部署和配置指南-谷歌云上的 Citrix 虚拟化

注意：

本文档的内容正在进行重组，并将其纳入 Google Cloud 上的 Citrix DaaS 解决方案中心。为了完整性和可参考性，在过渡期间将原始文档内容保留在此处。

简介

本分步部署和配置指南面向在 Google Cloud 上部署和管理 Citrix 基础架构的技术专业人员。您可以将本指南视为双击谷歌云参考架构上的 Citrix 虚拟化参考架构文档，该文档也可在 Citrix TechZone 上找到。参考体系结构可帮助您确定虚拟化系统的体系结构。为了引导您踏上这段理解之旅，我们将每个主要步骤分解为目标，然后分步指导如何实现我们的主要目标：在 Google Cloud 上构建 Citrix 虚拟化系统。

在您和我们一起旅行时，我们鼓励您在此过程中分享您的意见、贡献、问题、建议和反馈。通过电子邮件联系我们谷歌中小企业工作组的 Citrix。

如果您对 Citrix 虚拟化和 Google Cloud 培训感兴趣，Citrix 会提供自主进度和教师指导版本。有关更多信息，请参阅以下 Citrix Education Web 站点 https://training.citrix.com/learning。或者联系您的 Citrix 客户成功经理了解更多信息。

部署概述

以下列表概述了在 Google Cloud 上创建 Citrix 虚拟化系统所需的目标和 任务 ：

1. 定义部署架构
2. 准备谷歌云项目
3. 配置网络服务
4. 创建虚拟机
5. 配置对虚拟机控制台的访问权限
6. 部署Active Directory
7. 创建/初始化 Citrix Cloud 资源位置
8. 配置 Citrix DaaS
9. 测试启动虚拟应用程序和桌面资源

1. 定义部署架构

在任何 平台上构建 Citrix 虚拟化系统之前，您需要弄清楚部署架构。Citrix 技术堆栈的灵活性可能是一个挑战。但是，我们在《基于 Google Cloud 的 Citrix 虚拟化参考架构 》文档中细分了需要考虑的最重要的设计决策。在本指南中，我们将基于 C loud Forw ard 设计构建 Citrix 解决方案，如下所示：

2. 准备谷歌云项目

本部分的目标是准备用作 Citrix Cloud Virtual Apps and Desktops 服务 资源位置的 Google Cloud 项目。您可以创建一个新的 Google Cloud 项目，也可以访问现有的 Google Cloud 项目。

完成后，您有：

• Google Cloud 的主要组件简介

• 访问 Google Cloud 项目

• 为用户分配“项目所有者”角色

• 准备 Google Cloud

注意

本部分提供了在 Google Cloud 上创建资源位置的演练。尽管在撰写本文时，这些要求是完整和正确的，但您需要参考产品文档以了解最新的要求。

Google Cloud 入门

Google Cloud 包含托管在全球各地数据中心的服务和资源，这些服务和资源因 地理区域而异。Google Cloud 基础设施服务遍布北美、南美、欧洲、亚洲和澳大利亚。这些位置被划分为区域和区域。区域是区域内的隔离位置。该区域决定了哪些计算资源可用，以及数据的存储和访问位置。一个区域可以有三个或更多区域。例如，us-west1 区域表示位于美国西海岸的一个区域，它有三个区域 us-west1-a、us-west1-b 和 us-west1-c。

Google Billing（Google 账单）帐户是创建 Google 项目的必备条件。Google 账单与 Google 支付配置文件相关联。在 GCP 环境中，账单帐户可以链接到一个或多个与组织对应的项目。建议在继续操作之前，在您的组织中建立适当的计费结构。与其他公有云供应商类似，GCP 中的计费基于使用情况。当虚拟机处于终止状态时，Google 不会对其收费。但是，Google 会收取存储已挂起虚拟机的保留状态的费用。Google 为虚拟机使用提供承诺使用折扣（1 年或 3 年），非常适合资源需求可预测的工作负载。此外，Google 还提供持续使用折扣，该折扣自动应用于每月使用超过 25% 的特定计算引擎。但是，持续使用折扣不适用于 E2 和 A2 计算机实例。Google 还为使用内置智能的虚拟机实例提供大小建议。

