Citrix Virtual Apps and Desktops

Ambientes do Google Cloud

O Citrix Virtual Apps and Desktops permite que você provisione e gerencie máquinas no Google Cloud. Este artigo explica como usar o Machine Creation Services (MCS) para provisionar máquinas virtuais na implantação do serviço Citrix Virtual Apps ou Citrix Virtual Desktops.

Requisitos

  • Conta Citrix Cloud. O recurso descrito neste artigo está disponível apenas no Citrix Cloud.
  • Assinatura do Citrix DaaS. Para mais detalhes, veja Primeiros passos.
  • Um projeto do Google Cloud. O projeto armazena todos os recursos de computação associados ao catálogo de máquinas. Pode ser um projeto existente ou um novo.
  • Habilite quatro APIs no seu projeto do Google Cloud. Para obter detalhes, consulte Habilitar APIs do Google Cloud.
  • Conta de serviço do Google Cloud. A conta de serviço é autenticada no Google Cloud para permitir o acesso ao projeto. Para obter detalhes, consulte Configurar a conta de serviço do Google Cloud.
  • Ative o acesso privado do Google. Para mais detalhes, consulte Habilitar-acesso-privado-google.

Habilitar APIs do Google Cloud

Para usar a funcionalidade do Google Cloud por meio do Web Studio, ative estas APIs no seu projeto do Google Cloud:

  • API do mecanismo de computação
  • API do Gerenciador de Recursos de Nuvem
  • API de gerenciamento de identidade e acesso (IAM)
  • API de construção de nuvem

No console do Google Cloud, conclua estas etapas:

  1. No menu superior esquerdo, selecione APIs e serviços > Painel.

    Painel de APIs e serviços selecionar imagem

  2. Na tela Dashboard , certifique-se de que a API do Compute Engine esteja habilitada. Se não, siga estes passos:

    1. Navegue até APIs e serviços > Biblioteca.

      Imagem da biblioteca de APIs e serviços

    2. Na caixa de pesquisa, digite Compute Engine.

    3. Nos resultados da pesquisa, selecione Compute Engine API.

    4. Na página Compute Engine API , selecione Habilitar.

  3. Habilitar a API do Cloud Resource Manager.

    1. Navegue até APIs e serviços > Biblioteca.

    2. Na caixa de pesquisa, digite Cloud Resource Manager.

    3. Nos resultados da pesquisa, selecione Cloud Resource Manager API.

    4. Na página Cloud Resource Manager API , selecione Habilitar. O status da API é exibido.

  4. Da mesma forma, habilite API de gerenciamento de identidade e acesso (IAM) e API do Cloud Build.

Você também pode usar o Google Cloud Shell para habilitar as APIs. Para fazer isso:

  1. Abra o Google Console e carregue o Cloud Shell.
  2. Execute os quatro comandos a seguir no Cloud Shell:

    • serviços gcloud permitem compute.googleapis.com
    • serviços gcloud habilitam cloudresourcemanager.googleapis.com
    • serviços gcloud habilitam iam.googleapis.com
    • serviços gcloud habilitam cloudbuild.googleapis.com
  3. Clique em Autorizar se o Cloud Shell solicitar.

Configurar e atualizar contas de serviço

Observação:

O CP está introduzindo alterações no comportamento padrão do Cloud Build Service e no uso de contas de serviço após 29 de abril de 2024. Para obter mais informações, consulte Alteração da conta do serviço Cloud Build. Seus projetos existentes do Google com a API do Cloud Build ativada antes de 29 de abril de 2024 não serão afetados por essa alteração. No entanto, se você quiser manter o comportamento atual do Cloud Build Service após 29 de abril, poderá criar ou aplicar a política da organização para desabilitar a aplicação de restrições antes de habilitar a API do Cloud Build. Como resultado, o conteúdo a seguir é dividido em dois: Antes de 29 de abril de 2024 e Depois de 29 de abril de 2024. Se você definir a nova política da organização, siga a seção Antes de 29 de abril de 2024.

Antes de 29 de abril de 2024

O Citrix Cloud usa três contas de serviço separadas dentro do projeto do Google Cloud:

  • Conta de serviço do Citrix Cloud: esta conta de serviço permite que o Citrix Cloud acesse o projeto do Google, provisione e gerencie máquinas. Esta conta de serviço é autenticada no Google Cloud usando uma chave gerada pelo Google Cloud.

    Você deve criar esta conta de serviço manualmente, conforme descrito aqui. Para obter mais informações, consulte Criar uma conta do Citrix Cloud Service.

    Você pode identificar esta conta de serviço com um endereço de e-mail. Por exemplo, <my-service-account>@<project-id>.iam.gserviceaccount.com.

  • Conta de serviço do Cloud Build: esta conta de serviço é provisionada automaticamente após você habilitar todas as APIs mencionadas em Habilitar APIs do Google Cloud. Para visualizar todas as contas de serviço criadas automaticamente, navegue até IAM & Admin > IAM no console Google Cloud e marque a caixa de seleção Incluir concessões de função fornecidas pelo Google .

    Você pode identificar esta conta de serviço por um endereço de e-mail que começa com ID do projeto e a palavra cloudbuild. Por exemplo, <project-id>@cloudbuild.gserviceaccount.com

    Verifique se a conta de serviço recebeu as seguintes funções. Se você precisar adicionar funções, siga as etapas descritas em Adicionar funções à conta do Cloud Build Service.

    • Conta do serviço Cloud Build
    • Administrador de instância de computação
    • Usuário da conta de serviço
  • Conta de serviço do Cloud Compute: esta conta de serviço é adicionada pelo Google Cloud às instâncias criadas no Google Cloud assim que a API Compute é ativada. Esta conta tem a função de editor básico do IAM para realizar as operações. No entanto, se você excluir a permissão padrão para ter um controle mais granular, deverá adicionar uma função Administrador de Armazenamento que requer as seguintes permissões:

    • gerenciador de recursos.projetos.obter
    • armazenamento.objetos.criar
    • armazenamento.objetos.obter
    • armazenamento.objetos.lista

Você pode identificar esta conta de serviço por um endereço de e-mail que começa com ID do projeto e a palavra compute. Por exemplo, <project-id>-compute@developer.gserviceaccount.com.

Criar uma conta do Citrix Cloud Service

Para criar uma conta do Citrix Cloud Service, siga estas etapas:

  1. No console do Google Cloud, navegue até IAM & Admin > Contas de serviço.
  2. Na página Contas de serviço , selecione CRIAR CONTA DE SERVIÇO.
  3. Na página Criar conta de serviço , insira as informações necessárias e selecione CRIAR E CONTINUAR.
  4. Na página Conceder a esta conta de serviço acesso ao projeto , clique no menu suspenso Selecionar uma função e selecione as funções necessárias. Clique em +ADICIONAR OUTRA FUNÇÃO se quiser adicionar mais funções.

    Cada conta (pessoal ou de serviço) tem várias funções que definem o gerenciamento do projeto. Conceda as seguintes funções a esta conta de serviço:

    • Administrador de Computação
    • Administrador de armazenamento
    • Editor de construção de nuvem
    • Usuário da conta de serviço
    • Usuário do Cloud Datastore
    • Operador de Criptomoeda Cloud KMS

    O Cloud KMS Crypto Operator requer as seguintes permissões:

    • cloudkms.cryptoKeys.obter
    • cloudkms.cryptoKeys.lista
    • cloudkms.chaveiros.obter
    • cloudkms.chaveiros.lista

    Observação:

    Habilite todas as APIs para obter a lista completa de funções disponíveis ao criar uma nova conta de serviço.

