Ambientes de virtualização do Google Cloud
O Citrix DaaS (anteriormente serviço Citrix Virtual Apps and Desktops™) permite provisionar e gerenciar máquinas no Google Cloud.
Pré-requisitos
Antes de começar a provisionar as VMs para o Google Cloud Platform (GCP), você deve garantir que os seguintes pré-requisitos sejam atendidos.
- A assinatura Citrix deve incluir suporte para cargas de trabalho de Nuvem Híbrida e Multinuvem. Para obter mais informações, consulte Compare os recursos de assinatura do Citrix.
- A conta de administrador deve ter permissões suficientes para criar conexões de host, catálogos de máquinas e grupos de entrega. Para obter mais informações, consulte Configurar a Administração Delegada.
- Identifique um projeto do Google Cloud, no qual todos os recursos de computação associados ao catálogo de máquinas são armazenados. Pode ser um projeto existente ou um novo. Para obter mais informações, consulte Projetos do Google Cloud.
- Habilite as APIs do Google Cloud necessárias para a integração com o Citrix DaaS. Para obter mais informações, consulte Habilitar APIs do Google Cloud.
- Crie as contas de serviço no Google Cloud e conceda as permissões apropriadas. Para obter mais informações, consulte Configurar e atualizar contas de serviço.
- Baixe o arquivo de chave para a Conta de Serviço do Citrix Cloud. Para obter mais informações, consulte Chave da Conta de Serviço do Citrix Cloud.
- As máquinas virtuais devem ter acesso às APIs do Google sem um endereço IP público. Para obter mais informações, consulte Habilitar Acesso Privado do Google.
Projetos do Google Cloud
Existem basicamente dois tipos de projetos do Google Cloud:
- Projeto de provisionamento: Neste caso, a conta de administrador atual é proprietária das máquinas provisionadas no projeto. Este projeto também é conhecido como projeto local.
- Projeto VPC Compartilhada: Projeto no qual as máquinas criadas no projeto de provisionamento usam a VPC do projeto VPC Compartilhada. A conta de administrador usada para projetos de provisionamento tem permissões limitadas neste projeto, especificamente, apenas permissões para usar a VPC.
URLs de endpoint de serviço
Você deve ter acesso às seguintes URLs:
https://oauth2.googleapis.com
https://cloudresourcemanager.googleapis.com
https://compute.googleapis.com
https://storage.googleapis.com
https://cloudbuild.googleapis.com
Habilitar APIs do Google Cloud
Para usar a funcionalidade do Google Cloud por meio do Studio, habilite estas APIs em seu projeto do Google Cloud:
- Compute Engine API
- Cloud Resource Manager API
- Identity and Access Management (IAM) API
- Cloud Build API
No console do Google Cloud, conclua estas etapas:
- No menu superior esquerdo, selecione “APIs e Serviços > APIs e serviços ativados”.
-
Na tela “APIs e serviços ativados”, certifique-se de que a API Compute Engine esteja ativada. Caso contrário, siga estas etapas:
- Navegue até “APIs e Serviços > Biblioteca”.
- Na caixa de pesquisa, digite Compute Engine.
- Nos resultados da pesquisa, selecione “Compute Engine API”.
- Na página “Compute Engine API”, selecione “Ativar”.
- Habilite a API Cloud Resource Manager.
- Navegue até “APIs e Serviços > Biblioteca”.
- Na caixa de pesquisa, digite Cloud Resource Manager.
- Nos resultados da pesquisa, selecione “Cloud Resource Manager API”.
- Na página “Cloud Resource Manager API”, selecione “Ativar”. O status da API é exibido.
- Da mesma forma, habilite a “Identity and Access Management (IAM) API”, a “Cloud Build API” e a “Cloud Key Management Service (KMS) API”.
Você também pode usar o Google Cloud Shell para habilitar as APIs. Para fazer isso:
- Abra o Console do Google e carregue o Cloud Shell.
-
Execute os comandos a seguir no Cloud Shell:
- gcloud services enable compute.googleapis.com
- gcloud services enable cloudresourcemanager.googleapis.com
- gcloud services enable iam.googleapis.com
- gcloud services enable cloudbuild.googleapis.com
- gcloud services enable cloudkms.googleapis.com
- Clique em “Autorizar” quando o Cloud Shell solicitar.