GCP 将资源组织到一个项目中。默认情况下，所有 GCP 项目 都分配给单个用户项目创建者角色。创建额外的项目成员以及身份访问和管理角色，以控制对 GCP 项目的访问权限。项目由一组用户、一组 API、计费、身份验证和这些 API 的监控设置组成。GCP 项目包含以下组件：

• 项目名称，您可以自动提供 或 分配

• 项目 ID，您可以自动提供 或 分配

• 项目编号，不可定制 ， 自动分配

2.1 创建或访问谷歌项目

此任务的目标是最终获得对包含您的 Citrix 虚拟化资产的 Google Cloud 项目的访问权限。如果您组织中的其他人负责创建项目，则他们需要为您分配身份访问管理 (IAM)“所有者”角色来完成此目标的其余部分。如果您正在创建项目，则以下步骤将指导您完成整个过程。

您可以在 Google Cloud 控制台 (https://console.cloud.google.com) 中完成以下步骤。请确保您使用有效的用户帐户登录到此控制台。

1. 单击从下拉列表中 选择项目

   

2. 单击“新建项目”

   

3. 输入一个唯一的项目名称： citrixcloud

4. 单击“浏览”并选择您的组织

5. 单击创建

   

6. 验证项目是否已成功创建

   

2.2 启用谷歌云 API

Citrix Cloud 通过使用几个不同的 API 与您的 Google Cloud 项目进行交互。这些 API 在默认情况下不一定处于启用状态，但它们是 Citrix Virtual Delivery Agent (VDA) 队列创建和生命周期管理所必需的。要使 Citrix Cloud 正常运行，必须在项目中启用以下 Google API：

• 计算引擎 API

• 云资源管理器 API

• 身份识别和访问管理 (IAM) API

• 云构建 API

• * 云域名系统 (DNS) API

注意

*Cloud DNS API 是为项目配置 DNS 服务所必需的，这对于在 Google Cloud 上配置 Active Directory 是必需的。如果您的基础架构团队负责管理 Active Directory 和 DNS 基础设施组件，则可以有效地跳过此步骤。其他四个 API 由 Citrix Cloud 使用，必须启用。

如果您更喜欢使用图形控制台，可以从 API和服务/控制面板或API和服务/库 页面启用Google API。也可以使用 Google Cloud Shell 快速 完成 API 的启用，如下所述：

1. 点击位于 Google 控制台右上角的 Google Shell 图标：

   

2. Google 控制台中将显示以下云外壳：

   

3. 将以下四个命令粘贴到云命令行管理程序中，如果出现云命令行提示，请单击 授权：

   gcloud services enable compute.googleapis.com

   gcloud services enable cloudresourcemanager.googleapis.com

   gcloud services enable iam.googleapis.com

   gcloud services enable cloudbuild.googleapis.com

   gcloud services enable dns.googleapis.com

   

2.3 创建/更新服务帐号

Google Identity and Access Management (IAM) 允许您授予对特定 Google Cloud 资源的精细访问权限。 世卫组织 有权获得 哪些 资源，以及他们可以利用这些资源做 什么 。服务帐号位于项目内，类似于您在 Google Cloud 上部署的其他资源。

Citrix Cloud 在 Google Cloud 项目中使用 两个 单独的服务帐户：

• Cloud Build 服务帐号 — 启用 Google API 后 自动 调配Cloud Build 服务帐号，可使用以项目 ID 开头的电子邮件地址识别云构建服务帐号，例如 <project-id>@cloudbuild.gserviceaccount.com。Cloud Build 帐户需要以下三个角色：

