマークされている項目を引き続き使用できます。そうでない場合は、既存の権限と、Cloud Build Service Account変更後とマークされている項目に従ってください。
ホスト接続の作成
-
プロビジョニングプロジェクトにおけるCitrix Cloudサービスアカウントに必要な最小限の権限:
compute.instanceTemplates.list compute.instances.list compute.networks.list compute.projects.get compute.regions.list compute.subnetworks.list compute.zones.list resourcemanager.projects.get <!--NeedCopy-->上記の権限を持つGoogle定義のロールは次のとおりです:
- Compute Admin
- Cloud Datastore User
-
共有VPCプロジェクトにおけるCitrix Cloudサービスアカウントの共有VPCに必要な追加権限:
compute.networks.list compute.subnetworks.list resourcemanager.projects.get <!--NeedCopy-->上記の権限を持つGoogle定義のロールは次のとおりです:
- Compute Network User
-
サービスアカウントでは、使用したい暗号キーを持つプロジェクト (例: 共有プロジェクト) に次のロールを割り当てる必要があります:
- Cloud KMS Viewer
- Cloud KMS CryptoKey Encrypter/Decrypter
ロールを割り当てない場合は、次の権限があることを確認してください:
- resourcemanager.projects.get
- cloudkms.keyRings.list
- cloudkms.keyRings.get
- cloudkms.cryptoKeys.get
- cloudkms.cryptoKeys.list
- cloudkms.cryptoKeyVersions.useToDecrypt
- cloudkms.cryptoKeyVersions.useToEncrypt
VMの電源管理
電源管理のみのカタログの場合、プロビジョニングプロジェクトにおけるCitrix Cloudサービスアカウントに必要な最小限の権限:
compute.instanceTemplates.list
compute.instances.list
compute.instances.get
compute.instances.reset
compute.instances.resume
compute.instances.start
compute.instances.stop
compute.instances.suspend
compute.networks.list
compute.projects.get
compute.regions.list
compute.subnetworks.list
compute.zones.list
resourcemanager.projects.get
compute.zoneOperations.get
<!--NeedCopy-->
上記の権限を持つGoogle定義のロールは次のとおりです:
- Compute Admin
- Cloud Datastore User
VMの作成、更新、または削除
-
プロビジョニングプロジェクトにおけるCitrix Cloudサービスアカウントに必要な最小限の権限:
cloudbuild.builds.create cloudbuild.builds.get cloudbuild.builds.list compute.acceleratorTypes.list compute.diskTypes.get compute.diskTypes.list compute.disks.create compute.disks.createSnapshot compute.disks.delete compute.disks.get compute.disks.list compute.disks.setLabels compute.disks.use compute.disks.useReadOnly compute.firewalls.create compute.firewalls.delete compute.firewalls.list compute.globalOperations.get compute.images.create compute.images.delete compute.images.get compute.images.list compute.images.setLabels compute.images.useReadOnly compute.instanceTemplates.create compute.instanceTemplates.delete compute.instanceTemplates.get compute.instanceTemplates.list compute.instanceTemplates.useReadOnly compute.instances.attachDisk compute.instances.create compute.instances.delete compute.instances.detachDisk compute.instances.get compute.instances.getSerialPortOutput compute.instances.list compute.instances.reset compute.instances.resume compute.instances.setDeletionProtection compute.instances.setLabels compute.instances.setMetadata compute.instances.setServiceAccount compute.instances.setTags compute.instances.start compute.instances.stop compute.instances.suspend compute.machineTypes.get compute.machineTypes.list compute.networks.list compute.networks.updatePolicy compute.nodeGroups.list compute.nodeTemplates.get compute.projects.get compute.regions.list compute.snapshots.create compute.snapshots.delete compute.snapshots.list compute.snapshots.get compute.snapshots.setLabels compute.snapshots.useReadOnly compute.subnetworks.get compute.subnetworks.list compute.subnetworks.use compute.zoneOperations.get compute.zoneOperations.list compute.zones.get compute.zones.list iam.serviceAccounts.actAs resourcemanager.projects.get storage.buckets.create storage.buckets.delete storage.buckets.get storage.buckets.list storage.buckets.update storage.objects.create storage.objects.delete storage.objects.get storage.objects.list compute.networks.get compute.resourcePolicies.use <!--NeedCopy-->上記の権限を持つGoogle定義のロールは次のとおりです:
- Compute Admin
- Storage Admin
- Cloud Build Editor
- Service Account User
- Cloud Datastore User
-
共有VPCプロジェクトからVPCとサブネットワークを使用してホスティングユニットを作成するために、共有VPCプロジェクトにおけるCitrix Cloudサービスアカウントの共有VPCに必要な追加権限:
compute.firewalls.list compute.networks.list compute.projects.get compute.regions.list compute.subnetworks.get compute.subnetworks.list compute.subnetworks.use compute.zones.list resourcemanager.projects.get <!--NeedCopy-->上記の権限を持つGoogle定義のロールは次のとおりです:
- Compute Network User
- Cloud Datastore User
準備指示ディスクをMCSにダウンロードする際に必要な最小限の権限:
- (Cloud Buildサービスアカウント変更前): これらの権限をプロビジョニングプロジェクトのCloud Buildサービスアカウントに割り当てます。
- (Cloud Buildサービスアカウント変更後): これらの権限をプロビジョニングプロジェクトのCloud Computeサービスアカウントに割り当てます。