Configurar e atualizar contas de serviço
Observação:
O GCP está introduzindo alterações no comportamento padrão e no uso de contas de serviço do Cloud Build Service após 29 de abril de 2024. Para obter mais informações, consulte Alteração da Conta de Serviço do Cloud Build. Seus projetos existentes do Google com a API Cloud Build ativada antes de 29 de abril de 2024 não são afetados por essa alteração. No entanto, se você quiser manter o comportamento existente do Cloud Build Service após 29 de abril, poderá criar ou aplicar a política da organização para desativar a imposição de restrições antes de ativar a API Cloud Build. Como resultado, o conteúdo a seguir é dividido em duas partes: Antes de 29 de abril de 2024 e Depois de 29 de abril de 2024. Se você definir a nova política da organização, siga a seção Antes de 29 de abril de 2024.
Antes de 29 de abril de 2024
O Citrix Cloud™ usa três contas de serviço separadas dentro do projeto do Google Cloud:
-
Conta de Serviço do Citrix Cloud: Esta conta de serviço permite que o Citrix Cloud acesse o projeto do Google, provisione e gerencie máquinas. Esta conta de serviço se autentica no Google Cloud usando uma chave gerada pelo Google Cloud.
Você deve criar esta conta de serviço manualmente, conforme descrito aqui. Para obter mais informações, consulte Criar uma Conta de Serviço do Citrix Cloud.
Você pode identificar esta conta de serviço por um endereço de e-mail. Por exemplo,
<my-service-account>@<project-id>.iam.gserviceaccount.com
. -
Conta de Serviço do Cloud Build: Esta conta de serviço é provisionada automaticamente depois que você habilita todas as APIs mencionadas em Habilitar APIs do Google Cloud. Para visualizar todas as contas de serviço criadas automaticamente, navegue até “IAM e Administrador > IAM” no console do Google Cloud e selecione a caixa de seleção “Incluir concessões de função fornecidas pelo Google”.
Você pode identificar esta conta de serviço por um endereço de e-mail que começa com o ID do Projeto e a palavra cloudbuild. Por exemplo,
<project-id>@cloudbuild.gserviceaccount.com
Verifique se a conta de serviço recebeu as seguintes funções. Se você precisar adicionar funções, siga as etapas descritas em Adicionar funções à Conta de Serviço do Cloud Build.
- Cloud Build Service Account
- Compute Instance Admin
- Service Account User
-
Conta de Serviço do Cloud Compute: Esta conta de serviço é adicionada pelo Google Cloud às instâncias criadas no Google Cloud assim que a API Compute é ativada. Esta conta tem a função de editor básico do IAM para realizar as operações. No entanto, se você excluir a permissão padrão para ter um controle mais granular, deverá adicionar uma função de Administrador de Armazenamento que exige as seguintes permissões:
- resourcemanager.projects.get
- storage.objects.create
- storage.objects.get
- storage.objects.list
Você pode identificar esta conta de serviço por um endereço de e-mail que começa com o ID do Projeto e a palavra compute. Por exemplo,
<project-id>-compute@developer.gserviceaccount.com
.
Criar uma Conta de Serviço do Citrix Cloud
Para criar uma Conta de Serviço do Citrix Cloud, siga estas etapas:
- No console do Google Cloud, navegue até “IAM e Administrador > Contas de serviço”.
- Na página “Contas de serviço”, selecione “CRIAR CONTA DE SERVIÇO”.
- Na página “Criar conta de serviço”, insira as informações necessárias e, em seguida, selecione “CRIAR E CONTINUAR”.
-
Na página “Conceder acesso desta conta de serviço ao projeto”, clique no menu suspenso “Selecionar uma função” e selecione as funções necessárias. Clique em “+ADICIONAR OUTRA FUNÇÃO” se quiser adicionar mais funções.
Cada conta (pessoal ou de serviço) tem várias funções que definem o gerenciamento do projeto. Conceda as seguintes funções a esta conta de serviço:
- Compute Admin
- Storage Admin
- Cloud Build Editor
- Service Account User
- Cloud Datastore User
- Cloud KMS Crypto Operator
O Cloud KMS Crypto Operator exige as seguintes permissões:
- cloudkms.cryptoKeys.get
- cloudkms.cryptoKeys.list
- cloudkms.keyRings.get
- cloudkms.keyRings.list
- cloudkms.cryptoKeyVersions.useToDecrypt
- cloudkms.cryptoKeyVersions.useToEncrypt
Observação:
Habilite todas as APIs para obter a lista completa de funções disponíveis ao criar uma nova conta de serviço.