  • Cloud Build 服务帐户（默认分配）

  • 计算实例管理员

  • 服务帐户用户

• Citrix Cloud 服务帐户 - Citrix Cloud 使用服务帐户使用预生成的密钥向 Google Cloud 进行身份验证。服务帐户使 Citrix Cloud 能够访问 Google 项目、置备和管理计算机。服务帐户是 手动 创建的，可通过电子邮件地址进行识别，例如 <my-service-account><project-id>.iam.gserviceaccount.com。通过应用最小权限原则，为服务帐号授予以下角色：

  • 计算管理员

  • 存储管理员

  • 云构建编辑者

  • 服务帐户用户

  • 云数据存储用户

2.3.1 更新分配给Cloud Build 服务帐号的角色

1. 点击位于 Google 控制台左上角的汉堡包图标

2. 导航到 IAM 和管理员

3. 点击 IAM

   

4. 找到 Cloud Build 服务帐号，该帐户可使用以项目 ID 开头的电子邮件地址进行识别，例如 <project-id>@cloudbuild.gserviceaccount.com。默认情况下，将应用Cloud Build 服务帐号角色。

   注意

   如果您无法查看 Cloud Build 帐户，则必须通过以下步骤手动启用Cloud Build 帐户：

   • 点击汉堡菜单
   • 向下滚动，直到找到 CI/CD 菜单部分
   • 点击 Cloud Build
   • 点击“设置”
   • 找到“服务帐户”，在“状态”列下，单击下拉菜单，然后从“已 禁 用”更改为“已启用”
   • 返回 IAM 和管理员菜单部分，找到Cloud Build 服务帐户

5. 点击铅笔图标编辑Cloud Build 帐户角色

   

6. 单击“添加其他角色”

   

7. 单击 选择角色 下拉菜单

   

8. 单击下拉列表并输入 计算实例管理员

9. 从列表中单击 计算实例管理员 (v1)

   

10. 单击“添加其他角色”

    

11. 单击 选择角色 下拉菜单

    

12. 单击下拉列表并输入 服务帐号用户

13. 从列表中单击“服务帐号用户”

    

14. 单击保存

    

15. 验证角色是否已成功分配

    

2.3.2 创建角色并将其分配给 Citrix Cloud 服务帐户

1. 点击位于 Google 控制台左上角的汉堡包图标

2. 导航到 IAM 和管理员

3. 点击 服务帐户

   

4. 点击 + 创建服务帐户

   

5. 输入唯一的服务帐号名称： citrixcloud

6. 根据输入的 服务帐号名称自动填充服务帐号 ID

7. 提供服务帐户名称的描述： Citrix Cloud 服务帐户

8. 点击 创建并继续

   

9. 单击 选择角色 下拉菜单

   

10. 单击下拉列表并输入 Compute Admin

11. 从列表中单击“计算管理员”

    

12. 单击“添加其他角色”

    

13. 单击 选择角色 下拉菜单

    

14. 单击下拉列表并输入 存储管理员

15. 从列表中单击 存储管理员

    

16. 单击 选择角色 下拉菜单

    

17. 单击下拉列表并输入 Cloud Build 编辑器

18. 从列表中单击 Cloud Build 编辑器

    

19. 单击“添加其他角色”

    

20. 单击下拉列表并输入 服务帐号用户

21. 从列表中单击“服务帐号用户”

    

22. 单击“添加其他角色”

    

23. 单击下拉列表并输入 Cloud 数据存储用户

24. 从列表中单击 云数据存储用户

    

25. 点击 继续

    

26. 单击“完成”

    

27. 导航到 IAM 主控制台

    

28. 确定创建的服务帐号

29. 验证是否成功分配了这五个角色

    

注意

如果您计划将 Citrix VDA 部署到 Google Cloud 共享虚拟私有云 (VPC) 上，Citrix Cloud 服务帐户需要一些其他权限，但此处 未 涵盖这些权限。要准备在共享 VPC 上部署 VDA，请查看 共享虚拟私有云。