  5. Clique em CONTINUAR
  6. Na página Conceder aos usuários acesso a esta conta de serviço , adicione usuários ou grupos para conceder a eles acesso para executar ações nesta conta de serviço.
  7. Clique em CONCLUÍDO.
  8. Navegue até o console principal do IAM.
  9. Identifique a conta de serviço criada.
  10. Valide se as funções foram atribuídas com sucesso.

Considerações:

Ao criar a conta de serviço, considere o seguinte:

  • As etapas Conceder a esta conta de serviço acesso ao projeto e Conceder aos usuários acesso a esta conta de serviço são opcionais. Se você optar por pular essas etapas de configuração opcionais, a conta de serviço recém-criada não será exibida na página IAM & Admin > IAM .
  • Para exibir funções associadas a uma conta de serviço, adicione as funções sem pular as etapas opcionais. Esse processo garante que as funções apareçam para a conta de serviço configurada.

Chave da conta do Citrix Cloud Service

A chave da conta do Citrix Cloud Service é necessária para criar uma conexão no Citrix DaaS. A chave está contida em um arquivo de credencial (.json). O arquivo é baixado automaticamente e salvo na pasta Downloads depois que você cria a chave. Ao criar a chave, certifique-se de definir o tipo de chave como JSON. Caso contrário, o Web Studio não poderá analisá-lo.

Para criar uma chave de conta de serviço, navegue até IAM & Admin > Contas de serviço e clique no endereço de e-mail da conta de serviço do Citrix Cloud. Mude para a aba Chaves e selecione Adicionar Chave > Criar nova chave. Certifique-se de selecionar JSON como o tipo de chave.

Dica:

Crie chaves usando a página Contas de serviço no console do Google Cloud. Recomendamos que você troque as chaves regularmente por motivos de segurança. Você pode fornecer novas chaves para o aplicativo Citrix Virtual Apps and Desktops editando uma conexão existente do Google Cloud.

Adicionar funções à conta do Citrix Cloud Service

Para adicionar funções à conta do Citrix Cloud Service:

  1. No console do Google Cloud, navegue até IAM & Admin > IAM.
  2. Na página IAM > PERMISSÕES , localize a conta de serviço que você criou, identificável com um endereço de e-mail.

    Por exemplo, <my-service-account>@<project-id>.iam.gserviceaccount.com

  3. Selecione o ícone de lápis para editar o acesso ao principal da conta de serviço.
  4. Na página Editar acesso ao “project-id” para a opção principal selecionada, selecione ADICIONAR OUTRA FUNÇÃO para adicionar as funções necessárias à sua conta de serviço, uma por uma, e então selecione SALVAR.

Adicionar funções à conta do Cloud Build Service

Para adicionar funções à conta do Cloud Build Service:

  1. No console do Google Cloud, navegue até IAM & Admin > IAM.
  2. Na página IAM , localize a conta de serviço do Cloud Build, identificável com um endereço de e-mail que começa com ID do projeto e a palavra cloudbuild.

    Por exemplo, <project-id>@cloudbuild.gserviceaccount.com

  3. Selecione o ícone de lápis para editar as funções da conta do Cloud Build.
  4. Na página Editar acesso ao “project-id” para a opção principal selecionada, selecione ADICIONAR OUTRA FUNÇÃO para adicionar as funções necessárias à sua conta de serviço do Cloud Build, uma por uma, e então selecione SALVAR.

    Observação:

    Habilite todas as APIs para obter a lista completa de funções.

Após 29 de abril de 2024

O Citrix Cloud usa duas contas de serviço separadas dentro do projeto do Google Cloud:

  • Conta de serviço do Citrix Cloud: esta conta de serviço permite que o Citrix Cloud acesse o projeto do Google, provisione e gerencie máquinas. Esta conta de serviço é autenticada no Google Cloud usando uma chave gerada pelo Google Cloud.

    Você deve criar esta conta de serviço manualmente.

    Você pode identificar esta conta de serviço com um endereço de e-mail. Por exemplo, <my-service-account>@<project-id>.iam.gserviceaccount.com.

  • Conta de serviço do Cloud Compute: esta conta de serviço é provisionada automaticamente após você habilitar todas as APIs mencionadas em Habilitar APIs do Google Cloud. Para visualizar todas as contas de serviço criadas automaticamente, navegue até IAM & Admin > IAM no console Google Cloud e marque a caixa de seleção Incluir concessões de função fornecidas pelo Google . Esta conta tem a função de editor básico do IAM para realizar as operações. No entanto, se você excluir a permissão padrão para ter um controle mais granular, deverá adicionar a função Storage Admin que requer as seguintes permissões:

    • gerenciador de recursos.projetos.obter
    • armazenamento.objetos.criar
    • armazenamento.objetos.obter
    • armazenamento.objetos.lista

    Você pode identificar esta conta de serviço por um endereço de e-mail que começa com ID do projeto e a palavra compute. Por exemplo, <project-id>-compute@developer.gserviceaccount.com.

    Verifique se a conta de serviço recebeu as seguintes funções.

    • Conta do serviço Cloud Build
    • Administrador de instância de computação
    • Usuário da conta de serviço

Criar uma conta do Citrix Cloud Service

Para criar uma conta do Citrix Cloud Service, siga estas etapas:

  1. No console do Google Cloud, navegue até IAM & Admin > Contas de serviço.
  2. Na página Contas de serviço , selecione CRIAR CONTA DE SERVIÇO.
  3. Na página Criar conta de serviço , insira as informações necessárias e selecione CRIAR E CONTINUAR.
  4. Na página Conceder a esta conta de serviço acesso ao projeto , clique no menu suspenso Selecionar uma função e selecione as funções necessárias. Clique em +ADICIONAR OUTRA FUNÇÃO se quiser adicionar mais funções.

    Cada conta (pessoal ou de serviço) tem várias funções que definem o gerenciamento do projeto. Conceda as seguintes funções a esta conta de serviço:

    • Administrador de Computação
    • Administrador de armazenamento
    • Editor de construção de nuvem
    • Usuário da conta de serviço
    • Usuário do Cloud Datastore
    • Operador de Criptomoeda Cloud KMS

    O Cloud KMS Crypto Operator requer as seguintes permissões:

    • cloudkms.cryptoKeys.obter
    • cloudkms.cryptoKeys.lista
    • cloudkms.chaveiros.obter
    • cloudkms.chaveiros.lista

    Observação:

    Habilite todas as APIs para obter a lista completa de funções disponíveis ao criar uma nova conta de serviço.

  5. Clique em CONTINUAR
  6. Na página Conceder aos usuários acesso a esta conta de serviço , adicione usuários ou grupos para conceder a eles acesso para executar ações nesta conta de serviço.
  7. Clique em CONCLUÍDO.
  8. Navegue até o console principal do IAM.
  9. Identifique a conta de serviço criada.
  10. Valide se as funções foram atribuídas com sucesso.

Considerações:

Ao criar a conta de serviço, considere o seguinte:

  • As etapas Conceder a esta conta de serviço acesso ao projeto e Conceder aos usuários acesso a esta conta de serviço são opcionais. Se você optar por pular essas etapas de configuração opcionais, a conta de serviço recém-criada não será exibida na página IAM & Admin > IAM .
  • Para exibir funções associadas a uma conta de serviço, adicione as funções sem pular as etapas opcionais. Esse processo garante que as funções apareçam para a conta de serviço configurada.

Chave da conta do Citrix Cloud Service

A chave da conta do Citrix Cloud Service é necessária para criar uma conexão no Citrix DaaS. A chave está contida em um arquivo de credencial (.json). O arquivo é baixado automaticamente e salvo na pasta Downloads depois que você cria a chave. Ao criar a chave, certifique-se de definir o tipo de chave como JSON. Caso contrário, o Web Studio não poderá analisá-lo.