- Clique em “CONTINUAR”
- Na página “Conceder acesso de usuários a esta conta de serviço”, adicione usuários ou grupos para conceder a eles acesso para realizar ações nesta conta de serviço.
- Clique em “CONCLUÍDO”.
- Navegue até o console principal do IAM.
- Identifique a conta de serviço criada.
- Valide se as funções foram atribuídas com êxito.
Considerações:
Ao criar a conta de serviço, considere o seguinte:
- As etapas “Conceder acesso desta conta de serviço ao projeto” e “Conceder acesso de usuários a esta conta de serviço” são opcionais. Se você optar por pular essas etapas de configuração opcionais, a conta de serviço recém-criada não será exibida na página “IAM e Administrador > IAM”.
- Para exibir as funções associadas a uma conta de serviço, adicione as funções sem pular as etapas opcionais. Esse processo garante que as funções apareçam para a conta de serviço configurada.
Chave da Conta de Serviço do Citrix Cloud
A chave da Conta de Serviço do Citrix Cloud é necessária para criar uma conexão no Citrix DaaS. A chave está contida em um arquivo de credenciais (.json). O arquivo é baixado automaticamente e salvo na pasta “Downloads” depois que você cria a chave. Ao criar a chave, certifique-se de definir o tipo de chave como JSON. Caso contrário, o Studio não poderá analisá-la.
Para criar uma Chave de Conta de Serviço, navegue até “IAM e Administrador > Contas de serviço” e clique no endereço de e-mail da Conta de Serviço do Citrix Cloud. Mude para a guia “Chaves” e selecione “Adicionar Chave > Criar nova chave”. Certifique-se de selecionar JSON como o tipo de chave.
Dica:
Crie chaves usando a página “Contas de serviço” no console do Google Cloud. Recomendamos que você altere as chaves regularmente por motivos de segurança. Você pode fornecer novas chaves para o aplicativo Citrix Virtual Apps™ and Desktops editando uma conexão existente do Google Cloud.
Adicionar funções à Conta de Serviço do Citrix Cloud
Para adicionar funções à Conta de Serviço do Citrix Cloud:
- No console do Google Cloud, navegue até “IAM e Administrador > IAM”.
-
Na página “IAM > PERMISSÕES”, localize a conta de serviço que você criou, identificável por um endereço de e-mail.
Por exemplo,
<my-service-account>@<project-id>.iam.gserviceaccount.com
- Selecione o ícone de lápis para editar o acesso ao principal da conta de serviço.
- Na página “Editar acesso a “project-id”“ para a opção principal selecionada, selecione “ADICIONAR OUTRA FUNÇÃO” para adicionar as funções necessárias à sua conta de serviço uma a uma e, em seguida, selecione “SALVAR”.
Adicionar funções à Conta de Serviço do Cloud Build
Para adicionar funções à Conta de Serviço do Cloud Build:
- No console do Google Cloud, navegue até “IAM e Administrador > IAM”.
-
Na página “IAM”, localize a conta de serviço do Cloud Build, identificável por um endereço de e-mail que começa com o ID do Projeto e a palavra cloudbuild.
Por exemplo,
<project-id>@cloudbuild.gserviceaccount.com
- Selecione o ícone de lápis para editar as funções da conta do Cloud Build.
-
Na página “Editar acesso a “project-id”“ para a opção principal selecionada, selecione “ADICIONAR OUTRA FUNÇÃO” para adicionar as funções necessárias à sua conta de serviço do Cloud Build uma a uma e, em seguida, selecione “SALVAR”.
Observação:
Habilite todas as APIs para obter a lista completa de funções.
Depois de 29 de abril de 2024
O Citrix Cloud usa duas contas de serviço separadas dentro do projeto do Google Cloud:
-
Conta de Serviço do Citrix Cloud: Esta conta de serviço permite que o Citrix Cloud acesse o projeto do Google, provisione e gerencie máquinas. Esta conta de serviço se autentica no Google Cloud usando uma chave gerada pelo Google Cloud.
