Documentação de produtos
Citrix Virtual Apps and Desktops
Service Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912 LTSR
Ver PDF

Ambientes do Google Cloud

January 23, 2026
Contribuição de: 
C

O Citrix Virtual Apps and Desktops™ permite provisionar e gerenciar máquinas no Google Cloud. Este artigo orienta você no uso do Machine Creation Services (MCS) para provisionar máquinas virtuais em sua implantação do serviço Citrix Virtual Apps ou Citrix Virtual Desktops.

Requisitos

  • Conta Citrix Cloud™. O recurso descrito neste artigo está disponível apenas no Citrix Cloud.
  • Assinatura do Citrix DaaS. Para obter detalhes, consulte Introdução.
  • Um projeto do Google Cloud. O projeto armazena todos os recursos de computação associados ao catálogo de máquinas. Pode ser um projeto existente ou um novo.
  • Habilite quatro APIs em seu projeto do Google Cloud. Para obter detalhes, consulte Habilitar APIs do Google Cloud.
  • Conta de serviço do Google Cloud. A conta de serviço autentica-se no Google Cloud para permitir o acesso ao projeto. Para obter detalhes, consulte Configurar a conta de serviço do Google Cloud.
  • Habilite o acesso privado do Google. Para obter detalhes, consulte Habilitar acesso privado do Google.

Habilitar APIs do Google Cloud

Para usar a funcionalidade do Google Cloud por meio do Web Studio, habilite estas APIs em seu projeto do Google Cloud:

  • Compute Engine API
  • Cloud Resource Manager API
  • Identity and Access Management (IAM) API
  • Cloud Build API

No console do Google Cloud, conclua estas etapas:

  1. No menu superior esquerdo, selecione APIs e Serviços > Painel.

    Imagem de seleção do painel de APIs e Serviços

  2. Na tela Painel, certifique-se de que a Compute Engine API esteja habilitada. Caso contrário, siga estas etapas:

    1. Navegue até APIs e Serviços > Biblioteca.

      Imagem da biblioteca de APIs e Serviços

    2. Na caixa de pesquisa, digite Compute Engine.

    3. Nos resultados da pesquisa, selecione Compute Engine API.

    4. Na página Compute Engine API, selecione Habilitar.

  3. Habilite a Cloud Resource Manager API.

    1. Navegue até APIs e Serviços > Biblioteca.

    2. Na caixa de pesquisa, digite Cloud Resource Manager.

    3. Nos resultados da pesquisa, selecione Cloud Resource Manager API.

    4. Na página Cloud Resource Manager API, selecione Habilitar. O status da API é exibido.

  4. Da mesma forma, habilite a Identity and Access Management (IAM) API e a Cloud Build API.

Você também pode usar o Google Cloud Shell para habilitar as APIs. Para fazer isso:

  1. Abra o Console do Google e carregue o Cloud Shell.

  2. Execute os quatro comandos a seguir no Cloud Shell:

    • gcloud services enable compute.googleapis.com
    • gcloud services enable cloudresourcemanager.googleapis.com
    • gcloud services enable iam.googleapis.com
    • gcloud services enable cloudbuild.googleapis.com
  3. Clique em Autorizar se o Cloud Shell solicitar.

Configurar e atualizar contas de serviço

Nota:

A CP está introduzindo alterações no comportamento padrão e no uso de contas de serviço do Cloud Build Service após 29 de abril de 2024. Para obter mais informações, consulte Cloud Build Service Account Change. Seus projetos existentes do Google com a Cloud Build API habilitada antes de 29 de abril de 2024 não são afetados por essa alteração. No entanto, se você quiser ter o comportamento existente do Cloud Build Service após 29 de abril, poderá criar ou aplicar a política da organização para desabilitar a aplicação da restrição antes de habilitar a Cloud Build API. Como resultado, o conteúdo a seguir é dividido em dois: Antes de 29 de abril de 2024 e Depois de 29 de abril de 2024. Se você definir a nova política da organização, siga a seção Antes de 29 de abril de 2024.

Antes de 29 de abril de 2024

O Citrix Cloud usa três contas de serviço separadas dentro do projeto do Google Cloud:

  • Conta de Serviço do Citrix Cloud: Esta conta de serviço permite que o Citrix Cloud acesse o projeto do Google, provisione e gerencie máquinas. Esta conta de serviço autentica-se no Google Cloud usando uma chave gerada pelo Google Cloud.

    Você deve criar esta conta de serviço manualmente, conforme descrito aqui. Para obter mais informações, consulte Criar uma conta de serviço do Citrix Cloud.

    Você pode identificar esta conta de serviço por um endereço de e-mail. Por exemplo, <my-service-account>@<project-id>.iam.gserviceaccount.com.

  • Conta de Serviço do Cloud Build: Esta conta de serviço é provisionada automaticamente depois que você habilita todas as APIs mencionadas em Habilitar APIs do Google Cloud. Para visualizar todas as contas de serviço criadas automaticamente, navegue até IAM e Admin > IAM no console do Google Cloud e selecione a caixa de seleção Incluir concessões de função fornecidas pelo Google.

    Você pode identificar esta conta de serviço por um endereço de e-mail que começa com o ID do Projeto e a palavra cloudbuild. Por exemplo, <project-id>@cloudbuild.gserviceaccount.com

    Verifique se a conta de serviço recebeu as seguintes funções. Se você precisar adicionar funções, siga as etapas descritas em Adicionar funções à conta de serviço do Cloud Build.

    • Cloud Build Service Account
    • Compute Instance Admin
    • Service Account User

  • Conta de Serviço do Cloud Compute: Esta conta de serviço é adicionada pelo Google Cloud às instâncias criadas no Google Cloud assim que a Compute API é ativada. Esta conta tem a função básica de editor do IAM para realizar as operações. No entanto, se você excluir a permissão padrão para ter um controle mais granular, deverá adicionar uma função de Administrador de Armazenamento que requer as seguintes permissões:

    • resourcemanager.projects.get
    • storage.objects.create
    • storage.objects.get
    • storage.objects.list

Você pode identificar esta conta de serviço por um endereço de e-mail que começa com o ID do Projeto e a palavra compute. Por exemplo, <project-id>-compute@developer.gserviceaccount.com.

Criar uma conta de serviço do Citrix Cloud

Para criar uma conta de serviço do Citrix Cloud, siga estas etapas:

  1. No console do Google Cloud, navegue até IAM e Admin > Contas de serviço.
  2. Na página Contas de serviço, selecione CRIAR CONTA DE SERVIÇO.
  3. Na página Criar conta de serviço, insira as informações necessárias e selecione CRIAR E CONTINUAR.

  4. Na página Conceder a esta conta de serviço acesso ao projeto, clique no menu suspenso Selecionar uma função e selecione as funções necessárias. Clique em +ADICIONAR OUTRA FUNÇÃO se quiser adicionar mais funções.

    Cada conta (pessoal ou de serviço) tem várias funções que definem o gerenciamento do projeto. Conceda as seguintes funções a esta conta de serviço:

    • Compute Admin
    • Storage Admin
    • Cloud Build Editor
    • Service Account User
    • Cloud Datastore User
    • Cloud KMS Crypto Operator

    O Cloud KMS Crypto Operator requer as seguintes permissões:

    • cloudkms.cryptoKeys.get
    • cloudkms.cryptoKeys.list
    • cloudkms.keyRings.get
    • cloudkms.keyRings.list

    Nota:

    Habilite todas as APIs para obter a lista completa de funções disponíveis ao criar uma nova conta de serviço.

  5. Clique em CONTINUAR.
  6. Na página Conceder acesso de usuários a esta conta de serviço, adicione usuários ou grupos para conceder a eles acesso para realizar ações nesta conta de serviço.
  7. Clique em CONCLUÍDO.
  8. Navegue até o console principal do IAM.
  9. Identifique a conta de serviço criada.
  10. Valide se as funções foram atribuídas com sucesso.