compute.disks.create compute.disks.delete compute.disks.get compute.disks.list compute.disks.setLabels compute.disks.use compute.disks.useReadOnly compute.images.get compute.images.list compute.images.useReadOnly compute.instances.create compute.instances.delete compute.instances.get compute.instances.getSerialPortOutput compute.instances.list compute.instances.setLabels compute.instances.setMetadata compute.instances.setServiceAccount compute.machineTypes.list compute.networks.get compute.networks.list compute.projects.get compute.subnetworks.list compute.subnetworks.use compute.subnetworks.useExternalIp compute.zoneOperations.get compute.zones.list iam.serviceAccounts.actAs logging.logEntries.create pubsub.topics.publish resourcemanager.projects.get source.repos.get source.repos.list storage.buckets.create storage.buckets.get storage.buckets.list storage.objects.create storage.objects.delete storage.objects.get storage.objects.list <!--NeedCopy-->上記の権限を持つGoogle定義のロールは次のとおりです:
- Cloud Buildサービスアカウント (Cloud Buildサービスアカウント変更後はCloud Computeサービスアカウント)
- Compute Instance Admin
- Service Account User
-
準備指示ディスクをMCSにダウンロードする際にGoogle Cloud BuildサービスによってプロビジョニングプロジェクトのCloud Computeサービスアカウントに必要とされる最小限の権限:
resourcemanager.projects.get storage.objects.create storage.objects.get storage.objects.list <!--NeedCopy-->上記の権限を持つGoogle定義のロールは次のとおりです:
- Compute Network User
- Storage Account User
- Cloud Datastore User
準備指示ディスクをMCSにダウンロードする際に共有VPCに必要な追加権限:
- (Cloud Buildサービスアカウント変更前): これらの権限をプロビジョニングプロジェクトのCloud Buildサービスアカウントに割り当てます。
- (Cloud Buildサービスアカウント変更後): これらの権限をプロビジョニングプロジェクトのCloud Computeサービスアカウントに割り当てます。
compute.firewalls.list compute.networks.list compute.subnetworks.list compute.subnetworks.use resourcemanager.projects.get <!--NeedCopy-->上記の権限を持つGoogle定義のロールは次のとおりです:
- Compute Network User
- Storage Account User
- Cloud Datastore User
-
プロビジョニングプロジェクトにおけるCitrix CloudサービスアカウントのCloud Key Management Service (KMS) に必要な追加権限:
cloudkms.cryptoKeys.get cloudkms.cryptoKeys.list cloudkms.keyRings.get cloudkms.keyRings.list <!--NeedCopy-->上記の権限を持つGoogle定義のロールは次のとおりです:
- Compute KMS Viewer
一般的な権限
以下は、MCSでサポートされているすべての機能について、プロビジョニングプロジェクトにおけるCitrix Cloudサービスアカウントの権限です。これらの権限は、今後の最適な互換性を提供します:
resourcemanager.projects.get
cloudbuild.builds.create
cloudbuild.builds.get
cloudbuild.builds.list
compute.acceleratorTypes.list
compute.diskTypes.get
compute.diskTypes.list
compute.disks.create
compute.disks.createSnapshot
compute.disks.delete
compute.disks.get
compute.disks.setLabels
compute.disks.use
compute.disks.useReadOnly
compute.firewalls.create
compute.firewalls.delete
compute.firewalls.list
compute.globalOperations.get
compute.images.create
compute.images.delete
compute.images.get
compute.images.list
compute.images.setLabels
compute.images.useReadOnly
compute.instanceTemplates.create
compute.instanceTemplates.delete
compute.instanceTemplates.get
compute.instanceTemplates.list
compute.instanceTemplates.useReadOnly
compute.instances.attachDisk
compute.instances.create
compute.instances.delete
compute.instances.detachDisk
compute.instances.get
compute.instances.getSerialPortOutput
compute.instances.list
compute.instances.reset
compute.instances.resume
compute.instances.setDeletionProtection
compute.instances.setLabels
compute.instances.setMetadata
compute.instances.setTags
compute.instances.start
compute.instances.stop
compute.instances.suspend
compute.instances.update
compute.instances.updateAccessConfig
compute.instances.updateDisplayDevice
compute.instances.updateSecurity
compute.instances.updateShieldedInstanceConfig
compute.instances.updateShieldedVmConfig
compute.machineTypes.get
compute.machineTypes.list
compute.networks.list
compute.networks.updatePolicy
compute.nodeGroups.list
compute.nodeTemplates.get
compute.projects.get
compute.regions.list
compute.snapshots.create
compute.snapshots.delete
compute.snapshots.list
compute.snapshots.get
compute.snapshots.setLabels
compute.snapshots.useReadOnly
compute.subnetworks.get
compute.subnetworks.list
compute.subnetworks.use
compute.subnetworks.useExternalIp
compute.zoneOperations.get
compute.zoneOperations.list
compute.zones.get
compute.zones.list
resourcemanager.projects.get
storage.buckets.create
storage.buckets.delete
storage.buckets.get
storage.buckets.list
storage.buckets.update
storage.objects.create
storage.objects.delete
storage.objects.get
storage.objects.list
cloudkms.cryptoKeys.get
cloudkms.cryptoKeys.list
cloudkms.keyRings.get
cloudkms.keyRings.list
compute.disks.list
compute.instances.setServiceAccount
compute.networks.get
compute.networks.use
compute.networks.useExternalIp
iam.serviceAccounts.actAs
compute.resourcePolicies.use
cloudkms.cryptoKeyVersions.useToDecrypt
cloudkms.cryptoKeyVersions.useToEncrypt
<!--NeedCopy-->
次のステップ
- 初期展開プロセス中の場合は、マシンカタログの作成を参照してください。
- Google Cloud Platform (GCP) 固有の情報については、Google Cloud Platformカタログの作成を参照してください。