Você deve criar esta conta de serviço manualmente.
Você pode identificar esta conta de serviço por um endereço de e-mail. Por exemplo,
<my-service-account>@<project-id>.iam.gserviceaccount.com
. -
Conta de Serviço do Cloud Compute: Esta conta de serviço é provisionada automaticamente depois que você habilita todas as APIs mencionadas em Habilitar APIs do Google Cloud. Para visualizar todas as contas de serviço criadas automaticamente, navegue até “IAM e Administrador > IAM” no console do Google Cloud e selecione a caixa de seleção “Incluir concessões de função fornecidas pelo Google”. Esta conta tem a função de editor básico do IAM para realizar as operações. No entanto, se você excluir a permissão padrão para ter um controle mais granular, deverá adicionar a função de Administrador de Armazenamento que exige as seguintes permissões:
- resourcemanager.projects.get
- storage.objects.create
- storage.objects.get
- storage.objects.list
Você pode identificar esta conta de serviço por um endereço de e-mail que começa com o ID do Projeto e a palavra compute. Por exemplo,
<project-id>-compute@developer.gserviceaccount.com.
Verifique se a conta de serviço recebeu as seguintes funções.
- Cloud Build Service Account
- Compute Instance Admin
- Service Account User
Criar uma Conta de Serviço do Citrix Cloud
Para criar uma Conta de Serviço do Citrix Cloud, siga estas etapas:
- No console do Google Cloud, navegue até “IAM e Administrador > Contas de serviço”.
- Na página “Contas de serviço”, selecione “CRIAR CONTA DE SERVIÇO”.
- Na página “Criar conta de serviço”, insira as informações necessárias e, em seguida, selecione “CRIAR E CONTINUAR”.
-
Na página “Conceder acesso desta conta de serviço ao projeto”, clique no menu suspenso “Selecionar uma função” e selecione as funções necessárias. Clique em “+ADICIONAR OUTRA FUNÇÃO” se quiser adicionar mais funções.
Cada conta (pessoal ou de serviço) tem várias funções que definem o gerenciamento do projeto. Conceda as seguintes funções a esta conta de serviço:
- Compute Admin
- Storage Admin
- Cloud Build Editor
- Service Account User
- Cloud Datastore User
- Cloud KMS Crypto Operator
O Cloud KMS Crypto Operator exige as seguintes permissões:
- cloudkms.cryptoKeys.get
- cloudkms.cryptoKeys.list
- cloudkms.keyRings.get
- cloudkms.keyRings.list
Observação:
Habilite todas as APIs para obter a lista completa de funções disponíveis ao criar uma nova conta de serviço.
- Clique em “CONTINUAR”
- Na página “Conceder acesso de usuários a esta conta de serviço”, adicione usuários ou grupos para conceder a eles acesso para realizar ações nesta conta de serviço.
- Clique em “CONCLUÍDO”.
- Navegue até o console principal do IAM.
- Identifique a conta de serviço criada.
- Valide se as funções foram atribuídas com êxito.
Considerações:
Ao criar a conta de serviço, considere o seguinte:
- As etapas “Conceder acesso desta conta de serviço ao projeto” e “Conceder acesso de usuários a esta conta de serviço” são opcionais. Se você optar por pular essas etapas de configuração opcionais, a conta de serviço recém-criada não será exibida na página “IAM e Administrador > IAM”.
- Para exibir as funções associadas a uma conta de serviço, adicione as funções sem pular as etapas opcionais. Esse processo garante que as funções apareçam para a conta de serviço configurada.
Chave da Conta de Serviço do Citrix Cloud
A chave da Conta de Serviço do Citrix Cloud é necessária para criar uma conexão no Citrix DaaS. A chave está contida em um arquivo de credenciais (.json). O arquivo é baixado automaticamente e salvo na pasta “Downloads” depois que você cria a chave. Ao criar a chave, certifique-se de definir o tipo de chave como JSON. Caso contrário, o Studio não poderá analisá-la.
Para criar uma Chave de Conta de Serviço, navegue até “IAM e Administrador > Contas de serviço” e clique no endereço de e-mail da Conta de Serviço do Citrix Cloud. Mude para a guia “Chaves” e selecione “Adicionar Chave > Criar nova chave”. Certifique-se de selecionar JSON como o tipo de chave.
