Ambientes do Google Cloud
O Citrix Virtual Apps and Desktops permite provisionar e gerenciar máquinas no Google Cloud.
Requisitos
- Conta Citrix Cloud. O recurso descrito neste artigo está disponível somente no Citrix Cloud.
- Um projeto do Google Cloud. O projeto armazena todos os recursos computacionais associados ao catálogo de máquinas. Pode ser um projeto existente ou um novo.
- Ative quatro APIs em seu projeto do Google Cloud. Para obter detalhes, consulte Ativar as APIs do Google Cloud.
- Conta de serviço do Google Cloud. A conta de serviço é autenticada no Google Cloud para permitir o acesso ao projeto. Para obter detalhes, consulte Configurar e atualizar contas de serviço.
- Ative o acesso privado do Google. Para obter detalhes, consulte Enable-private-google-access.
Ative as APIs do Google Cloud
Para usar a funcionalidade do Google Cloud por meio do Web Studio, ative essas APIs em seu projeto do Google Cloud:
- API Compute Engine
- API Cloud Resource Manager
- API de gerenciamento de identidade e acesso (IAM)
- API Cloud Build
- Serviço de gerenciamento de chaves na nuvem (KMS)
No console do Google Cloud, conclua estas etapas:
-
No menu superior esquerdo, selecione APIs and Services > Dashboard.
-
Na tela Dashboard , verifique se a API Compute Engine está ativada. Se não, siga estas etapas:
-
Navegue até APIs and Services > Library.
-
Na caixa de pesquisa, digite Compute Engine.
-
Nos resultados da pesquisa, selecione Compute Engine API.
-
Na página da Compute Engine API , selecione Enable.
-
-
Ative a API Cloud Resource Manager.
-
Navegue até APIs and Services > Library.
-
Na caixa de pesquisa, digite Cloud Resource Manager.
-
Nos resultados da pesquisa, selecione Cloud Resource Manager API.
-
Na página Cloud Resource Manager API , selecione Enable. O status da API é exibido.
-
-
Da mesma forma, ative a API de Gerenciamento de Identidade e Acesso (IAM) e Cloud Build API.
Você também pode usar o Google Cloud Shell para ativar as APIs. Para fazer isso:
- Abra o Google Console e carregue o Cloud Shell.
-
Execute os quatro comandos a seguir no Cloud Shell:
- os serviços gcloud habilitam compute.googleapis.com
- os serviços gcloud habilitam cloudresourcemanager.googleapis.com
- os serviços gcloud habilitam iam.googleapis.com
- os serviços gcloud habilitam cloudbuild.googleapis.com
- Clique em Autorizar se o Cloud Shell solicitar.
Configurar e atualizar contas de serviço
Nota:
O GCP está introduzindo mudanças no comportamento padrão e no uso das contas de serviço do Cloud Build Service após 29 de abril de 2024. Para obter mais informações, consulte Alteração da conta do serviço Cloud Build. Seus projetos existentes do Google com a Cloud Build API ativada antes de 29 de abril de 2024 não serão afetados por essa alteração. No entanto, se quiser ter um comportamento existente do Cloud Build Service após 29 de abril, você pode criar ou aplicar a política da organização para desativar a imposição de restrições antes de ativar a API Cloud Build. Como resultado, o conteúdo a seguir é dividido em dois: Antes de 29 de abril de 2024 e Depois de 29 de abril de 2024. Se você definir a nova política da organização, siga a seção Antes de 29 de abril de 2024.
Antes de 29 de abril de 2024
O Citrix Cloud usa três contas de serviço separadas no projeto do Google Cloud:
-
Conta de serviço Citrix Cloud: Essa conta de serviço permite que o Citrix Cloud acesse o projeto do Google, provisione e gerencie máquinas. Essa conta de serviço é autenticada no Google Cloud usando uma chave gerada pelo Google Cloud.
Você deve criar essa conta de serviço manualmente, conforme descrito aqui. Para obter mais informações, consulte Criar uma conta do Citrix Cloud Service.
Você pode identificar essa conta de serviço com um endereço de e-mail. Por exemplo,
<my-service-account>@<project-id>.iam.gserviceaccount.com. -
Conta de serviço Cloud Build: essa conta de serviço é provisionada automaticamente depois que você ativa todas as APIs mencionadas em Habilitar as APIs do Google Cloud. Para ver todas as contas de serviço criadas automaticamente, navegue até IAM & Admin > IAM no console Google Cloud e marque a caixa de seleção Incluir concessões de papéis fornecidas pelo Google .
Você pode identificar essa conta de serviço por meio de um endereço de e-mail que começa com a ID do projeto ** e a palavra **cloudbuild. Por exemplo,
<project-id>@cloudbuild .gserviceaccount.comVerifique se a conta de serviço recebeu as seguintes funções. Se você precisar adicionar funções, siga as etapas descritas em Adicionar funções à conta do serviço Cloud Build.