Considerações:

Ao criar a conta de serviço, considere o seguinte:

  • As etapas Conceder a esta conta de serviço acesso ao projeto e Conceder acesso de usuários a esta conta de serviço são opcionais. Se você optar por pular essas etapas de configuração opcionais, a conta de serviço recém-criada não será exibida na página IAM e Admin > IAM.
  • Para exibir as funções associadas a uma conta de serviço, adicione as funções sem pular as etapas opcionais. Este processo garante que as funções apareçam para a conta de serviço configurada.

Chave da conta de serviço do Citrix Cloud

A chave da conta de serviço do Citrix Cloud é necessária para criar uma conexão no Citrix DaaS. A chave está contida em um arquivo de credenciais (.json). O arquivo é baixado e salvo automaticamente na pasta Downloads depois que você cria a chave. Ao criar a chave, certifique-se de definir o tipo de chave como JSON. Caso contrário, o Web Studio não poderá analisá-la.

Para criar uma Chave de Conta de Serviço, navegue até IAM e Admin > Contas de serviço e clique no endereço de e-mail da Conta de Serviço do Citrix Cloud. Mude para a guia Chaves e selecione Adicionar Chave > Criar nova chave. Certifique-se de selecionar JSON como o tipo de chave.

Dica:

Crie chaves usando a página Contas de serviço no console do Google Cloud. Recomendamos que você altere as chaves regularmente por motivos de segurança. Você pode fornecer novas chaves ao aplicativo Citrix Virtual Apps and Desktops editando uma conexão existente do Google Cloud.

Adicionar funções à conta de serviço do Citrix Cloud

Para adicionar funções à conta de serviço do Citrix Cloud:

  1. No console do Google Cloud, navegue até IAM e Admin > IAM.

  2. Na página IAM > PERMISSÕES, localize a conta de serviço que você criou, identificável por um endereço de e-mail.

    Por exemplo, <my-service-account>@<project-id>.iam.gserviceaccount.com

  3. Selecione o ícone de lápis para editar o acesso ao principal da conta de serviço.
  4. Na página Editar acesso a “project-id” para a opção principal selecionada, selecione ADICIONAR OUTRA FUNÇÃO para adicionar as funções necessárias à sua conta de serviço uma a uma e, em seguida, selecione SALVAR.

Adicionar funções à conta de serviço do Cloud Build

Para adicionar funções à conta de serviço do Cloud Build:

  1. No console do Google Cloud, navegue até IAM e Admin > IAM.

  2. Na página IAM, localize a conta de serviço do Cloud Build, identificável por um endereço de e-mail que começa com o ID do Projeto e a palavra cloudbuild.

    Por exemplo, <project-id>@cloudbuild.gserviceaccount.com

  3. Selecione o ícone de lápis para editar as funções da conta do Cloud Build.

  4. Na página Editar acesso a “project-id” para a opção principal selecionada, selecione ADICIONAR OUTRA FUNÇÃO para adicionar as funções necessárias à sua conta de serviço do Cloud Build uma a uma e, em seguida, selecione SALVAR.

    Nota:

    Habilite todas as APIs para obter a lista completa de funções.

Depois de 29 de abril de 2024

O Citrix Cloud usa duas contas de serviço separadas dentro do projeto do Google Cloud:

  • Conta de Serviço do Citrix Cloud: Esta conta de serviço permite que o Citrix Cloud acesse o projeto do Google, provisione e gerencie máquinas. Esta conta de serviço autentica-se no Google Cloud usando uma chave gerada pelo Google Cloud.

    Você deve criar esta conta de serviço manualmente.

    Você pode identificar esta conta de serviço por um endereço de e-mail. Por exemplo, <my-service-account>@<project-id>.iam.gserviceaccount.com.

  • Conta de Serviço do Cloud Compute: Esta conta de serviço é provisionada automaticamente depois que você habilita todas as APIs mencionadas em Habilitar APIs do Google Cloud. Para visualizar todas as contas de serviço criadas automaticamente, navegue até IAM e Admin > IAM no console do Google Cloud e selecione a caixa de seleção Incluir concessões de função fornecidas pelo Google. Esta conta tem a função básica de editor do IAM para realizar as operações. No entanto, se você excluir a permissão padrão para ter um controle mais granular, deverá adicionar a função de Administrador de Armazenamento que requer as seguintes permissões:

    • resourcemanager.projects.get
    • storage.objects.create
    • storage.objects.get
    • storage.objects.list

    Você pode identificar esta conta de serviço por um endereço de e-mail que começa com o ID do Projeto e a palavra compute. Por exemplo, <project-id>-compute@developer.gserviceaccount.com.

    Verifique se a conta de serviço recebeu as seguintes funções.

    • Cloud Build Service Account
    • Compute Instance Admin
    • Service Account User

Criar uma conta de serviço do Citrix Cloud

Para criar uma conta de serviço do Citrix Cloud, siga estas etapas:

  1. No console do Google Cloud, navegue até IAM e Admin > Contas de serviço.
  2. Na página Contas de serviço, selecione CRIAR CONTA DE SERVIÇO.
  3. Na página Criar conta de serviço, insira as informações necessárias e selecione CRIAR E CONTINUAR.

  4. Na página Conceder a esta conta de serviço acesso ao projeto, clique no menu suspenso Selecionar uma função e selecione as funções necessárias. Clique em +ADICIONAR OUTRA FUNÇÃO se quiser adicionar mais funções.

    Cada conta (pessoal ou de serviço) tem várias funções que definem o gerenciamento do projeto. Conceda as seguintes funções a esta conta de serviço:

    • Compute Admin
    • Storage Admin
    • Cloud Build Editor
    • Service Account User
    • Cloud Datastore User
    • Cloud KMS Crypto Operator

    O Cloud KMS Crypto Operator requer as seguintes permissões:

    • cloudkms.cryptoKeys.get
    • cloudkms.cryptoKeys.list
    • cloudkms.keyRings.get
    • cloudkms.keyRings.list

    Nota:

    Habilite todas as APIs para obter a lista completa de funções disponíveis ao criar uma nova conta de serviço.

  5. Clique em CONTINUAR.
  6. Na página Conceder acesso de usuários a esta conta de serviço, adicione usuários ou grupos para conceder a eles acesso para realizar ações nesta conta de serviço.
  7. Clique em CONCLUÍDO.
  8. Navegue até o console principal do IAM.
  9. Identifique a conta de serviço criada.
  10. Valide se as funções foram atribuídas com sucesso.

Considerações:

Ao criar a conta de serviço, considere o seguinte:

  • As etapas Conceder a esta conta de serviço acesso ao projeto e Conceder acesso de usuários a esta conta de serviço são opcionais. Se você optar por pular essas etapas de configuração opcionais, a conta de serviço recém-criada não será exibida na página IAM e Admin > IAM.
  • Para exibir as funções associadas a uma conta de serviço, adicione as funções sem pular as etapas opcionais. Este processo garante que as funções apareçam para a conta de serviço configurada.

Chave da conta de serviço do Citrix Cloud

A chave da conta de serviço do Citrix Cloud é necessária para criar uma conexão no Citrix DaaS. A chave está contida em um arquivo de credenciais (.json). O arquivo é baixado e salvo automaticamente na pasta Downloads depois que você cria a chave. Ao criar a chave, certifique-se de definir o tipo de chave como JSON. Caso contrário, o Web Studio não poderá analisá-la.

Para criar uma Chave de Conta de Serviço, navegue até IAM e Admin > Contas de serviço e clique no endereço de e-mail da Conta de Serviço do Citrix Cloud. Mude para a guia Chaves e selecione Adicionar Chave > Criar nova chave. Certifique-se de selecionar JSON como o tipo de chave.