Dica:
Crie chaves usando a página “Contas de serviço” no console do Google Cloud. Recomendamos que você altere as chaves regularmente por motivos de segurança. Você pode fornecer novas chaves para o aplicativo Citrix Virtual Apps and Desktops editando uma conexão existente do Google Cloud.
Adicionar funções à Conta de Serviço do Citrix Cloud
Para adicionar funções à Conta de Serviço do Citrix Cloud:
- No console do Google Cloud, navegue até “IAM e Administrador > IAM”.
-
Na página “IAM > PERMISSÕES”, localize a conta de serviço que você criou, identificável por um endereço de e-mail.
Por exemplo,
<my-service-account>@<project-id>.iam.gserviceaccount.com
- Selecione o ícone de lápis para editar o acesso ao principal da conta de serviço.
- Na página “Editar acesso a “project-id”“ para a opção principal selecionada, selecione “ADICIONAR OUTRA FUNÇÃO” para adicionar as funções necessárias à sua conta de serviço uma a uma e, em seguida, selecione “SALVAR”.
Adicionar funções à Conta de Serviço do Cloud Compute
Para adicionar funções à Conta de Serviço do Cloud Compute:
- No console do Google Cloud, navegue até “IAM e Administrador > IAM”.
-
Na página “IAM”, localize a Conta de Serviço do Cloud Compute, identificável por um endereço de e-mail que começa com o ID do Projeto e a palavra compute.
Por exemplo,
<project-id>-compute@developer.gserviceaccount.com
- Selecione o ícone de lápis para editar as funções da conta do Cloud Compute.
-
Na página “Editar acesso a “project-id”“ para a opção principal selecionada, selecione “ADICIONAR OUTRA FUNÇÃO” para adicionar as funções necessárias à sua conta de serviço do Cloud Compute uma a uma e, em seguida, selecione “SALVAR”.
Observação:
Habilite todas as APIs para obter a lista completa de funções.
Permissões de armazenamento e gerenciamento de buckets
O Citrix DaaS aprimora o processo de relatório de falhas de compilação na nuvem para o serviço Google Cloud. Este serviço executa compilações no Google Cloud. O Citrix DaaS cria um bucket de armazenamento chamado citrix-mcs-cloud-build-logs-{region}-{5 random characters}
onde os serviços do Google Cloud capturam informações de log de compilação. Uma opção é definida neste bucket que exclui o conteúdo após um período de 30 dias. Este processo exige que a conta de serviço usada para a conexão tenha as permissões do Google Cloud definidas como storage.buckets.update
. Se a conta de serviço não tiver essa permissão, o Citrix DaaS ignorará os erros e prosseguirá com o processo de criação do catálogo. Sem essa permissão, o tamanho dos logs de compilação aumenta e exige limpeza manual.
Habilitar acesso privado do Google
Quando uma VM não possui um endereço IP externo atribuído à sua interface de rede, os pacotes são enviados apenas para outros destinos de endereços IP internos. Ao habilitar o acesso privado, a VM se conecta ao conjunto de endereços IP externos usados pela API do Google e serviços associados.
Observação:
Independentemente de o acesso privado do Google estar ativado, todas as VMs com e sem endereços IP públicos devem ser capazes de acessar as APIs Públicas do Google, especialmente se dispositivos de rede de terceiros tiverem sido instalados no ambiente.
Para garantir que uma VM em sua sub-rede possa acessar as APIs do Google sem um endereço IP público para provisionamento de MCS:
- No Google Cloud, acesse a “configuração de rede VPC”.
- Identifique as sub-redes usadas ou o ambiente Citrix® na guia “Sub-redes no projeto atual”.
- Clique no nome das sub-redes e habilite o “Acesso Privado do Google”.
Para obter mais informações, consulte Configurar o Acesso Privado do Google.
Importante:
Se sua rede estiver configurada para impedir o acesso da VM à internet, certifique-se de que sua organização assuma os riscos associados à habilitação do acesso privado do Google para a sub-rede à qual a VM está conectada.
Onde ir em seguida
- Para uma implantação simples de prova de conceito, instale um VDA em uma máquina designada para entregar aplicativos ou um desktop aos seus usuários.
- Para criar e gerenciar conexões, consulte Conexão com ambientes do Google Cloud.
- Revise todas as etapas do processo de instalação e configuração.