Para criar uma chave de conta de serviço, navegue até IAM & Admin > Contas de serviço e clique no endereço de e-mail da conta de serviço do Citrix Cloud. Mude para a aba Chaves e selecione Adicionar Chave > Criar nova chave. Certifique-se de selecionar JSON como o tipo de chave.

Dica:

Crie chaves usando a página Contas de serviço no console do Google Cloud. Recomendamos que você troque as chaves regularmente por motivos de segurança. Você pode fornecer novas chaves para o aplicativo Citrix Virtual Apps and Desktops editando uma conexão existente do Google Cloud.

Adicionar funções à conta do Citrix Cloud Service

Para adicionar funções à conta do Citrix Cloud Service:

  1. No console do Google Cloud, navegue até IAM & Admin > IAM.
  2. Na página IAM > PERMISSÕES , localize a conta de serviço que você criou, identificável com um endereço de e-mail.

    Por exemplo, <my-service-account>@<project-id>.iam.gserviceaccount.com

  3. Selecione o ícone de lápis para editar o acesso ao principal da conta de serviço.
  4. Na página Editar acesso ao “project-id” para a opção principal selecionada, selecione ADICIONAR OUTRA FUNÇÃO para adicionar as funções necessárias à sua conta de serviço, uma por uma, e então selecione SALVAR.

Adicionar funções à conta do serviço Cloud Compute

Para adicionar funções à conta do serviço Cloud Compute:

  1. No console do Google Cloud, navegue até IAM & Admin > IAM.
  2. Na página IAM , localize a conta de serviço do Cloud Compute, identificável com um endereço de e-mail que começa com ID do projeto e a palavra compute.

    Por exemplo, <project-id>-compute@developer.gserviceaccount.com

  3. Selecione o ícone de lápis para editar as funções da conta do Cloud Build.
  4. Na página Editar acesso ao “project-id” para a opção principal selecionada, selecione ADICIONAR OUTRA FUNÇÃO para adicionar as funções necessárias à sua conta de serviço do Cloud Build, uma por uma, e então selecione SALVAR.

    Observação:

    Habilite todas as APIs para obter a lista completa de funções.

Permissões de armazenamento e gerenciamento de buckets

O Citrix DaaS melhora o processo de relatórios de falhas de compilação na nuvem para o serviço Google Cloud. Este serviço executa compilações no Google Cloud. O Citrix DaaS cria um bucket de armazenamento chamado citrix-mcs-cloud-build-logs-{region}-{5 random characters} onde os serviços do Google Cloud capturam informações de log de compilação. Uma opção é definida neste bucket que exclui o conteúdo após um período de 30 dias. Este processo requer que a conta de serviço usada para a conexão tenha permissões do Google Cloud definidas como storage.buckets.update. Se a conta de serviço não tiver essa permissão, o Citrix DaaS ignorará os erros e prosseguirá com o processo de criação do catálogo. Sem essa permissão, o tamanho dos logs de compilação aumenta e exige limpeza manual.

Habilitar acesso privado ao Google

Quando uma VM não tem um endereço IP externo atribuído à sua interface de rede, os pacotes são enviados apenas para outros destinos de endereços IP internos. Quando você habilita o acesso privado, a VM se conecta ao conjunto de endereços IP externos usados pela API do Google e serviços associados.

Observação:

Independentemente de o acesso privado ao Google estar habilitado, todas as VMs com e sem endereços IP públicos devem poder acessar as APIs públicas do Google, especialmente se dispositivos de rede de terceiros tiverem sido instalados no ambiente.

Para garantir que uma VM na sua sub-rede possa acessar as APIs do Google sem um endereço IP público para provisionamento do MCS:

  1. No Google Cloud, acesse a configuração de rede VPC **.
  2. Na tela de detalhes da sub-rede, ative Acesso privado do Google.

Acesso privado ao Google

Para obter mais informações, consulte Configurando o acesso privado do Google.

Importante:

Se sua rede estiver configurada para impedir o acesso da VM à Internet, certifique-se de que sua organização assuma os riscos associados à ativação do acesso privado do Google para a sub-rede à qual a VM está conectada.

Adicionar uma conexão

Siga as orientações em Crie uma conexão e recursos. A descrição a seguir orienta você na configuração de uma conexão de hospedagem:

  1. Em Gerenciar > Configuração, selecione Hospedagem no painel esquerdo.

  2. Selecione Adicionar conexão e recursos na barra de ação.

  3. Na página Conexão , selecione Criar uma nova conexão e Ferramentas de provisionamento Citrixe, em seguida, selecione Avançar.

    • Tipo de conexão. Selecione Google Cloud no menu.
    • Nome da conexão. Digite um nome para a conexão.
  4. Na página Região , selecione um nome de projeto no menu, selecione uma região que contenha os recursos que deseja usar e, em seguida, selecione Avançar.

  5. Na página Rede , digite um nome para os recursos, selecione uma rede virtual no menu, selecione um subconjunto e, em seguida, selecione Avançar. O nome do recurso ajuda a identificar a região e a combinação de rede. Redes virtuais com o sufixo (Compartilhado) anexado ao seu nome representam VPCs compartilhadas. Se você configurar uma função do IAM em nível de sub-rede para uma VPC compartilhada, somente sub-redes específicas da VPC compartilhada aparecerão na lista de sub-redes.

    Observação:

    • O nome do recurso pode conter de 1 a 64 caracteres e não pode conter apenas espaços em branco ou os caracteres \ / ; : # . * ? = < > | [ ] { } " ' ( ) ' ).
  6. Na página Resumo , confirme as informações e selecione Concluir para sair da janela Adicionar conexão e recursos .

Depois de criar a conexão e os recursos, a conexão e os recursos que você criou serão listados. Para configurar a conexão, selecione a conexão e depois selecione a opção aplicável na barra de ação.

Da mesma forma, você pode excluir, renomear ou testar os recursos criados na conexão. Para fazer isso, selecione o recurso na conexão e, em seguida, selecione a opção aplicável na barra de ação.

Preparar uma instância de VM mestre e um disco persistente

Dica:

Disco persistente é o termo do Google Cloud para disco virtual.

Para preparar sua instância de VM mestre, crie e configure uma instância de VM com propriedades que correspondam à configuração desejada para as instâncias de VDA clonadas no catálogo de máquinas planejado. A configuração não se aplica apenas ao tamanho e tipo da instância. Ele também inclui atributos de instância, como metadados, tags, atribuições de GPU, tags de rede e propriedades de conta de serviço.

Como parte do processo de masterização, o MCS usa sua instância de VM mestre para criar o modelo de instância do Google Cloud **. O modelo de instância é então usado para criar as instâncias VDA clonadas que compõem o catálogo da máquina. Instâncias clonadas herdam as propriedades (exceto as propriedades de VPC, sub-rede e disco persistente) da instância de VM mestre da qual o modelo de instância foi criado.

Depois de configurar as propriedades da instância da VM mestre de acordo com suas especificações, inicie a instância e prepare o disco persistente para ela.

Recomendamos que você crie manualmente um snapshot do disco. Isso permite que você use uma convenção de nomenclatura significativa para rastrear versões, oferece mais opções para gerenciar versões anteriores da sua imagem mestre e economiza tempo na criação do catálogo da máquina. Se você não criar seu próprio snapshot, o MCS criará um snapshot temporário para você (que será excluído no final do processo de provisionamento).

Criar um catálogo de máquinas

Observação:

Crie seus recursos antes de criar um catálogo de máquinas. Use as convenções de nomenclatura estabelecidas pelo Google Cloud ao configurar catálogos de máquinas. Veja Diretrizes de nomenclatura de buckets e objetos para mais informações.