2.3.3 生成并保存 Citrix Cloud 服务帐户密钥

在此任务中，您将生成并下载服务帐号密钥。服务帐户密钥用于在本文档后面部分中建立 Citrix Cloud 和 Google 之间的连接。请确保安全地处理 JSON 文件。

1. 点击位于 Google 控制台左上角的汉堡包图标

2. 导航到 IAM 和管理员

3. 点击 服务帐户

   

4. 单击之前创建的服务帐号

5. 可能尚未创建任何密钥

   

6. 单击“密钥”选项卡

7. 单击“添加密钥”

8. 选择 创建新密钥

   

9. 选择密钥类型 JSON （默认）

10. 单击创建

    

11. JSON 私钥会自动下载。找到 JSON 文件并将其安全存储-在接下来的步骤中创建 Citrix Cloud 和 Google Cloud 之间的托管连接时需要这样做。

12. 单击 Close（关闭）。

    

3. 配置/检验网络和网络服务

本部分涵盖在 Google Cloud 上托管 Citrix Cloud 资源位置 所需的网络服务。完成最后一个目标后，您将在 Google Cloud 上留下一个空项目，我们正在其中构建 Citrix 虚拟化系统。本节旨在介绍实现我们的主要目标所需的网络相关服务。 相对于组织底层系统需求的规模，构建和配置网络变得非常复杂。从本质上讲，谷歌云上的 Citrix 虚拟化系统需要以下各项才能运行：

• 用于互连 Citrix VDA 和 Citrix Cloud Connector 的虚拟私有云 (VPC)。

• Citrix Cloud Connector（以及可选的 VDA）与 Citrix Cloud 的托管 Web 服务 (API) 进行交互的一种方法。两者都只需要出站连接，而出站连接通常由谷歌的Cloud NAT服务提供。

• Citrix Cloud Connector 与 Google Cloud API 通信的一种方法。必须启用名为 Google 私有访问的 Google Cloud VPC 功能才能允许通信。

• Citrix Cloud Connector 和 VDA 与 Active Directory 和其他网络资源（包括互联网）进行通信的方法。在 Citrix 虚拟化系统中提供 DNS 的一种常见方法是使用Google Cloud DNS服务。

• 使用 Google VPC 防火墙保护的网络层。

您的组织可以采用不同的方式来部署我们在此处介绍的必要功能。如果目标已完成并经过功能验证，那么您应该可以顺利构建 Citrix 虚拟化环境。

3.1 为 VDA 和Cloud Connector创建/访问网络

在 Google Cloud 上，虚拟机资源需要一个 VPC 网络才能进行通信。VPC 位于特定的 Google Cloud 项目中，可以根据需要在 多个项目之间 选择共享。谷歌称后者为共享 VPC功能。Citrix Cloud 支持 在共享 VPC 网络上部署 Citrix VDA，本简化指南未详细介绍设置和配置。

VPC 是一种项目全局构造，这意味着它不仅可以跨区域内的区域，还可以跨越全球各地的区域。部署虚拟机的每个区域至少需要一个子网。

在本部署指南中，VPC 网络用于在三个 Google 区域（us-west1-a、us-west1-b 和 us-west1-c）之间提供内部（私有）连接。VPC 是在 Google 网络中实施的物理网络的虚拟版本。VPC 被视为全局资源，不与任何 Google 区域或区域关联。可以使用自动模式或自定义模式创建 VPC 网络。自动模式 VPC 网络在创建网络时自动为每个区域创建一个子网。随着新区域的推出，这些区域中的新子网会自动添加到自动模式网络中。自定义模式 VPC 网络要求手动创建所有子网。另请注意，Google Cloud 上的流量会产生相关 费用 。VPC 入口流量是免费的。前往同一区域、同一地区的不同 GCP 服务以及 Google 产品的出口流量都是免费的。但是，美国境内同一地区或同一地区之间的出口流量 需要付费 。