Dica:

Crie chaves usando a página Contas de serviço no console do Google Cloud. Recomendamos que você altere as chaves regularmente por motivos de segurança. Você pode fornecer novas chaves ao aplicativo Citrix Virtual Apps and Desktops editando uma conexão existente do Google Cloud.

Adicionar funções à conta de serviço do Citrix Cloud

Para adicionar funções à conta de serviço do Citrix Cloud:

  1. No console do Google Cloud, navegue até IAM e Admin > IAM.

  2. Na página IAM > PERMISSÕES, localize a conta de serviço que você criou, identificável por um endereço de e-mail.

    Por exemplo, <my-service-account>@<project-id>.iam.gserviceaccount.com

  3. Selecione o ícone de lápis para editar o acesso ao principal da conta de serviço.
  4. Na página Editar acesso a “project-id” para a opção principal selecionada, selecione ADICIONAR OUTRA FUNÇÃO para adicionar as funções necessárias à sua conta de serviço uma a uma e, em seguida, selecione SALVAR.

Adicionar funções à conta de serviço do Cloud Compute

Para adicionar funções à conta de serviço do Cloud Compute:

  1. No console do Google Cloud, navegue até IAM e Admin > IAM.

  2. Na página IAM, localize a Conta de Serviço do Cloud Compute, identificável por um endereço de e-mail que começa com o ID do Projeto e a palavra compute.

    Por exemplo, <project-id>-compute@developer.gserviceaccount.com

  3. Selecione o ícone de lápis para editar as funções da conta do Cloud Build.

  4. Na página Editar acesso a “project-id” para a opção principal selecionada, selecione ADICIONAR OUTRA FUNÇÃO para adicionar as funções necessárias à sua conta de serviço do Cloud Build uma a uma e, em seguida, selecione SALVAR.

    Nota:

    Habilite todas as APIs para obter a lista completa de funções.

Permissões de armazenamento e gerenciamento de buckets

O Citrix DaaS melhora o processo de relatório de falhas de compilação na nuvem para o serviço Google Cloud. Este serviço executa compilações no Google Cloud. O Citrix DaaS cria um bucket de armazenamento chamado citrix-mcs-cloud-build-logs-{region}-{5 random characters} onde os serviços do Google Cloud capturam informações de log de compilação. Uma opção é definida neste bucket que exclui o conteúdo após um período de 30 dias. Este processo exige que a conta de serviço usada para a conexão tenha as permissões do Google Cloud definidas como storage.buckets.update. Se a conta de serviço não tiver essa permissão, o Citrix DaaS ignora os erros e prossegue com o processo de criação do catálogo. Sem essa permissão, o tamanho dos logs de compilação aumenta e requer limpeza manual.

Habilitar acesso privado do Google

Quando uma VM não tem um endereço IP externo atribuído à sua interface de rede, os pacotes são enviados apenas para outros destinos de endereços IP internos. Ao habilitar o acesso privado, a VM se conecta ao conjunto de endereços IP externos usados pela API do Google e serviços associados.

Nota:

Independentemente de o acesso privado do Google estar habilitado, todas as VMs com e sem endereços IP públicos devem ser capazes de acessar as APIs públicas do Google, especialmente se dispositivos de rede de terceiros tiverem sido instalados no ambiente.

Para garantir que uma VM em sua sub-rede possa acessar as APIs do Google sem um endereço IP público para provisionamento MCS:

  1. No Google Cloud, acesse a configuração de rede VPC.
  2. Na tela de detalhes da Sub-rede, ative o Acesso privado do Google.

Acesso privado do Google

Para obter mais informações, consulte Configurando o Acesso Privado do Google.

Importante:

Se sua rede estiver configurada para impedir o acesso da VM à Internet, certifique-se de que sua organização assuma os riscos associados à habilitação do acesso privado do Google para a sub-rede à qual a VM está conectada.

Adicionar uma conexão

Siga as orientações em Criar uma conexão e recursos. A descrição a seguir o orienta na configuração de uma conexão de hospedagem:

  1. Em Gerenciar > Configuração, selecione Hospedagem no painel esquerdo.

  2. Selecione Adicionar Conexão e Recursos na barra de ações.

  3. Na página Conexão, selecione Criar uma nova Conexão e ferramentas de provisionamento Citrix™, e selecione Avançar.

    • Tipo de conexão. Selecione Google Cloud no menu.
    • Nome da conexão. Digite um nome para a conexão.

  4. Na página Região, selecione um nome de projeto no menu, selecione uma região que contenha os recursos que você deseja usar e, em seguida, selecione Avançar.

  5. Na página Rede, digite um nome para os recursos, selecione uma rede virtual no menu, selecione uma sub-rede e, em seguida, selecione Avançar. O nome do recurso ajuda a identificar a combinação de região e rede. Redes virtuais com o sufixo (Compartilhado) anexado ao nome representam VPCs compartilhadas. Se você configurar uma função IAM de nível de sub-rede para uma VPC compartilhada, apenas sub-redes específicas da VPC compartilhada aparecerão na lista de sub-redes.

    Nota:

    • O nome do recurso pode conter de 1 a 64 caracteres e não pode conter apenas espaços em branco ou os caracteres \ / ; : # . * ? = < > | [ ] { } " ' ( ) ' ).

  6. Na página Resumo, confirme as informações e selecione Concluir para sair da janela Adicionar Conexão e Recursos.

Após criar a conexão e os recursos, a conexão e os recursos que você criou são listados. Para configurar a conexão, selecione a conexão e, em seguida, selecione a opção aplicável na barra de ações.

Da mesma forma, você pode excluir, renomear ou testar os recursos criados sob a conexão. Para fazer isso, selecione o recurso sob a conexão e, em seguida, selecione a opção aplicável na barra de ações.

Preparar uma instância de VM mestre e um disco persistente

Dica:

Disco persistente é o termo do Google Cloud para disco virtual.

Para preparar sua instância de VM mestre, crie e configure uma instância de VM com propriedades que correspondam à configuração que você deseja para as instâncias VDA clonadas em seu catálogo de máquinas planejado. A configuração não se aplica apenas ao tamanho e tipo da instância. Ela também inclui atributos da instância, como metadados, tags, atribuições de GPU, tags de rede e propriedades da conta de serviço.

Como parte do processo de masterização, o MCS usa sua instância de VM mestre para criar o modelo de instância do Google Cloud. O modelo de instância é então usado para criar as instâncias VDA clonadas que compõem o catálogo de máquinas. As instâncias clonadas herdam as propriedades (exceto as propriedades de VPC, sub-rede e disco persistente) da instância de VM mestre da qual o modelo de instância foi criado.

Depois de configurar as propriedades da instância de VM mestre de acordo com suas especificações, inicie a instância e prepare o disco persistente para a instância.

Recomendamos que você crie manualmente um snapshot do disco. Isso permite que você use uma convenção de nomenclatura significativa para rastrear versões, oferece mais opções para gerenciar versões anteriores de sua imagem mestre e economiza tempo para a criação do catálogo de máquinas. Se você não criar seu próprio snapshot, o MCS criará um snapshot temporário para você (que é excluído no final do processo de provisionamento).

Criar um catálogo de máquinas

Nota:

Crie seus recursos antes de criar um catálogo de máquinas. Use as convenções de nomenclatura estabelecidas pelo Google Cloud ao configurar catálogos de máquinas. Consulte Diretrizes de nomenclatura de buckets e objetos para obter mais informações.

Siga as orientações em Criar catálogos de máquinas. Atualmente, o Studio não oferece suporte à criação de catálogos do Google Cloud. Use o PowerShell.

Gerenciar catálogo de máquinas

Para adicionar máquinas a um catálogo, atualizar máquinas e reverter uma atualização, consulte Gerenciar catálogos de máquinas.