Siga as orientações em Criar catálogos de máquinas. Atualmente, o Studio não oferece suporte à criação de catálogos do Google Cloud. Em vez disso, use o PowerShell.

Gerenciar catálogo de máquinas

Para adicionar máquinas a um catálogo, atualizar máquinas e reverter uma atualização, consulte Gerenciar catálogos de máquinas.

Gerenciamento de energia

O Citrix DaaS permite o gerenciamento de energia de máquinas do Google Cloud. Use o nó Pesquisar no painel de navegação para localizar a máquina que você deseja gerenciar. As seguintes ações de energia estão disponíveis:

  • Excluir
  • Começar
  • Reiniciar
  • Forçar reinicialização
  • Desligar
  • Forçar desligamento
  • Adicionar ao grupo de entrega
  • Gerenciar tags
  • Ativar o modo de manutenção

Você também pode gerenciar máquinas do Google Cloud usando o Autoscale. Para fazer isso, adicione as máquinas do Google Cloud a um Grupo de Entrega e ative o Dimensionamento Automático para esse Grupo de Entrega. Para obter mais informações sobre Autoescala, consulte Autoescala.

Proteja a exclusão acidental da máquina

O Citrix DaaS permite que você proteja recursos do MCS no Google Cloud para evitar exclusões acidentais. Configure a VM provisionada definindo o sinalizador deletionProtection como TRUE.

Por padrão, as VMs provisionadas por meio do MCS ou do plug-in do Google Cloud são criadas com o InstanceProtection habilitado. A implementação é aplicável a catálogos persistentes e não persistentes. Os catálogos não persistentes são atualizados quando as instâncias são recriadas a partir do modelo. Para máquinas persistentes existentes, você pode definir o sinalizador no console do Google Cloud. Para obter mais informações sobre como definir o sinalizador, consulte o site de documentação do Google. Novas máquinas adicionadas a catálogos persistentes são criadas com deletionProtection habilitado.

Se você tentar excluir uma instância de VM para a qual definiu o sinalizador deletionProtection , a solicitação falhará. No entanto, se você receber a permissão compute.instances.setDeletionProtection ou a função IAM Compute Admin for atribuída, você poderá redefinir o sinalizador para permitir que o recurso seja excluído.

Importar máquinas do Google Cloud criadas manualmente

Você pode criar uma conexão com o Google Cloud e então criar um catálogo contendo máquinas do Google Cloud. Em seguida, você pode reiniciar manualmente as máquinas do Google Cloud por meio do Citrix DaaS. Com esse recurso, você pode:

  • Importe máquinas do sistema operacional multissessão do Google Cloud criadas manualmente para um catálogo de máquinas do Citrix Virtual Apps and Desktops.
  • Remova máquinas do sistema operacional multissessão do Google Cloud criadas manualmente de um catálogo do Citrix Virtual Apps and Desktops.
  • Use os recursos existentes de gerenciamento de energia do Citrix Virtual Apps and Desktops para gerenciar máquinas com sistema operacional multissessão do Google Cloud Windows. Por exemplo, defina um cronograma de reinicialização para essas máquinas.

Essa funcionalidade não exige alterações em um fluxo de trabalho de provisionamento existente do Citrix Virtual Apps and Desktops, nem a remoção de nenhum recurso existente. Recomendamos que você use o MCS para provisionar máquinas no Web Studio em vez de importar máquinas do Google Cloud criadas manualmente.

Nuvem Privada Virtual Compartilhada

Nuvens Privadas Virtuais (VPCs) compartilhadas compreendem um projeto host, a partir do qual as sub-redes compartilhadas são disponibilizadas, e um ou mais projetos de serviço que usam o recurso. VPCs compartilhadas são opções desejáveis para instalações maiores porque fornecem controle, uso e administração centralizados de recursos corporativos compartilhados do Google Cloud. Para mais informações, consulte o site de documentação do Google .

Com esse recurso, o Machine Creation Services (MCS) oferece suporte ao provisionamento e ao gerenciamento de catálogos de máquinas implantados em VPCs compartilhadas. Este suporte, que é funcionalmente equivalente ao suporte atualmente fornecido em VPCs locais, difere em duas áreas:

  1. Você deve conceder permissões extras à Conta de Serviço usada para criar a Conexão de Host. Este processo permite que o MCS acesse e use recursos de VPC compartilhados.
  2. Você deve criar duas regras de firewall, uma para entrada e outra para saída. Essas regras de firewall são usadas durante o processo de masterização da imagem.

Novas permissões necessárias

Uma conta de serviço do Google Cloud com permissões específicas é necessária ao criar a conexão do host. Essas permissões adicionais devem ser concedidas a quaisquer contas de serviço usadas para criar conexões de host baseadas em VPC compartilhada.

Dica:

Essas permissões adicionais não são novidade no Citrix DaaS. Eles são usados para facilitar a implementação de VPCs locais. Com VPCs compartilhadas, essas permissões adicionais permitem acesso a outros recursos de VPCs compartilhadas.

No máximo quatro permissões extras devem ser concedidas à conta de serviço associada à conexão do host para oferecer suporte à VPC compartilhada:

  1. compute.firewalls.list - Esta permissão é obrigatória. Ele permite que o MCS recupere a lista de regras de firewall presentes na VPC compartilhada.
  2. compute.networks.list - Esta permissão é obrigatória. Ele permite que o MCS identifique as redes VPC compartilhadas disponíveis para a conta de serviço.
  3. compute.subnetworks.list – Esta permissão é opcional dependendo de como você usa VPCs. Ele permite que o MCS identifique as sub-redes dentro das VPCs compartilhadas visíveis. Essa permissão já é necessária ao usar VPCs locais, mas também deve ser atribuída no projeto host da VPC compartilhada.
  4. compute.subnetworks.use - Esta permissão é opcional dependendo de como você usa VPCs. É necessário usar recursos de sub-rede nos catálogos de máquinas provisionadas. Essa permissão já é necessária para usar VPCs locais, mas também deve ser atribuída no projeto host da VPC compartilhada.

Ao usar essas permissões, considere que há diferentes abordagens com base no tipo de permissão usada para criar o catálogo de máquina:

  • Permissão em nível de projeto:
    • Permite acesso a todas as VPCs compartilhadas dentro do projeto host.
    • Requer que as permissões #3 e #4 sejam atribuídas à conta de serviço.
  • Permissão em nível de sub-rede:
    • Permite acesso a sub-redes específicas dentro da VPC compartilhada.
    • As permissões #3 e #4 são intrínsecas à atribuição de nível de sub-rede e, portanto, não precisam ser atribuídas diretamente à conta de serviço.

Selecione a abordagem que corresponde às necessidades da sua organização e aos seus padrões de segurança.

Dica:

Para obter mais informações sobre as diferenças entre permissões em nível de projeto e de sub-rede, consulte a documentação do Google Cloud.

Regras de firewall

Durante a preparação de um catálogo de máquina, uma imagem de máquina é preparada para servir como disco do sistema de imagem mestre para o catálogo. Quando esse processo ocorre, o disco é temporariamente conectado a uma máquina virtual. Esta VM deve ser executada em um ambiente isolado que impeça todo o tráfego de rede de entrada e saída. Isso é feito por meio de um par de regras de firewall de negação total: uma para tráfego de entrada e outra para tráfego de saída. Ao usar VCPs locais do Google Cloud, o MCS cria esse firewall na rede local e o aplica à máquina para masterização. Após a conclusão da masterização, a regra de firewall é removida da imagem.