- Conta de serviço Cloud Build
- Administrador de instâncias de computação
- Usuário da conta de serviço
-
Conta de serviço Cloud Compute: essa conta de serviço é adicionada pelo Google Cloud às instâncias criadas no Google Cloud quando a API Compute é ativada. Essa conta tem a função de editor básico do IAM para fazer as operações. No entanto, se você excluir a permissão padrão para ter um controle mais granular, deverá adicionar uma função Storage Admin que exija as seguintes permissões:
- resourcemanager.projects.get
- storage.objects.create
- storage.objects.get
- storage.objects.list
Você pode identificar essa conta de serviço por meio de um endereço de e-mail que começa com a ID do projeto ** e a palavra **compute. Por exemplo, <project-id>-compute@developer.gserviceaccount.com.
Crie uma conta do Citrix Cloud Service
Para criar uma conta do Citrix Cloud Service, siga estas etapas:
- No console do Google Cloud, navegue até IAM & Admin > Service accounts.
- Na página Service accounts , selecione CREATE SERVICE ACCOUNT.
- Na página Criar conta de serviço , insira as informações necessárias e selecione CRIAR E CONTINUAR.
-
Na página Conceder a esta conta de serviço acesso ao projeto , clique no menu suspenso Selecionar uma função e selecione as funções necessárias. Clique em +ADICIONAR OUTRA FUNÇÃO se quiser adicionar mais funções.
Cada conta (pessoal ou de serviço) tem várias funções que definem o gerenciamento do projeto. Conceda as seguintes funções a essa conta de serviço:
- Administrador de computação
- Administrador de armazenamento
- Editor de compilação em nuvem
- Usuário da conta de serviço
- Usuário do Cloud Datastore
- Operador de criptografia Cloud KMS
O Cloud KMS Crypto Operator exige as seguintes permissões:
- cloudkms.cryptokeys.get
- cloudkms.cryptokeys.list
- cloudkms.keyrings.get
- cloudkms.keyrings.list
Nota:
Ative todas as APIs para obter a lista completa de funções disponíveis ao criar uma nova conta de serviço.
- Clique em CONTINUE
- Na página Conceder aos usuários acesso a essa conta de serviço , adicione usuários ou grupos para conceder a eles acesso para realizar ações nessa conta de serviço.
- Clique em CONCLUÍDO.
- Navegue até o console principal do IAM.
- Identifique a conta de serviço criada.
- Valide se as funções foram atribuídas com sucesso.
Considerações:
Ao criar a conta de serviço, considere o seguinte:
- As etapas Conceder a essa conta de serviço acesso ao projeto e Conceder aos usuários acesso a essa conta de serviço são opcionais. Se você optar por ignorar essas etapas de configuração opcionais, a conta de serviço recém-criada não será exibida na página IAM & Admin > IAM .
- Para exibir funções associadas a uma conta de serviço, adicione as funções sem pular as etapas opcionais. Esse processo garante que as funções apareçam para a conta de serviço configurada.
Chave da conta do Citrix Cloud Service
A chave da conta do Citrix Cloud Service é necessária para criar uma conexão no Citrix DaaS. A chave está contida em um arquivo de credencial (.json). O arquivo é automaticamente baixado e salvo na pasta Downloads após a criação da chave. Ao criar a chave, certifique-se de definir o tipo de chave como JSON. Caso contrário, o Web Studio não poderá analisá-lo.
Para criar uma chave de conta de serviço, navegue até IAM & Admin > Contas de serviço e clique no endereço de e-mail da conta do Citrix Cloud Service. Mude para a guia Keys e selecione Add Key > Create new key. Certifique-se de selecionar JSON como o tipo de chave.
Dica:
Crie chaves usando a página Contas de serviço no console do Google Cloud. Recomendamos que você altere as chaves regularmente para fins de segurança. Você pode fornecer novas chaves para o aplicativo Citrix Virtual Apps and Desktops editando uma conexão existente do Google Cloud.
Adicione funções à conta do Citrix Cloud Service
Para adicionar funções à conta do Citrix Cloud Service:
- No console do Google Cloud, navegue até IAM & Admin > IAM.
-
Na página IAM > PERMISSIONS , localize a conta de serviço que você criou, identificável com um endereço de e-mail.
Por exemplo,
<my-service-account>@<project-id>.iam.gserviceaccount.com - Selecione o ícone de lápis para editar o acesso ao principal da conta de serviço.
- Na página Editar acesso ao “project-id” da opção principal selecionada, selecione ADICIONAR OUTRA FUNÇÃO para adicionar as funções necessárias à sua conta de serviço uma por uma e, em seguida, selecione SALVAR.