Gerenciamento de energia

O Citrix DaaS permite o gerenciamento de energia de máquinas do Google Cloud. Use o nó Pesquisar no painel de navegação para localizar a máquina que você deseja gerenciar. As seguintes ações de energia estão disponíveis:

  • Excluir
  • Iniciar
  • Reiniciar
  • Forçar Reinício
  • Desligar
  • Forçar Desligamento
  • Adicionar ao Grupo de Entrega
  • Gerenciar Tags
  • Ativar Modo de Manutenção

Você também pode gerenciar a energia de máquinas do Google Cloud usando o Autoscale. Para fazer isso, adicione as máquinas do Google Cloud a um Grupo de Entrega e, em seguida, habilite o Autoscale para esse Grupo de Entrega. Para obter mais informações sobre o Autoscale, consulte Autoscale.

Proteger contra exclusão acidental de máquina

O Citrix DaaS permite proteger os recursos do MCS no Google Cloud para evitar a exclusão acidental. Configure a VM provisionada definindo o sinalizador deletionProtection como TRUE.

Por padrão, as VMs provisionadas por meio do MCS ou do plug-in do Google Cloud são criadas com o InstanceProtection habilitado. A implementação é aplicável a catálogos persistentes e não persistentes. Os catálogos não persistentes são atualizados quando as instâncias são recriadas a partir do modelo. Para máquinas persistentes existentes, você pode definir o sinalizador no console do Google Cloud. Para obter mais informações sobre como definir o sinalizador, consulte o site da Documentação do Google. Novas máquinas adicionadas a catálogos persistentes são criadas com deletionProtection habilitado.

Se você tentar excluir uma instância de VM para a qual definiu o sinalizador deletionProtection, a solicitação falhará. No entanto, se você tiver a permissão compute.instances.setDeletionProtection ou tiver sido atribuído à função Compute Admin do IAM, poderá redefinir o sinalizador para permitir que o recurso seja excluído.

Importar máquinas do Google Cloud criadas manualmente

Você pode criar uma conexão com o Google Cloud e, em seguida, criar um catálogo contendo máquinas do Google Cloud. Em seguida, você pode reiniciar manualmente as máquinas do Google Cloud por meio do Citrix DaaS. Com este recurso, você pode:

  • Importar máquinas de SO multi-sessão do Google Cloud criadas manualmente para um catálogo de máquinas do Citrix Virtual Apps and Desktops.
  • Remover máquinas de SO multi-sessão do Google Cloud criadas manualmente de um catálogo do Citrix Virtual Apps and Desktops.
  • Usar os recursos existentes de gerenciamento de energia do Citrix Virtual Apps and Desktops para gerenciar a energia de máquinas de SO multi-sessão do Google Cloud Windows. Por exemplo, defina um agendamento de reinício para essas máquinas.

Esta funcionalidade não requer alterações em um fluxo de trabalho de provisionamento existente do Citrix Virtual Apps and Desktops, nem a remoção de qualquer recurso existente. Recomendamos que você use o MCS para provisionar máquinas no Web Studio em vez de importar máquinas do Google Cloud criadas manualmente.

Nuvem Privada Virtual Compartilhada

As Nuvens Privadas Virtuais (VPCs) Compartilhadas compreendem um projeto host, do qual as sub-redes compartilhadas são disponibilizadas, e um ou mais projetos de serviço que usam o recurso. As VPCs Compartilhadas são opções desejáveis para instalações maiores porque fornecem controle, uso e administração centralizados dos recursos corporativos compartilhados do Google Cloud. Para obter mais informações, consulte o site da Documentação do Google.

Com este recurso, o Machine Creation Services™ (MCS) oferece suporte ao provisionamento e gerenciamento de catálogos de máquinas implantados em VPCs Compartilhadas. Este suporte, que é funcionalmente equivalente ao suporte atualmente fornecido em VPCs locais, difere em duas áreas:

  1. Você deve conceder permissões extras à Conta de Serviço usada para criar a Conexão Host. Este processo permite que o MCS acesse e use Recursos de VPC Compartilhada.
  2. Você deve criar duas regras de firewall, uma para entrada e outra para saída. Essas regras de firewall são usadas durante o processo de masterização da imagem.

Novas permissões necessárias

Uma conta de serviço do Google Cloud com permissões específicas é necessária ao criar a conexão host. Essas permissões adicionais devem ser concedidas a quaisquer contas de serviço usadas para criar conexões host baseadas em VPC Compartilhada.

Dica:

Essas permissões adicionais não são novas para o Citrix DaaS. Elas são usadas para facilitar a implementação de VPCs locais. Com as VPCs Compartilhadas, essas permissões adicionais permitem o acesso a outros recursos de VPC compartilhada.

Um máximo de quatro permissões extras devem ser concedidas à conta de serviço associada à conexão host para suportar a VPC Compartilhada:

  1. compute.firewalls.list - Esta permissão é obrigatória. Ela permite que o MCS recupere a lista de regras de firewall presentes na VPC Compartilhada.
  2. compute.networks.list - Esta permissão é obrigatória. Ela permite que o MCS identifique as redes VPC Compartilhadas disponíveis para a conta de serviço.
  3. compute.subnetworks.list – Esta permissão é opcional, dependendo de como você usa as VPCs. Ela permite que o MCS identifique as sub-redes dentro das VPCs Compartilhadas visíveis. Esta permissão já é necessária ao usar VPCs locais, mas também deve ser atribuída no projeto host da VPC Compartilhada.
  4. compute.subnetworks.use - Esta permissão é opcional, dependendo de como você usa as VPCs. É necessária para usar recursos de sub-rede nos catálogos de máquinas provisionados. Esta permissão já é necessária para usar VPCs locais, mas também deve ser atribuída no projeto host da VPC Compartilhada.

Ao usar essas permissões, considere que existem diferentes abordagens com base no tipo de permissão usada para criar o catálogo de máquinas:

  • Permissão em nível de projeto:
    • Permite acesso a todas as VPCs Compartilhadas dentro do projeto host.
    • Requer que as permissões #3 e #4 sejam atribuídas à conta de serviço.
  • Permissão em nível de sub-rede:
    • Permite acesso a sub-redes específicas dentro da VPC Compartilhada.
    • As permissões #3 e #4 são intrínsecas à atribuição em nível de sub-rede e, portanto, não precisam ser atribuídas diretamente à conta de serviço.

Selecione a abordagem que melhor se adapta às suas necessidades organizacionais e padrões de segurança.

Dica:

Para obter mais informações sobre as diferenças entre permissões em nível de projeto e em nível de sub-rede, consulte a documentação do Google Cloud.

Regras de Firewall

Durante a preparação de um catálogo de máquinas, uma imagem de máquina é preparada para servir como disco de sistema da imagem mestre para o catálogo. Quando este processo ocorre, o disco é temporariamente anexado a uma máquina virtual. Esta VM deve ser executada em um ambiente isolado que impeça todo o tráfego de rede de entrada e saída. Isso é realizado por meio de um par de regras de firewall de negação total; uma para entrada e outra para tráfego de saída. Ao usar VPCs locais do Google Cloud, o MCS cria este firewall na rede local e o aplica à máquina para masterização. Após a conclusão da masterização, a regra de firewall é removida da imagem.