Recomendamos manter o número de novas permissões necessárias para usar VPCs compartilhadas no mínimo. VPCs compartilhadas são recursos corporativos de nível superior e normalmente têm protocolos de segurança mais rígidos. Por esse motivo, crie um par de regras de firewall no projeto host nos recursos de VPC compartilhados, uma para entrada e outra para saída. Atribua a eles a maior prioridade. Aplique uma nova tag de destino a cada uma dessas regras, usando o seguinte valor:

citrix-provisioning-quarantine-firewall

Quando o MCS cria ou atualiza um catálogo de máquinas, ele procura regras de firewall que contenham essa tag de destino. Em seguida, ele examina as regras de correção e as aplica à máquina usada para preparar a imagem mestre para o catálogo. Se as regras do firewall não forem encontradas, ou se as regras forem encontradas, mas as regras ou suas prioridades estiverem incorretas, uma mensagem semelhante à seguinte será exibida:

"Unable to find valid INGRESS and EGRESS quarantine firewall rules for VPC <name> in project <project>. " Please ensure you have created 'deny all' firewall rules with the network tag 'citrix-provisioning-quarantine-firewall' and proper priority." "Refer to Citrix Documentation for details."

Configurando a VPC compartilhada

Antes de adicionar a VPC compartilhada como uma conexão de host no Web Studio, conclua as seguintes etapas para adicionar contas de serviço do projeto que você pretende provisionar:

  1. Crie uma função do IAM.
  2. Adicione a conta de serviço usada para criar uma conexão de host CVAD à função IAM do projeto de host da VPC compartilhada.
  3. Adicione a conta de serviço do Cloud Build do projeto que você pretende provisionar à função do IAM do projeto de host da VPC compartilhada.
  4. Crie regras de firewall.

Criar uma função do IAM

Determine o nível de acesso da função — acesso de nível de projeto ou um modelo mais restrito usando acesso de nível de sub-rede.

Acesso em nível de projeto para função IAM. Para a função IAM de nível de projeto, inclua as seguintes permissões:

  • computar.firewalls.lista
  • computar.redes.lista
  • computar.sub-redes.lista
  • computar.sub-redes.uso

Para criar uma função IAM em nível de projeto:

  1. No console do Google Cloud, navegue até IAM & Admin > Roles.
  2. Na página Funções , selecione CRIAR FUNÇÃO.
  3. Na página Criar função , especifique o nome da função. Selecione ADICIONAR PERMISSÕES.
    1. Na página Adicionar permissões , adicione permissões à função, individualmente. Para adicionar uma permissão, digite o nome da permissão no campo Tabela de filtro . Selecione a permissão e então selecione ADICIONAR.
    2. Selecione CRIAR.

Função IAM em nível de sub-rede. Esta função omite a adição das permissões compute.subnetworks.list e compute.subnetworks.use após selecionar CREATE ROLE. Para este nível de acesso do IAM, as permissões compute.firewalls.list e compute.networks.list devem ser aplicadas à nova função.

Para criar uma função IAM em nível de sub-rede:

  1. No console do Google Cloud, navegue até Rede VPC > VPC compartilhada. A página Shared VPC é exibida, exibindo as sub-redes das redes Shared VPC que o projeto host contém.
  2. Na página VPC compartilhada , selecione a sub-rede que você deseja acessar.
  3. No canto superior direito, selecione ADICIONAR MEMBRO para adicionar uma conta de serviço.
  4. Na página Adicionar membros , conclua estas etapas:
    1. No campo Novos membros , digite o nome da sua conta de serviço e selecione-a no menu.
    2. Selecione o campo Selecione uma função e depois Usuário da rede de computação.
    3. Selecione SALVAR.
  5. No console do Google Cloud, navegue até IAM & Admin > Roles.
  6. Na página Funções , selecione CRIAR FUNÇÃO.
  7. Na página Criar função , especifique o nome da função. Selecione ADICIONAR PERMISSÕES.
    1. Na página Adicionar permissões , adicione permissões à função, individualmente. Para adicionar uma permissão, digite o nome da permissão no campo Tabela de filtro . Selecione a permissão e, em seguida, selecione ADICIONAR.
    2. Selecione CRIAR.

Adicionar uma conta de serviço à função IAM do projeto host

Depois de criar uma função do IAM, siga as seguintes etapas para adicionar uma conta de serviço para o projeto host:

  1. No console do Google Cloud, navegue até o projeto host e depois até IAM & Admin > IAM.
  2. Na página IAM , selecione ADICIONAR para adicionar uma conta de serviço.
  3. Na página Adicionar membros :
    1. No campo Novos membros , digite o nome da sua conta de serviço e selecione-a no menu.
    2. Selecione um campo de função, digite a função do IAM que você criou e selecione a função no menu.
    3. Selecione SALVAR.

A conta de serviço agora está configurada para o projeto host.

Adicione a conta do serviço de criação em nuvem à VPC compartilhada

Cada assinatura do Google Cloud tem uma conta de serviço que recebe o nome do número de ID do projeto, seguido por cloudbuild.gserviceaccount. Por exemplo: 705794712345@cloudbuild.gserviceaccount.

Você pode determinar qual é o número de ID do projeto selecionando Início e Painel no console do Google Cloud:

Painel de navegação do console do Google Cloud

Encontre o Número do Projeto abaixo da área Informações do Projeto da tela.

Execute as seguintes etapas para adicionar a conta de serviço do Cloud Build à VPC compartilhada:

  1. No console do Google Cloud, navegue até o projeto host e depois até IAM & Admin > IAM.
  2. Na página Permissões , selecione ADICIONAR para adicionar uma conta.
  3. Na página Adicionar membros , conclua estas etapas:
    1. No campo Novos membros , digite o nome da conta de serviço do Cloud Build e selecione sua conta de serviço no menu.
    2. Selecione o campo Selecione uma função , digite Usuário de rede de computadorese selecione a função no menu.
    3. Selecione SALVAR.

Criar regras de firewall

Como parte do processo de masterização, o MCS copia a imagem da máquina selecionada e a usa para preparar o disco do sistema de imagem mestre para o catálogo. Durante a masterização, o MCS anexa o disco a uma máquina virtual temporária, que então executa scripts de preparação. Esta VM deve ser executada em um ambiente isolado que proíba todo o tráfego de rede de entrada e saída. Para criar um ambiente isolado, o MCS requer duas regras de firewall negar todos (uma regra de entrada e uma regra de saída). Portanto, crie duas regras de firewall no Projeto Host ** da seguinte forma:

  1. No console do Google Cloud, navegue até o projeto host e depois até Rede VPC > Firewall.
  2. Na página Firewall , selecione CRIAR REGRA DE FIREWALL.
  3. Na página Criar uma regra de firewall , conclua o seguinte:
    • Nome. Digite um nome para a regra.
    • Rede. Selecione a rede VPC compartilhada à qual a regra de firewall de entrada se aplica.
    • Prioridade. Quanto menor for o valor, maior será a prioridade da regra. Recomendamos um valor pequeno (por exemplo, 10).
    • Direção do tráfego. Selecione Entrada.
    • Ação na partida. Selecione Negar.
    • Alvos. Use o padrão, Tags de destino especificadas.
    • Etiquetas de destino. Digite citrix-provisioning-quarantine-firewall.
    • Filtro de origem. Use o padrão, intervalos de IP.
    • Intervalos de IP de origem. Digite um intervalo que corresponda a todo o tráfego. Digite 0.0.0.0/0.
    • Protocolos e portas. Selecione Negar tudo.
  4. Selecione CRIAR para criar a regra.
  5. Repita as etapas 1 a 4 para criar outra regra. Para Direção do tráfego, selecione Saída.

Adicionar uma conexão

Adicione uma conexão aos ambientes de nuvem do Google. Veja Adicionar uma conexão.