Adicione funções à conta do serviço Cloud Build
Para adicionar funções à conta do serviço Cloud Build:
- No console do Google Cloud, navegue até IAM & Admin > IAM.
-
Na página IAM , localize a conta do serviço Cloud Build, identificável com um endereço de e-mail que começa com a ID do projeto ** e a palavra **cloudbuild.
Por exemplo,
<project-id>@cloudbuild .gserviceaccount.com - Selecione o ícone de lápis para editar as funções da conta do Cloud Build.
-
Na página Editar acesso ao “project-id” da opção principal selecionada, selecione ADICIONAR OUTRA FUNÇÃO para adicionar as funções necessárias à sua conta de serviço do Cloud Build, uma por uma, e depois selecione SALVAR.
Nota:
Ative todas as APIs para obter a lista completa de funções.
Depois de 29 de abril de 2024
O Citrix Cloud usa duas contas de serviço separadas no projeto do Google Cloud:
-
Conta de serviço Citrix Cloud: Essa conta de serviço permite que o Citrix Cloud acesse o projeto do Google, provisione e gerencie máquinas. Essa conta de serviço é autenticada no Google Cloud usando uma chave gerada pelo Google Cloud.
Você deve criar essa conta de serviço manualmente.
Você pode identificar essa conta de serviço com um endereço de e-mail. Por exemplo,
<my-service-account>@<project-id>.iam.gserviceaccount.com. -
Conta de serviço de computação em nuvem: essa conta de serviço é provisionada automaticamente depois que você ativa todas as APIs mencionadas em Habilitar as APIs do Google Cloud. Para ver todas as contas de serviço criadas automaticamente, navegue até IAM & Admin > IAM no console Google Cloud e marque a caixa de seleção Incluir concessões de papéis fornecidas pelo Google . Essa conta tem a função de editor básico do IAM para fazer as operações. No entanto, se você excluir a permissão padrão para ter um controle mais granular, deverá adicionar a função Storage Admin , que exige as seguintes permissões:
- resourcemanager.projects.get
- storage.objects.create
- storage.objects.get
- storage.objects.list
Você pode identificar essa conta de serviço por meio de um endereço de e-mail que começa com a ID do projeto ** e a palavra **compute. Por exemplo,
<project-id>-compute@developer.gserviceaccount.com.Verifique se a conta de serviço recebeu as seguintes funções.
- Conta de serviço Cloud Build
- Administrador de instâncias de computação
- Usuário da conta de serviço
Crie uma conta do Citrix Cloud Service
Para criar uma conta do Citrix Cloud Service, siga estas etapas:
- No console do Google Cloud, navegue até IAM & Admin > Service accounts.
- Na página Service accounts , selecione CREATE SERVICE ACCOUNT.
- Na página Criar conta de serviço , insira as informações necessárias e selecione CRIAR E CONTINUAR.
-
Na página Conceder a esta conta de serviço acesso ao projeto , clique no menu suspenso Selecionar uma função e selecione as funções necessárias. Clique em +ADICIONAR OUTRA FUNÇÃO se quiser adicionar mais funções.
Cada conta (pessoal ou de serviço) tem várias funções que definem o gerenciamento do projeto. Conceda as seguintes funções a essa conta de serviço:
- Administrador de computação
- Administrador de armazenamento
- Editor de compilação em nuvem
- Usuário da conta de serviço
- Usuário do Cloud Datastore
- Operador de criptografia Cloud KMS
O Cloud KMS Crypto Operator exige as seguintes permissões:
- cloudkms.cryptokeys.get
- cloudkms.cryptokeys.list
- cloudkms.keyrings.get
- cloudkms.keyrings.list
Nota:
Ative todas as APIs para obter a lista completa de funções disponíveis ao criar uma nova conta de serviço.
- Clique em CONTINUE
- Na página Conceder aos usuários acesso a essa conta de serviço , adicione usuários ou grupos para conceder a eles acesso para realizar ações nessa conta de serviço.
- Clique em CONCLUÍDO.
- Navegue até o console principal do IAM.
- Identifique a conta de serviço criada.
- Valide se as funções foram atribuídas com sucesso.
Considerações:
Ao criar a conta de serviço, considere o seguinte:
- As etapas Conceder a essa conta de serviço acesso ao projeto e Conceder aos usuários acesso a essa conta de serviço são opcionais. Se você optar por ignorar essas etapas de configuração opcionais, a conta de serviço recém-criada não será exibida na página IAM & Admin > IAM .
- Para exibir funções associadas a uma conta de serviço, adicione as funções sem pular as etapas opcionais. Esse processo garante que as funções apareçam para a conta de serviço configurada.