Recomendamos manter o número de novas permissões necessárias para usar VPCs Compartilhadas no mínimo. As VPCs Compartilhadas são recursos corporativos de nível superior e geralmente possuem protocolos de segurança mais rígidos. Por esse motivo, crie um par de regras de firewall no projeto host nos recursos da VPC compartilhada, uma para entrada e outra para saída. Atribua a elas a prioridade mais alta. Aplique uma nova tag de destino a cada uma dessas regras, usando o seguinte valor:

citrix-provisioning-quarantine-firewall

Quando o MCS cria ou atualiza um catálogo de máquinas, ele procura regras de firewall que contenham esta tag de destino. Em seguida, ele examina as regras quanto à correção e as aplica à máquina usada para preparar a imagem mestre para o catálogo. Se as regras de firewall não forem encontradas, ou as regras forem encontradas, mas as regras ou suas prioridades estiverem incorretas, uma mensagem semelhante à seguinte aparecerá:

"Não foi possível encontrar regras de firewall de quarentena INGRESS e EGRESS válidas para VPC <nome> no projeto <projeto>. " Certifique-se de ter criado regras de firewall 'negar tudo' com a tag de rede 'citrix-provisioning-quarantine-firewall' e prioridade adequada." "Consulte a Documentação da Citrix para obter detalhes."

Configurando a VPC compartilhada

Antes de adicionar a VPC Compartilhada como uma conexão host no Web Studio, conclua as seguintes etapas para adicionar contas de serviço do projeto no qual você pretende provisionar:

  1. Crie uma função IAM.
  2. Adicione a conta de serviço usada para criar uma conexão host CVAD à função IAM do projeto host da VPC Compartilhada.
  3. Adicione a conta de serviço do Cloud Build do projeto no qual você pretende provisionar à função IAM do projeto host da VPC Compartilhada.
  4. Crie regras de firewall.

Criar uma função IAM

Determine o nível de acesso da função — acesso em nível de projeto ou um modelo mais restrito usando acesso em nível de sub-rede.

Acesso em nível de projeto para função IAM. Para a função IAM em nível de projeto, inclua as seguintes permissões:

  • compute.firewalls.list
  • compute.networks.list
  • compute.subnetworks.list
  • compute.subnetworks.use

Para criar uma função IAM em nível de projeto:

  1. No console do Google Cloud, navegue até IAM e Admin > Funções.
  2. Na página Funções, selecione CRIAR FUNÇÃO.
  3. Na página Criar Função, especifique o nome da função. Selecione ADICIONAR PERMISSÕES.
    1. Na página Adicionar permissões, adicione permissões à função, individualmente. Para adicionar uma permissão, digite o nome da permissão no campo Filtrar tabela. Selecione a permissão e, em seguida, selecione ADICIONAR.
    2. Selecione CRIAR.

Função IAM em nível de sub-rede. Esta função omite a adição das permissões compute.subnetworks.list e compute.subnetworks.use após selecionar CRIAR FUNÇÃO. Para este nível de acesso IAM, as permissões compute.firewalls.list e compute.networks.list devem ser aplicadas à nova função.

Para criar uma função IAM em nível de sub-rede:

  1. No console do Google Cloud, navegue até Rede VPC > VPC Compartilhada. A página VPC Compartilhada aparece, exibindo as sub-redes das redes VPC Compartilhadas que o projeto host contém.
  2. Na página VPC Compartilhada, selecione a sub-rede à qual você deseja acessar.
  3. No canto superior direito, selecione ADICIONAR MEMBRO para adicionar uma conta de serviço.
  4. Na página Adicionar membros, conclua estas etapas:
    1. No campo Novos membros, digite o nome de sua conta de serviço e, em seguida, selecione sua conta de serviço no menu.
    2. Selecione o campo Selecionar uma função e, em seguida, Usuário de Rede de Computação.
    3. Selecione SALVAR.
  5. No console do Google Cloud, navegue até IAM e Admin > Funções.
  6. Na página Funções, selecione CRIAR FUNÇÃO.
  7. Na página Criar Função, especifique o nome da função. Selecione ADICIONAR PERMISSÕES.
    1. Na página Adicionar permissões, adicione permissões à função, individualmente. Para adicionar uma permissão, digite o nome da permissão no campo Filtrar tabela. Selecione a permissão e, em seguida, selecione ADICIONAR.
    2. Selecione CRIAR.

Adicionar uma conta de serviço à função IAM do projeto host

Depois de criar uma função IAM, siga as etapas a seguir para adicionar uma conta de serviço para o projeto host:

  1. No console do Google Cloud, navegue até o projeto host e, em seguida, até IAM e Admin > IAM.
  2. Na página IAM, selecione ADICIONAR para adicionar uma conta de serviço.
  3. Na página Adicionar membros:
    1. No campo Novos membros, digite o nome de sua conta de serviço e, em seguida, selecione sua conta de serviço no menu.
    2. Selecione um campo de função, digite a função IAM que você criou e, em seguida, selecione a função no menu.
    3. Selecione SALVAR.

A conta de serviço agora está configurada para o projeto host.

Adicionar a conta de serviço do Cloud Build à VPC compartilhada

Cada assinatura do Google Cloud tem uma conta de serviço que é nomeada após o número de ID do projeto, seguido por cloudbuild.gserviceaccount. Por exemplo: 705794712345@cloudbuild.gserviceaccount.

Você pode determinar qual é o número de ID do projeto para seu projeto selecionando Início e Painel no console do Google Cloud:

Painel de navegação do console do Google Cloud

Encontre o Número do Projeto abaixo da área Informações do Projeto da tela.

Execute as seguintes etapas para adicionar a conta de serviço do Cloud Build à VPC Compartilhada:

  1. No console do Google Cloud, navegue até o projeto host e, em seguida, até IAM e Admin > IAM.
  2. Na página Permissões, selecione ADICIONAR para adicionar uma conta.
  3. Na página Adicionar membros, conclua estas etapas:
    1. No campo Novos membros, digite o nome da conta de serviço do Cloud Build e, em seguida, selecione sua conta de serviço no menu.
    2. Selecione o campo Selecionar uma função, digite Usuário de Rede de Computação e, em seguida, selecione a função no menu.
    3. Selecione SALVAR.

Criar regras de firewall

Como parte do processo de masterização, o MCS copia a imagem da máquina selecionada e a usa para preparar o disco do sistema da imagem mestre para o catálogo. Durante a masterização, o MCS anexa o disco a uma máquina virtual temporária, que então executa scripts de preparação. Esta VM deve ser executada em um ambiente isolado que proíba todo o tráfego de rede de entrada e saída. Para criar um ambiente isolado, o MCS requer duas regras de firewall de negação total (uma regra de entrada e uma regra de saída). Portanto, crie duas regras de firewall no Projeto Host da seguinte forma:

  1. No console do Google Cloud, navegue até o projeto host e, em seguida, até Rede VPC > Firewall.
  2. Na página Firewall, selecione CRIAR REGRA DE FIREWALL.
  3. Na página Criar uma regra de firewall, conclua o seguinte:
    • Nome. Digite um nome para a regra.
    • Rede. Selecione a rede VPC Compartilhada à qual a regra de firewall de entrada se aplica.
    • Prioridade. Quanto menor o valor, maior a prioridade da regra. Recomendamos um valor pequeno (por exemplo, 10).
    • Direção do tráfego. Selecione Entrada.
    • Ação na correspondência. Selecione Negar.
    • Destinos. Use o padrão, Tags de destino especificadas.
    • Tags de destino. Digite citrix-provisioning-quarantine-firewall.
    • Filtro de origem. Use o padrão, Intervalos de IP.
    • Intervalos de IP de origem. Digite um intervalo que corresponda a todo o tráfego. Digite 0.0.0.0/0.
    • Protocolos e portas. Selecione Negar tudo.
  4. Selecione CRIAR para criar a regra.
  5. Repita as etapas 1 a 4 para criar outra regra. Para Direção do tráfego, selecione Saída.

Adicionar uma conexão

Adicione uma conexão aos ambientes do Google Cloud. Consulte Adicionar uma conexão.