Habilitar seleção de zona

O Citrix Virtual Apps and Desktops oferece suporte à seleção de zonas. Com a seleção de zona, você especifica as zonas onde deseja criar VMs. Com a seleção de zona, os administradores podem colocar nós de locatário único em zonas de sua escolha. Para configurar a locação exclusiva, você deve concluir o seguinte no Google Cloud:

  • Reserve um nó de locatário único do Google Cloud
  • Crie a imagem mestre do VDA

Reservando um nó de locatário único do Google Cloud

Para reservar um nó de locatário único, consulte a documentação do Google Cloud .

Importante:

Um modelo de nó é usado para indicar características de desempenho do sistema que são reservadas no grupo de nós. Essas características incluem o número de vGPUs, a quantidade de memória alocada ao nó e o tipo de máquina usado para máquinas criadas no nó. Para obter mais informações, consulte a documentação do Google Cloud .

Criando a imagem mestre do VDA

Para implantar máquinas no nó de locatário único com sucesso, você precisa tomar medidas extras ao criar uma imagem de VM mestre. Instâncias de máquina no Google Cloud têm uma propriedade chamada rótulos de afinidade de nó. Instâncias usadas como imagens mestras para catálogos implantados no nó de locatário único requerem um rótulo de afinidade de nó que corresponda ao nome dogrupo de nós de destino**. Para conseguir isso, tenha em mente o seguinte:

Observação:

Se você pretende usar locação exclusiva com uma VPC compartilhada, consulte Nuvem privada virtual compartilhada.

Defina um rótulo de afinidade de nó ao criar uma instância

Para definir o rótulo de afinidade do nó:

  1. No console do Google Cloud, navegue até Compute Engine > Instâncias de VM.

  2. Na página Instâncias de VM , selecione Criar instância.

  3. Na página Criação de instância , digite ou configure as informações necessárias e selecione gerenciamento, segurança, discos, rede, locação única para abrir o painel de configurações.

  4. Na aba Locação única , selecione Procurar para visualizar os grupos de nós disponíveis no projeto atual. A página Nó de locatário único aparece, exibindo uma lista de grupos de nós disponíveis.

  5. Na página Nó de locatário único , selecione o grupo de nós aplicável na lista e, em seguida, selecione Selecione para retornar à guia Locação única . O campo de rótulos de afinidade do nó é preenchido com as informações selecionadas. Essa configuração garante que os catálogos de máquinas criados a partir da instância serão implantados no grupo de nós selecionado.

  6. Selecione Criar para criar a instância.

Defina um rótulo de afinidade de nó para uma instância existente

Para definir o rótulo de afinidade do nó:

  1. Na janela do terminal do Google Cloud Shell, use o comando gcloud compute instances para definir um rótulo de afinidade de nó. Inclua as seguintes informações no comando gcloud :

    • Nome da VM. Por exemplo, use uma VM existente chamada s*2019-vda-base.*
    • Nome do grupo de nós. Use o nome do grupo de nós que você criou anteriormente. Por exemplo, mh-sole-tenant-node-group-1.
    • A zona onde a instância reside. Por exemplo, a VM reside na zona *us-east-1b*.

    Por exemplo, digite o seguinte comando na janela do terminal:

    • gcloud compute instances set-scheduling "s2019-vda-base" --node-group="mh-sole-tenant-node-group-1" --zone="us-east1-b"

    Para obter mais informações sobre o comando gcloud compute instances , consulte a documentação do Google Developer Tools em https://cloud.google.com/sdk/gcloud/reference/beta/compute/instances/set-scheduling.

  2. Navegue até a página Detalhes da instância da VM da instância e verifique se o campo Afinidades do nó é preenchido com o rótulo.

Criar um catálogo de máquinas

Depois de definir o rótulo de afinidade do nó, configure o catálogo da máquina.

Prévia: Usando chaves de criptografia gerenciadas pelo cliente (CMEK)

Você pode usar Chaves de Criptografia Gerenciadas pelo Cliente (CMEK) para catálogos MCS. Ao usar essa funcionalidade, você atribui a função Google Cloud Key Management Service CryptoKey Encrypter/Decrypter ao Compute Engine Service Agent. A conta do Citrix DaaS deve ter as permissões corretas no projeto onde a chave está armazenada. Consulte Ajudando a proteger recursos usando chaves do Cloud KMS para obter mais informações.

Seu agente de serviço do Compute Engine está no seguinte formato: service-<Project _Number>@compute-system.iam.gserviceaccount.com. Este formulário é diferente da Conta de Serviço padrão do Compute Engine.

Observação:

Esta conta de serviço do Compute Engine pode não aparecer na exibição do Google Console Permissões do IAM . Nesses casos, use o comando gcloud conforme descrito em Ajudando a proteger recursos usando chaves do Cloud KMS.

Atribuir permissões à conta Citrix DaaS

As permissões do Google Cloud KMS podem ser configuradas de várias maneiras. Você pode fornecer nível de projeto permissões KMS ou nível de recurso permissões KMS. Veja Permissões e funções para mais informações.

Permissões de nível de projeto

Uma opção é fornecer à conta Citrix DaaS permissões em nível de projeto para navegar pelos recursos do Cloud KMS. Para fazer isso, crie uma função personalizada e adicione as seguintes permissões:

  • cloudkms.keyRings.list
  • cloudkms.keyRings.get
  • cloudkms.cryptokeys.list
  • cloudkms.cryptokeys.get

Atribua esta função personalizada à sua conta do Citrix DaaS. Isso permite que você navegue pelas chaves regionais no projeto relevante no inventário.

Permissões de nível de recurso

Para a outra opção, permissões de nível de recurso, no console do Google Cloud, navegue até a cryptoKey que você usa para provisionamento do MCS. Adicione uma conta Citrix DaaS a um conjunto de chaves ou a uma chave que você usa para provisionamento de catálogo.

Dica:

Com essa opção, você não pode procurar chaves regionais para seu projeto no inventário porque a conta do Citrix DaaS não tem permissões de lista em nível de projeto nos recursos do Cloud KMS. No entanto, você ainda pode provisionar um catálogo usando CMEK especificando o cryptoKeyId correto nas propriedades personalizadas ProvScheme , descritas abaixo.

Provisionamento com CMEK usando propriedades personalizadas

Ao criar seu Esquema de Provisionamento via PowerShell, especifique uma propriedade CryptoKeyId em ProvScheme CustomProperties. Por exemplo:

  '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
      <Property xsi:type="StringProperty" Name="CryptoKeyId" Value="<yourCryptoKeyId>" />
  </CustomProperties>'
<!--NeedCopy-->

O cryptoKeyId deve ser especificado no seguinte formato:

projectId:location:keyRingName:cryptoKeyName

Por exemplo, se você quiser usar a chave my-example-key no chaveiro my-example-key-ring na região us-east1 e no projeto com ID my-example-project-1, suas configurações personalizadas do ProvScheme seriam semelhantes a:

  '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
      <Property xsi:type="StringProperty" Name="CryptoKeyId" Value="my-example-project-1:us-east1:my-example-key-ring:my-example-key" />
  </CustomProperties>'
<!--NeedCopy-->

Todos os discos e imagens provisionados pelo MCS relacionados a este esquema de provisionamento usam esta chave de criptografia gerenciada pelo cliente.

Dica:

Se você usar chaves globais, o local das propriedades do cliente deve dizer global e não o nome região , que no exemplo acima é us-east1. Por exemplo: <Property xsi:type="StringProperty" Name="CryptoKeyId" Value="my-example-project-1:global:my-example-key-ring:my-example-key" />.

Chaves rotativas gerenciadas pelo cliente

O Google Cloud não oferece suporte à rotação de chaves em discos persistentes ou imagens existentes. Depois que uma máquina é provisionada, ela é vinculada à versão da chave em uso no momento em que foi criada. No entanto, uma nova versão da chave pode ser criada e essa nova chave é usada para máquinas ou recursos recém-provisionados criados quando um catálogo é atualizado com uma nova imagem mestre.