Chave da conta do Citrix Cloud Service
A chave da conta do Citrix Cloud Service é necessária para criar uma conexão no Citrix DaaS. A chave está contida em um arquivo de credencial (.json). O arquivo é automaticamente baixado e salvo na pasta Downloads após a criação da chave. Ao criar a chave, certifique-se de definir o tipo de chave como JSON. Caso contrário, o Web Studio não poderá analisá-lo.
Para criar uma chave de conta de serviço, navegue até IAM & Admin > Contas de serviço e clique no endereço de e-mail da conta do Citrix Cloud Service. Mude para a guia Keys e selecione Add Key > Create new key. Certifique-se de selecionar JSON como o tipo de chave.
Dica:
Crie chaves usando a página Contas de serviço no console do Google Cloud. Recomendamos que você altere as chaves regularmente para fins de segurança. Você pode fornecer novas chaves para o aplicativo Citrix Virtual Apps and Desktops editando uma conexão existente do Google Cloud.
Adicione funções à conta do Citrix Cloud Service
Para adicionar funções à conta do Citrix Cloud Service:
- No console do Google Cloud, navegue até IAM & Admin > IAM.
-
Na página IAM > PERMISSIONS , localize a conta de serviço que você criou, identificável com um endereço de e-mail.
Por exemplo,
<my-service-account>@<project-id>.iam.gserviceaccount.com - Selecione o ícone de lápis para editar o acesso ao principal da conta de serviço.
- Na página Editar acesso ao “project-id” da opção principal selecionada, selecione ADICIONAR OUTRA FUNÇÃO para adicionar as funções necessárias à sua conta de serviço uma por uma e, em seguida, selecione SALVAR.
Adicionar funções à conta do Cloud Compute Service
Para adicionar funções à conta do Cloud Compute Service:
- No console do Google Cloud, navegue até IAM & Admin > IAM.
-
Na página IAM , localize a conta do serviço Cloud Compute, identificável com um endereço de e-mail que começa com a ID do projeto ** e a palavra **compute.
Por exemplo,
<project-id>-compute@developer.gserviceaccount.com - Selecione o ícone de lápis para editar as funções da conta do Cloud Build.
-
Na página Editar acesso ao “project-id” da opção principal selecionada, selecione ADICIONAR OUTRA FUNÇÃO para adicionar as funções necessárias à sua conta de serviço do Cloud Build, uma por uma, e depois selecione SALVAR.
Nota:
Ative todas as APIs para obter a lista completa de funções.
Permissões de armazenamento e gerenciamento de buckets
O Citrix Virtual Apps and Desktops melhora o processo de reportar falhas de criação na nuvem para o serviço do Google Cloud. Esse serviço é executado com base no Google Cloud. O Citrix Virtual Apps and Desktops cria um bucket de armazenamento chamado citrix-mcs-cloud-build-logs-{region}-{5 random characters} , onde os serviços do Google Cloud capturam informações de log de compilação. Uma opção é definida nesse bucket que exclui o conteúdo após um período de 30 dias. Esse processo exige que a conta de serviço usada para a conexão tenha as permissões do Google Cloud definidas como storage.buckets.update. Se a conta de serviço não tiver essa permissão, o Citrix Virtual Apps and Desktops ignora os erros e prossegue com o processo de criação do catálogo. Sem essa permissão, o tamanho dos registros de compilação aumenta e exige limpeza manual.
Habilitar o acesso privado do Google
Quando uma VM não tem um endereço IP externo atribuído à sua interface de rede, os pacotes são enviados somente para outros destinos de endereços IP internos. Quando você ativa o acesso privado, a VM se conecta ao conjunto de endereços IP externos usados pela API do Google e pelos serviços associados.
Nota:
Se o acesso privado do Google estiver ativado, todas as VMs com e sem endereços IP públicos devem poder acessar as APIs públicas do Google, especialmente se dispositivos de rede de terceiros tiverem sido instalados no ambiente.
Para garantir que uma VM em sua sub-rede possa acessar as APIs do Google sem um endereço IP público para provisionamento de MCS:
- No Google Cloud, acesse a configuração de rede VPC **.
- Na tela de detalhes da sub-rede, ative Acesso privado do Google.
Para obter mais informações, consulte Configurando o acesso privado do Google.
Importante:
Se sua rede estiver configurada para impedir o acesso da VM à Internet, certifique-se de que sua organização assuma os riscos associados à ativação do acesso privado do Google à sub-rede à qual a VM está conectada.
Para onde ir a seguir
- Instale os componentes principais
- Instale VDAs
- Crie um site
- Para criar e gerenciar uma conexão em ambientes do Google Cloud, consulte Conexão com ambientes de nuvem do Google