Habilitar seleção de zona

O Citrix Virtual Apps and Desktops oferece suporte à seleção de zona. Com a seleção de zona, você especifica as zonas onde deseja criar VMs. Com a seleção de zona, os administradores podem colocar nós de locatário único em zonas de sua escolha. Para configurar a locação única, você deve concluir o seguinte no Google Cloud:

  • Reservar um nó de locatário único do Google Cloud
  • Criar a imagem mestre do VDA

Reservando um nó de locatário único do Google Cloud

Para reservar um nó de locatário único, consulte a documentação do Google Cloud.

Importante:

Um modelo de nó é usado para indicar as características de desempenho do sistema que é reservado no grupo de nós. Essas características incluem o número de vGPUs, a quantidade de memória alocada ao nó e o tipo de máquina usado para máquinas criadas no nó. Para obter mais informações, consulte a documentação do Google Cloud.

Criando a imagem mestre do VDA

Para implantar máquinas no nó de locatário único com sucesso, você precisa tomar medidas extras ao criar uma imagem de VM mestre. As instâncias de máquina no Google Cloud têm uma propriedade chamada rótulos de afinidade de nó. As instâncias usadas como imagens mestres para catálogos implantados no nó de locatário único exigem um rótulo de afinidade de nó que corresponda ao nome do grupo de nós de destino. Para conseguir isso, tenha em mente o seguinte:

Nota:

Se você pretende usar a locação única com uma VPC compartilhada, consulte Nuvem Privada Virtual Compartilhada.

Definir um rótulo de afinidade de nó ao criar uma instância

Para definir o rótulo de afinidade de nó:

  1. No console do Google Cloud, navegue até Compute Engine > Instâncias de VM.

  2. Na página Instâncias de VM, selecione Criar instância.

  3. Na página Criação de instância, digite ou configure as informações necessárias e, em seguida, selecione gerenciamento, segurança, discos, rede, locação única para abrir o painel de configurações.

  4. Na guia Locação única, selecione Procurar para visualizar os grupos de nós disponíveis no projeto atual. A página Nó de locatário único aparece, exibindo uma lista de grupos de nós disponíveis.

  5. Na página Nó de locatário único, selecione o grupo de nós aplicável na lista e, em seguida, selecione Selecionar para retornar à guia Locação única. O campo de rótulos de afinidade de nó é preenchido com as informações que você selecionou. Essa configuração garante que os catálogos de máquinas criados a partir da instância serão implantados no grupo de nós selecionado.

  6. Selecione Criar para criar a instância.

Definir um rótulo de afinidade de nó para uma instância existente

Para definir o rótulo de afinidade de nó:

  1. Na janela do terminal do Google Cloud Shell, use o comando gcloud compute instances para definir um rótulo de afinidade de nó. Inclua as seguintes informações no comando gcloud:

    • Nome da VM. Por exemplo, use uma VM existente chamada s*2019-vda-base.*
    • Nome do grupo de nós. Use o nome do grupo de nós que você criou anteriormente. Por exemplo, mh-sole-tenant-node-group-1.
    • A zona onde a instância reside. Por exemplo, a VM reside na zona *us-east-1b*.

    Por exemplo, digite o seguinte comando na janela do terminal:

    • gcloud compute instances set-scheduling "s2019-vda-base" --node-group="mh-sole-tenant-node-group-1" --zone="us-east1-b"

    Para obter mais informações sobre o comando gcloud compute instances, consulte a documentação do Google Developer Tools em https://cloud.google.com/sdk/gcloud/reference/beta/compute/instances/set-scheduling.

  2. Navegue até a página Detalhes da instância de VM da instância e verifique se o campo Afinidades de Nó é preenchido com o rótulo.

Criar um catálogo de máquinas

Depois de definir o rótulo de afinidade de nó, configure o catálogo de máquinas.

Pré-visualização: Usando Chaves de Criptografia Gerenciadas pelo Cliente (CMEK)

Você pode usar Chaves de Criptografia Gerenciadas pelo Cliente (CMEK) para catálogos MCS. Ao usar essa funcionalidade, você atribui a função CryptoKey Encrypter/Decrypter do Google Cloud Key Management Service ao Agente de Serviço do Compute Engine. A conta do Citrix DaaS deve ter as permissões corretas no projeto onde a chave está armazenada. Consulte Ajudando a proteger recursos usando chaves do Cloud KMS para obter mais informações.

Seu Agente de Serviço do Compute Engine está no seguinte formato: service-<Project _Number>@compute-system.iam.gserviceaccount.com. Este formato é diferente da Conta de Serviço padrão do Compute Engine.

Nota:

Esta Conta de Serviço do Compute Engine pode não aparecer na exibição Permissões IAM do Console do Google. Nesses casos, use o comando gcloud conforme descrito em Ajudando a proteger recursos usando chaves do Cloud KMS.

Atribuir permissões à conta do Citrix DaaS

As permissões do Google Cloud KMS podem ser configuradas de várias maneiras. Você pode fornecer permissões KMS em nível de projeto ou permissões KMS em nível de recurso. Consulte Permissões e funções para obter mais informações.

Permissões em nível de projeto

Uma opção é fornecer à conta do Citrix DaaS permissões em nível de projeto para navegar pelos recursos do Cloud KMS. Para fazer isso, crie uma função personalizada e adicione as seguintes permissões:

  • cloudkms.keyRings.list
  • cloudkms.keyRings.get
  • cloudkms.cryptokeys.list
  • cloudkms.cryptokeys.get

Atribua esta função personalizada à sua conta do Citrix DaaS. Isso permite que você navegue pelas chaves regionais no projeto relevante no inventário.

Permissões em nível de recurso

Para a outra opção, permissões em nível de recurso, no console do Google Cloud, navegue até a cryptoKey que você usa para provisionamento MCS. Adicione a conta do Citrix DaaS a um conjunto de chaves ou a uma chave que você usa para provisionamento de catálogo.

Dica:

Com esta opção, você não pode navegar pelas chaves regionais para seu projeto no inventário porque a conta do Citrix DaaS não tem permissões de lista em nível de projeto nos recursos do Cloud KMS. No entanto, você ainda pode provisionar um catálogo usando CMEK especificando o cryptoKeyId correto nas propriedades personalizadas do ProvScheme, descritas abaixo.

Provisionamento com CMEK usando propriedades personalizadas

Ao criar seu Esquema de Provisionamento via PowerShell, especifique uma propriedade CryptoKeyId em ProvScheme CustomProperties. Por exemplo:

'<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
    <Property xsi:type="StringProperty" Name="CryptoKeyId" Value="<yourCryptoKeyId>" />
</CustomProperties>'
<!--NeedCopy-->

O cryptoKeyId deve ser especificado no seguinte formato:

projectId:location:keyRingName:cryptoKeyName

Por exemplo, se você quiser usar a chave my-example-key no conjunto de chaves my-example-key-ring na região us-east1 e no projeto com ID my-example-project-1, suas configurações personalizadas do ProvScheme seriam semelhantes a:

'<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
    <Property xsi:type="StringProperty" Name="CryptoKeyId" Value="my-example-project-1:us-east1:my-example-key-ring:my-example-key" />
</CustomProperties>'
<!--NeedCopy-->

Todos os discos e imagens provisionados pelo MCS relacionados a este esquema de provisionamento usam esta chave de criptografia gerenciada pelo cliente.

Dica:

Se você usar chaves globais, o local das propriedades do cliente deve indicar global e não o nome da região, que no exemplo acima é us-east1. Por exemplo: <Property xsi:type="StringProperty" Name="CryptoKeyId" Value="my-example-project-1:global:my-example-key-ring:my-example-key" />.

Rotação de chaves gerenciadas pelo cliente

O Google Cloud não oferece suporte à rotação de chaves em discos ou imagens persistentes existentes. Uma vez que uma máquina é provisionada, ela está vinculada à versão da chave em uso no momento em que foi criada. No entanto, uma nova versão da chave pode ser criada e essa nova chave é usada para máquinas ou recursos recém-provisionados quando um catálogo é atualizado com uma nova imagem mestre.