Considerações importantes sobre chaveiros

Os chaveiros não podem ser renomeados ou excluídos. Além disso, você pode incorrer em custos imprevistos ao configurá-los. Ao excluir ou remover um chaveiro, o Google Cloud exibe uma mensagem de erro:

  Sorry, you can't delete or rename keys or key rings.   We were concerned about the security implications of allowing multiple keys or key versions over time to have the same resource name, so we decided to make names immutable.   (And you can't delete them, because we wouldn't be able to do a true deletion--there would still have to be a tombstone tracking that this name had been used and couldn't be reused).
  We're aware that this can make things untidy, but we have no immediate plans to change this.
  If you want to avoid getting billed for a key or otherwise make it unavailable, you can do so by deleting all the key versions; neither keys nor key rings are billed for, just the active key versions within the keys.
<!--NeedCopy-->

Dica:

Para obter mais informações, consulte Editando ou excluindo um chaveiro do console.

Compatibilidade uniforme de acesso em nível de bucket

O Citrix DaaS é compatível com a política uniforme de controle de acesso em nível de bucket no Google Cloud. Essa funcionalidade amplia o uso da política do IAM que concede permissões a uma conta de serviço para permitir a manipulação de recursos, incluindo buckets de armazenamento. Com controle de acesso uniforme em nível de bucket, o Citrix DaaS permite que você use uma lista de controle de acesso (ACL) para controlar o acesso a buckets de armazenamento ou objetos armazenados neles. Consulte Acesso uniforme em nível de bucket para obter informações gerais sobre o acesso uniforme em nível de bucket do Google Cloud. Para obter informações de configuração, consulte Exigir acesso uniforme no nível do bucket.

URLs de ponto de extremidade de serviço

Você deve ter acesso aos seguintes URLs:

  • https://oauth2.googleapis.com
  • https://cloudresourcemanager.googleapis.com
  • https://compute.googleapis.com
  • https://storage.googleapis.com
  • https://cloudbuild.googleapis.com

Projetos do Google Cloud

Existem basicamente dois tipos de projetos do Google Cloud:

  • Provisionamento do projeto: neste caso, a conta de administrador atual é proprietária das máquinas provisionadas no projeto. Este projeto também é chamado de projeto local.
  • Projeto de VPC compartilhada: projeto no qual as máquinas criadas no projeto de provisionamento usam a VPC do projeto de VPC compartilhada. A conta de administrador usada para provisionar o projeto tem permissões limitadas neste projeto, especificamente, apenas permissões para usar a VPC.

Permissões necessárias do GCP

Esta seção contém a lista completa de permissões do GCP. Use o conjunto completo de permissões conforme fornecido na seção para que a funcionalidade funcione corretamente.

Observação:

O GCP está introduzindo alterações no comportamento padrão do Cloud Build Services e no uso de contas de serviço após 29 de abril de 2024. Para obter mais informações, consulte Alteração da conta do serviço Cloud Build. Seus projetos existentes do Google com a API do Cloud Build ativada antes de 29 de abril de 2024 não serão afetados por essa alteração. No entanto, se você quiser manter o comportamento atual do Cloud Build Service após 29 de abril, poderá criar ou aplicar a política da organização para desabilitar a aplicação de restrições antes de habilitar a API. Se você definir a nova política da organização, ainda poderá seguir as permissões existentes nesta seção e os itens marcados como Antes da alteração da conta do serviço Cloud Build. Caso contrário, siga as permissões e itens existentes marcados como Após alteração da conta do serviço Cloud Build.

Criando uma conexão de host

  • Permissões mínimas necessárias para a conta do Citrix Cloud Service no projeto de provisionamento:

       compute.instanceTemplates.list
       compute.instances.list
       compute.networks.list
       compute.projects.get
       compute.regions.list
       compute.subnetworks.list
       compute.zones.list
       resourcemanager.projects.get
     <!--NeedCopy-->
    

    As seguintes funções definidas pelo Google têm as permissões listadas acima:

    • Administrador de Computação
    • Usuário do Cloud Datastore
  • Permissões adicionais necessárias para VPC compartilhada para conta do Citrix Cloud Service no projeto de VPC compartilhada:

       compute.networks.list
       compute.subnetworks.list
       resourcemanager.projects.get
     <!--NeedCopy-->
    

    As seguintes funções definidas pelo Google têm as permissões listadas acima:

    • Usuário de rede de computação

Gerenciamento de energia de VMs

Permissões mínimas necessárias para a conta do Citrix Cloud Service no projeto de provisionamento no caso de catálogos somente com gerenciamento de energia:

  compute.instanceTemplates.list
  compute.instances.list
  compute.instances.get
  compute.instances.reset
  compute.instances.resume
  compute.instances.start
  compute.instances.stop
  compute.instances.suspend
  compute.networks.list
  compute.projects.get
  compute.regions.list
  compute.subnetworks.list
  compute.zones.list
  resourcemanager.projects.get
  compute.zoneOperations.get
<!--NeedCopy-->

As seguintes funções definidas pelo Google têm as permissões listadas acima:

  • Administrador de Computação
  • Usuário do Cloud Datastore

Criando, atualizando ou excluindo VMs

  • Permissões mínimas necessárias para a conta do Citrix Cloud Service no projeto de provisionamento:

       cloudbuild.builds.create
       cloudbuild.builds.get
       cloudbuild.builds.list
       compute.acceleratorTypes.list
       compute.diskTypes.get
       compute.diskTypes.list
       compute.disks.create
       compute.disks.createSnapshot
       compute.disks.delete
       compute.disks.get
       compute.disks.list
       compute.disks.setLabels
       compute.disks.use
       compute.disks.useReadOnly
       compute.firewalls.create
       compute.firewalls.delete
       compute.firewalls.list
       compute.globalOperations.get
       compute.images.create
       compute.images.delete
       compute.images.get
       compute.images.list
       compute.images.setLabels
       compute.images.useReadOnly
       compute.instanceTemplates.create
       compute.instanceTemplates.delete
       compute.instanceTemplates.get
       compute.instanceTemplates.list
       compute.instanceTemplates.useReadOnly
       compute.instances.attachDisk
       compute.instances.create
       compute.instances.delete
       compute.instances.detachDisk
       compute.instances.get
       compute.instances.list
       compute.instances.reset
       compute.instances.resume
       compute.instances.setDeletionProtection
       compute.instances.setLabels
       compute.instances.setMetadata
       compute.instances.setServiceAccount
       compute.instances.setTags
       compute.instances.start
       compute.instances.stop
       compute.instances.suspend
       compute.machineTypes.get
       compute.machineTypes.list
       compute.networks.list
       compute.networks.updatePolicy
       compute.nodeGroups.list
       compute.nodeTemplates.get
       compute.projects.get
       compute.regions.list
       compute.snapshots.create
       compute.snapshots.delete
       compute.snapshots.list
       compute.snapshots.get
       compute.snapshots.setLabels
       compute.snapshots.useReadOnly
       compute.subnetworks.get
       compute.subnetworks.list
       compute.subnetworks.use
       compute.zoneOperations.get
       compute.zoneOperations.list
       compute.zones.get
       compute.zones.list
       iam.serviceAccounts.actAs
       resourcemanager.projects.get
       storage.buckets.create
       storage.buckets.delete
       storage.buckets.get
       storage.buckets.list
       storage.buckets.update
       storage.objects.create
       storage.objects.delete
       storage.objects.get
       storage.objects.list
       compute.networks.get
       compute.resourcePolicies.use
    