Considerações importantes sobre conjuntos de chaves

Os conjuntos de chaves não podem ser renomeados ou excluídos. Além disso, você pode incorrer em cobranças imprevistas ao configurá-los. Ao excluir ou remover um conjunto de chaves, o Google Cloud exibe uma mensagem de erro:

Desculpe, você não pode excluir ou renomear chaves ou conjuntos de chaves. Estávamos preocupados com as implicações de segurança de permitir que várias chaves ou versões de chaves ao longo do tempo tivessem o mesmo nome de recurso, então decidimos tornar os nomes imutáveis. (E você não pode excluí-los, porque não seríamos capazes de fazer uma exclusão verdadeira — ainda teria que haver uma lápide rastreando que este nome foi usado e não poderia ser reutilizado).
Estamos cientes de que isso pode tornar as coisas desorganizadas, mas não temos planos imediatos de mudar isso.
Se você quiser evitar ser cobrado por uma chave ou torná-la indisponível de outra forma, você pode fazê-lo excluindo todas as versões da chave; nem chaves nem conjuntos de chaves são cobrados, apenas as versões de chave ativas dentro das chaves.
<!--NeedCopy-->

Dica:

Para obter mais informações, consulte Editando ou excluindo um conjunto de chaves do console.

Compatibilidade com acesso uniforme em nível de bucket

O Citrix DaaS é compatível com a política de controle de acesso uniforme em nível de bucket no Google Cloud. Essa funcionalidade aumenta o uso da política IAM que concede permissões a uma conta de serviço para permitir a manipulação de recursos, incluindo buckets de armazenamento. Com o controle de acesso uniforme em nível de bucket, o Citrix DaaS permite que você use uma lista de controle de acesso (ACL) para controlar o acesso a buckets de armazenamento ou objetos armazenados neles. Consulte Acesso uniforme em nível de bucket para obter informações gerais sobre o acesso uniforme em nível de bucket do Google Cloud. Para obter informações de configuração, consulte Exigir acesso uniforme em nível de bucket.

URLs de endpoint de serviço

Você deve ter acesso aos seguintes URLs:

  • https://oauth2.googleapis.com
  • https://cloudresourcemanager.googleapis.com
  • https://compute.googleapis.com
  • https://storage.googleapis.com
  • https://cloudbuild.googleapis.com

Projetos do Google Cloud

Existem basicamente dois tipos de projetos do Google Cloud:

  • Projeto de provisionamento: Neste caso, a conta de administrador atual possui as máquinas provisionadas no projeto. Este projeto também é conhecido como projeto local.
  • Projeto VPC Compartilhada: Projeto no qual as máquinas criadas no projeto de provisionamento usam a VPC do projeto VPC Compartilhada. A conta de administrador usada para o projeto de provisionamento tem permissões limitadas neste projeto, especificamente, apenas permissões para usar a VPC.

Permissões GCP necessárias

Esta seção contém a lista completa de permissões GCP. Use o conjunto completo de permissões conforme fornecido na seção para que a funcionalidade funcione corretamente.

Nota:

O GCP está introduzindo alterações no comportamento padrão e no uso de contas de serviço do Cloud Build Services após 29 de abril de 2024. Para obter mais informações, consulte Cloud Build Service Account Change. Seus projetos existentes do Google com a Cloud Build API habilitada antes de 29 de abril de 2024 não são afetados por essa alteração. No entanto, se você quiser ter o comportamento existente do Cloud Build Service após 29 de abril, poderá criar ou aplicar a política da organização para desabilitar a aplicação da restrição antes de habilitar a API. Se você definir a nova política da organização, ainda poderá seguir as permissões existentes nesta seção e os itens marcados como Antes da Alteração da Conta de Serviço do Cloud Build. Caso contrário, siga as permissões existentes e os itens marcados como Após a Alteração da Conta de Serviço do Cloud Build.

Criando uma conexão host

  • Permissões mínimas necessárias para a Conta de Serviço do Citrix Cloud no projeto de Provisionamento:

     compute.instanceTemplates.list
 compute.instances.list
 compute.networks.list
 compute.projects.get
 compute.regions.list
 compute.subnetworks.list
 compute.zones.list
 resourcemanager.projects.get
 <!--NeedCopy-->

    As seguintes funções definidas pelo Google têm as permissões listadas acima:

    • Compute Admin
    • Cloud Datastore User

  • Permissões adicionais necessárias para VPC Compartilhada para a Conta de Serviço do Citrix Cloud no projeto VPC Compartilhada:

     compute.networks.list
 compute.subnetworks.list
 resourcemanager.projects.get
 <!--NeedCopy-->

    As seguintes funções definidas pelo Google têm as permissões listadas acima:

    • Compute Network User

Gerenciamento de energia de VMs

Permissões mínimas necessárias para a Conta de Serviço do Citrix Cloud no projeto de Provisionamento em caso de catálogos gerenciados apenas por energia:

compute.instanceTemplates.list
compute.instances.list
compute.instances.get
compute.instances.reset
compute.instances.resume
compute.instances.start
compute.instances.stop
compute.instances.suspend
compute.networks.list
compute.projects.get
compute.regions.list
compute.subnetworks.list
compute.zones.list
resourcemanager.projects.get
compute.zoneOperations.get
<!--NeedCopy-->

As seguintes funções definidas pelo Google têm as permissões listadas acima:

  • Compute Admin
  • Cloud Datastore User

Criando, atualizando ou excluindo VMs

  • Permissões mínimas necessárias para a Conta de Serviço do Citrix Cloud no projeto de Provisionamento:

     cloudbuild.builds.create
 cloudbuild.builds.get
 cloudbuild.builds.list
 compute.acceleratorTypes.list
 compute.diskTypes.get
 compute.diskTypes.list
 compute.disks.create
 compute.disks.createSnapshot
 compute.disks.delete
 compute.disks.get
 compute.disks.list
 compute.disks.setLabels
 compute.disks.use
 compute.disks.useReadOnly
 compute.firewalls.create
 compute.firewalls.delete
 compute.firewalls.list
 compute.globalOperations.get
 compute.images.create
 compute.images.delete
 compute.images.get
 compute.images.list
 compute.images.setLabels
 compute.images.useReadOnly
 compute.instanceTemplates.create
 compute.instanceTemplates.delete
 compute.instanceTemplates.get
 compute.instanceTemplates.list
 compute.instanceTemplates.useReadOnly
 compute.instances.attachDisk
 compute.instances.create
 compute.instances.delete
 compute.instances.detachDisk
 compute.instances.get
 compute.instances.list
 compute.instances.reset
 compute.instances.resume
 compute.instances.setDeletionProtection
 compute.instances.setLabels
 compute.instances.setMetadata
 compute.instances.setServiceAccount
 compute.instances.setTags
 compute.instances.start
 compute.instances.stop
 compute.instances.suspend
 compute.machineTypes.get
 compute.machineTypes.list
 compute.networks.list
 compute.networks.updatePolicy
 compute.nodeGroups.list
 compute.nodeTemplates.get
 compute.projects.get
 compute.regions.list
 compute.snapshots.create
 compute.snapshots.delete
 compute.snapshots.list
 compute.snapshots.get
 compute.snapshots.setLabels
 compute.snapshots.useReadOnly
 compute.subnetworks.get
 compute.subnetworks.list
 compute.subnetworks.use
 compute.zoneOperations.get
 compute.zoneOperations.list
 compute.zones.get
 compute.zones.list
 iam.serviceAccounts.actAs
 resourcemanager.projects.get
 storage.buckets.create
 storage.buckets.delete
 storage.buckets.get
 storage.buckets.list
 storage.buckets.update
 storage.objects.create
 storage.objects.delete
 storage.objects.get
 storage.objects.list
 compute.networks.get
 compute.resourcePolicies.use

 <!--NeedCopy-->

    As seguintes funções definidas pelo Google têm as permissões listadas acima:

    • Compute Admin
    • Storage Admin
    • Cloud Build Editor
    • Service Account User
    • Cloud Datastore User

  • Permissões adicionais necessárias para VPC Compartilhada para a Conta de Serviço do Citrix Cloud no projeto VPC Compartilhada para criar uma unidade de hospedagem usando VPC e sub-rede do projeto VPC Compartilhada:

     compute.firewalls.list
 compute.networks.list
 compute.projects.get
 compute.regions.list
 compute.subnetworks.get
 compute.subnetworks.list
 compute.subnetworks.use
 compute.zones.list
 resourcemanager.projects.get
 <!--NeedCopy-->

    As seguintes funções definidas pelo Google têm as permissões listadas acima:

    • Compute Network User
    • Cloud Datastore User

  • (Antes da Alteração da Conta de Serviço do Cloud Build): Permissões mínimas necessárias para a Conta de Serviço do Cloud Build no projeto de Provisionamento exigidas pelo serviço Google Cloud Build ao baixar o disco de instrução de preparação para o MCS:

  • (Após a Alteração da Conta de Serviço do Cloud Build): Permissões mínimas necessárias para a Conta de Serviço do Cloud Compute no projeto de Provisionamento exigidas pelo serviço Google Cloud Compute ao baixar o disco de instrução de preparação para o MCS:

     compute.disks.create
 compute.disks.delete
 compute.disks.get
 compute.disks.list
 compute.disks.setLabels
 compute.disks.use
 compute.disks.useReadOnly
 compute.images.get
 compute.images.list
 compute.images.useReadOnly
 compute.instances.create
 compute.instances.delete
 compute.instances.get
 compute.instances.getSerialPortOutput
 compute.instances.list
 compute.instances.setLabels
 compute.instances.setMetadata
 compute.instances.setServiceAccount
 compute.machineTypes.list
 compute.networks.get
 compute.networks.list
 compute.projects.get
 compute.subnetworks.list
 compute.subnetworks.use
 compute.subnetworks.useExternalIp
 compute.zoneOperations.get
 compute.zones.list
 iam.serviceAccounts.actAs
 logging.logEntries.create
 pubsub.topics.publish
 resourcemanager.projects.get
 source.repos.get
 source.repos.list
 storage.buckets.create
 storage.buckets.get
 storage.buckets.list
 storage.objects.create
 storage.objects.delete
 storage.objects.get
 storage.objects.list
 <!--NeedCopy-->

    As seguintes funções definidas pelo Google têm as permissões listadas acima:

    • Cloud Build Service Account (Após a Alteração da Conta de Serviço do Cloud Build, é a Conta de Serviço do Cloud Compute)
    • Compute Instance Admin
    • Service Account User

  • Permissões mínimas necessárias para a Conta de Serviço do Cloud Compute no projeto de Provisionamento exigidas pelo serviço Google Cloud Build ao baixar o disco de instrução de preparação para o MCS:

     resourcemanager.projects.get
 storage.objects.create
 storage.objects.get
 storage.objects.list
 <!--NeedCopy-->

    As seguintes funções definidas pelo Google têm as permissões listadas acima:

    • Compute Network User
    • Storage Account User
    • Cloud Datastore User
  • (Antes da Alteração da Conta de Serviço do Cloud Build): Permissões adicionais necessárias para VPC Compartilhada para a Conta de Serviço do Cloud Build no projeto de Provisionamento exigidas pelo serviço Google Cloud Build ao baixar o disco de instrução de preparação para o MCS:

  • (Após a Alteração da Conta de Serviço do Cloud Build): Permissões adicionais necessárias para VPC Compartilhada para a Conta de Serviço do Cloud Compute no projeto de Provisionamento exigidas pelo serviço Google Cloud Compute ao baixar o disco de instrução de preparação para o MCS:

     compute.firewalls.list
 compute.networks.list
 compute.subnetworks.list
 compute.subnetworks.use
 resourcemanager.projects.get
 <!--NeedCopy-->

    As seguintes funções definidas pelo Google têm as permissões listadas acima:

    • Compute Network User
    • Storage Account User
    • Cloud Datastore User

  • Permissões adicionais necessárias para o Cloud Key Management Service (KMS) para a Conta de Serviço do Citrix Cloud no projeto de Provisionamento:

     cloudkms.cryptoKeys.get
 cloudkms.cryptoKeys.list
 cloudkms.keyRings.get
 cloudkms.keyRings.list
 <!--NeedCopy-->

    As seguintes funções definidas pelo Google têm as permissões listadas acima:

    • Compute KMS Viewer

Permissões gerais

A seguir estão as permissões para a Conta de Serviço do Citrix Cloud no projeto de Provisionamento para todos os recursos suportados no MCS. Essas permissões fornecem a melhor compatibilidade daqui para frente:

resourcemanager.projects.get
cloudbuild.builds.create
cloudbuild.builds.get
cloudbuild.builds.list
compute.acceleratorTypes.list
compute.diskTypes.get
compute.diskTypes.list
compute.disks.create
compute.disks.createSnapshot
compute.disks.delete
compute.disks.get
compute.disks.setLabels
compute.disks.use
compute.disks.useReadOnly
compute.firewalls.create
compute.firewalls.delete
compute.firewalls.list
compute.globalOperations.get
compute.images.create
compute.images.delete
compute.images.get
compute.images.list
compute.images.setLabels
compute.images.useReadOnly
compute.instanceTemplates.create
compute.instanceTemplates.delete
compute.instanceTemplates.get
compute.instanceTemplates.list
compute.instanceTemplates.useReadOnly
compute.instances.attachDisk
compute.instances.create
compute.instances.delete
compute.instances.detachDisk
compute.instances.get
compute.instances.list
compute.instances.reset
compute.instances.resume
compute.instances.setDeletionProtection
compute.instances.setLabels
compute.instances.setMetadata
compute.instances.setTags
compute.instances.start
compute.instances.stop
compute.instances.suspend
compute.instances.update
compute.instances.updateAccessConfig
compute.instances.updateDisplayDevice
compute.instances.updateSecurity
compute.instances.updateShieldedInstanceConfig
compute.instances.updateShieldedVmConfig
compute.machineTypes.get
compute.machineTypes.list
compute.networks.list
compute.networks.updatePolicy
compute.nodeGroups.list
compute.nodeTemplates.get
compute.projects.get
compute.regions.list
compute.snapshots.create
compute.snapshots.delete
compute.snapshots.list
compute.snapshots.get
compute.snapshots.setLabels
compute.snapshots.useReadOnly
compute.subnetworks.get
compute.subnetworks.list
compute.subnetworks.use
compute.subnetworks.useExternalIp
compute.zoneOperations.get
compute.zoneOperations.list
compute.zones.get
compute.zones.list
resourcemanager.projects.get
storage.buckets.create
storage.buckets.delete
storage.buckets.get
storage.buckets.list
storage.buckets.update
storage.objects.create
storage.objects.delete
storage.objects.get
storage.objects.list
cloudkms.cryptoKeys.get
cloudkms.cryptoKeys.list
cloudkms.keyRings.get
cloudkms.keyRings.list
compute.disks.list
compute.instances.setServiceAccount
compute.networks.get
compute.networks.use
compute.networks.useExternalIp
iam.serviceAccounts.actAs
compute.resourcePolicies.use
<!--NeedCopy-->

Mais informações

Ambientes do Google Cloud
January 23, 2026
Contribuição de: 
C
January 23, 2026
Contribuição de: 
C

Neste artigo

Feedback do site | Your privacy choices footer linkSuas escolhas de privacidade | Privacidade e termos legais | Preferências de cookies | Configurações de consentimento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.