     <!--NeedCopy-->
    

    As seguintes funções definidas pelo Google têm as permissões listadas acima:

    • Administrador de Computação
    • Administrador de armazenamento
    • Editor de construção de nuvem
    • Usuário da conta de serviço
    • Usuário do Cloud Datastore
  • Permissões adicionais necessárias para a VPC compartilhada para a conta do Citrix Cloud Service no projeto da VPC compartilhada para criar uma unidade de hospedagem usando a VPC e a sub-rede do projeto da VPC compartilhada:

       compute.firewalls.list
       compute.networks.list
       compute.projects.get
       compute.regions.list
       compute.subnetworks.get
       compute.subnetworks.list
       compute.subnetworks.use
       compute.zones.list
       resourcemanager.projects.get
     <!--NeedCopy-->
    

    As seguintes funções definidas pelo Google têm as permissões listadas acima:

    • Usuário de rede de computação
    • Usuário do Cloud Datastore
  • (Antes da alteração da conta do serviço Cloud Build): Permissões mínimas necessárias para a conta do serviço Cloud Build no projeto de provisionamento exigidas pelo serviço Google Cloud Build ao baixar o disco de instruções de preparação para o MCS:

  • (Após alteração da conta do serviço Cloud Build): Permissões mínimas necessárias para a conta do serviço Cloud Compute no projeto de provisionamento exigidas pelo serviço Google Cloud Compute ao baixar o disco de instruções de preparação para o MCS:

       compute.disks.create
       compute.disks.delete
       compute.disks.get
       compute.disks.list
       compute.disks.setLabels
       compute.disks.use
       compute.disks.useReadOnly
       compute.images.get
       compute.images.list
       compute.images.useReadOnly
       compute.instances.create
       compute.instances.delete
       compute.instances.get
       compute.instances.getSerialPortOutput
       compute.instances.list
       compute.instances.setLabels
       compute.instances.setMetadata
       compute.instances.setServiceAccount
       compute.machineTypes.list
       compute.networks.get
       compute.networks.list
       compute.projects.get
       compute.subnetworks.list
       compute.subnetworks.use
       compute.subnetworks.useExternalIp
       compute.zoneOperations.get
       compute.zones.list
       iam.serviceAccounts.actAs
       logging.logEntries.create
       pubsub.topics.publish
       resourcemanager.projects.get
       source.repos.get
       source.repos.list
       storage.buckets.create
       storage.buckets.get
       storage.buckets.list
       storage.objects.create
       storage.objects.delete
       storage.objects.get
       storage.objects.list
     <!--NeedCopy-->
    

    As seguintes funções definidas pelo Google têm as permissões listadas acima:

    • Conta do serviço Cloud Build (após a alteração da conta do serviço Cloud Build, ela se torna uma conta do serviço Cloud Compute)
    • Administrador de instância de computação
    • Usuário da conta de serviço
  • Permissões mínimas necessárias para a conta do serviço Cloud Compute no projeto de provisionamento exigidas pelo serviço Google Cloud Build ao baixar o disco de instruções de preparação para o MCS:

       resourcemanager.projects.get
       storage.objects.create
       storage.objects.get
       storage.objects.list
     <!--NeedCopy-->
    

    As seguintes funções definidas pelo Google têm as permissões listadas acima:

    • Usuário de rede de computação
    • Usuário da conta de armazenamento
    • Usuário do Cloud Datastore
  • (Antes da alteração da conta do serviço Cloud Build): permissões adicionais necessárias para VPC compartilhada para a conta do serviço Cloud Build no projeto de provisionamento exigido pelo serviço Google Cloud Build ao baixar o disco de instruções de preparação para o MCS:
  • (Após alteração da conta do serviço Cloud Build): permissões adicionais necessárias para a VPC compartilhada para a conta do serviço Cloud Compute no projeto de provisionamento exigida pelo serviço Google Cloud Compute ao baixar o disco de instruções de preparação para o MCS:

       compute.firewalls.list
       compute.networks.list
       compute.subnetworks.list
       compute.subnetworks.use
       resourcemanager.projects.get
     <!--NeedCopy-->
    

    As seguintes funções definidas pelo Google têm as permissões listadas acima:

    • Usuário de rede de computação
    • Usuário da conta de armazenamento
    • Usuário do Cloud Datastore
  • Permissões adicionais necessárias para o Cloud Key Management Service (KMS) para a conta do Citrix Cloud Service no projeto de provisionamento:

       cloudkms.cryptoKeys.get
       cloudkms.cryptoKeys.list
       cloudkms.keyRings.get
       cloudkms.keyRings.list
     <!--NeedCopy-->
    

    As seguintes funções definidas pelo Google têm as permissões listadas acima:

    • Calcular visualizador KMS

Permissões gerais

A seguir estão as permissões para a conta do Citrix Cloud Service no projeto de provisionamento para todos os recursos suportados no MCS. Essas permissões oferecem a melhor compatibilidade no futuro:

  resourcemanager.projects.get
  cloudbuild.builds.create
  cloudbuild.builds.get
  cloudbuild.builds.list
  compute.acceleratorTypes.list
  compute.diskTypes.get
  compute.diskTypes.list
  compute.disks.create
  compute.disks.createSnapshot
  compute.disks.delete
  compute.disks.get
  compute.disks.setLabels
  compute.disks.use
  compute.disks.useReadOnly
  compute.firewalls.create
  compute.firewalls.delete
  compute.firewalls.list
  compute.globalOperations.get
  compute.images.create
  compute.images.delete
  compute.images.get
  compute.images.list
  compute.images.setLabels
  compute.images.useReadOnly
  compute.instanceTemplates.create
  compute.instanceTemplates.delete
  compute.instanceTemplates.get
  compute.instanceTemplates.list
  compute.instanceTemplates.useReadOnly
  compute.instances.attachDisk
  compute.instances.create
  compute.instances.delete
  compute.instances.detachDisk
  compute.instances.get
  compute.instances.list
  compute.instances.reset
  compute.instances.resume
  compute.instances.setDeletionProtection
  compute.instances.setLabels
  compute.instances.setMetadata
  compute.instances.setTags
  compute.instances.start
  compute.instances.stop
  compute.instances.suspend
  compute.instances.update
  compute.instances.updateAccessConfig
  compute.instances.updateDisplayDevice
  compute.instances.updateSecurity
  compute.instances.updateShieldedInstanceConfig
  compute.instances.updateShieldedVmConfig
  compute.machineTypes.get
  compute.machineTypes.list
  compute.networks.list
  compute.networks.updatePolicy
  compute.nodeGroups.list
  compute.nodeTemplates.get
  compute.projects.get
  compute.regions.list
  compute.snapshots.create
  compute.snapshots.delete
  compute.snapshots.list
  compute.snapshots.get
  compute.snapshots.setLabels
  compute.snapshots.useReadOnly
  compute.subnetworks.get
  compute.subnetworks.list
  compute.subnetworks.use
  compute.subnetworks.useExternalIp
  compute.zoneOperations.get
  compute.zoneOperations.list
  compute.zones.get
  compute.zones.list
  resourcemanager.projects.get
  storage.buckets.create
  storage.buckets.delete
  storage.buckets.get
  storage.buckets.list
  storage.buckets.update
  storage.objects.create
  storage.objects.delete
  storage.objects.get
  storage.objects.list
  cloudkms.cryptoKeys.get
  cloudkms.cryptoKeys.list
  cloudkms.keyRings.get
  cloudkms.keyRings.list
  compute.disks.list
  compute.instances.setServiceAccount
  compute.networks.get
  compute.networks.use
  compute.networks.useExternalIp
  iam.serviceAccounts.actAs
  compute.resourcePolicies.use
<!--NeedCopy-->

Mais informações