此任务的目标是创建一个功能正常的 VPC，用于在 Google Cloud 上构建 Citrix Cloud 资源位置。当 Citrix Cloud 服务帐户（之前创建）可以在正常运行的 VPC 上部署虚拟机时，可以认为此任务已完成。

3.1.1 创建 VPC 网络和子网

1. 点击位于 Google 控制台左上角的汉堡包图标

2. 导航到 VPC 网络

3. 单击 VPC 网络

   

4. 点击 创建 VPC 网络

   

5. 输入 VPC 网络的唯一名称：citrixcloudnetwork

6. 输入 VPC 网络的描述： Citrix Cloud 网络

   

7. 选择“自定义”

8. 为子网名称输入一个唯一的名称：citrixcloudsubnet

9. 输入子网的描述： Citrix Cloud 基础架构子网

10. 选择 us-west1 地区

11. 输入以下 IP 地址范围: 10.240.1.0/24

12. 在Google 私有访问权限部分选择开。谷歌私有访问权限 允许 Citrix Cloud Connector 与 Google Cloud API 进行通信。

13. 单击“完成”

    

14. 在“动态路由模式”部分下 选择 区域

15. 单击 创建 以完成 VPC 网络创建流程

    

16. 验证已成功创建的 VPC 网络

    

3.1.2 配置与 Citrix Cloud 的出站连接

Citrix Cloud 基于一套可通过互联网安全访问的 API 构建。Citrix Cloud Connector 虚拟机必须能够与 Citrix Cloud 通信才能正常运行。尽管有很多方法可以实现此目标，但在本指南中，我们将使用Google Cloud NAT。云 NAT 服务用于允许 Citrix Cloud 和 Google Cloud 之间的通信。Cloud NAT 允许某些没有外部 IP 地址的资源创建到互联网的出站连接。如果需要在本地数据中心和 GCP 之间建立连接，则 云互连 可提供低延迟、高可用性的连接。云互连支持内部 IP 地址通信，这意味着可以从两个网络直接访问内部 IP 地址。但是，本地网络和 GCP 网络之间的流量不会通过公共互联网。您可以选择部署专用或合作伙伴互连来提供本地数据中心和 GCP 之间的连接。

在配置云 NAT 之前，必须将云路由器配置为 Cloud NAT 使用它。

注意

Roles/compute.NetworkAdmin 角色授予您执行以下操作的权限：

• 在云路由器上创建 NAT 网关
• 保留和分配 NAT IP 地址
• 指定 NAT 网关允许使用网络地址转换的子网流量

3.1.2.1 步骤 1：部署谷歌云路由器

1. 点击位于 Google 控制台左上角的汉堡包图标

2. 导航到 混合连接

3. 点击 云路由器

   

4. 单击“创建路由器”

   

5. 为云路由器输入一个唯一的名称： citrixcloudrouter

6. 输入云路由器的描述： Citrix Cloud 路由器

7. 选择在 虚拟私有云 部分创建的网络：c itrixcloudnetwork

8. 选择美国 us-west1

9. 输入谷歌 ASN 值。您可以使用任何私有 ASN 值（从 64512 到 65534，从 4200000000 到 4294967294）

10. 输入 BGP 对等体保持连接间隔值 20 （默认值）

11. 单击创建

    

12. 验证云路由器是否已成功创建

    

3.1.2.2 步骤 2：部署谷歌云 NAT

1. 点击位于 Google 控制台左上角的汉堡包图标

2. 导航到 网络服务

3. 点击 云 NAT

   

4. 单击“开始使用”

   

5. 为云 NAT 输入一个唯一的名称：citrixcloudnatgateway

6. 选择在 虚拟私有云 部分创建的 VPC 网络：citrixcloudnetwork

7. 选择美国 us-west1

8. 选择步骤 1 中部署的云路由器

9. 单击创建

   

10. 验证云端 NAT 是否已成功创建

    

3.1.2.3 通过谷歌云 DNS 配置 DNS 服务

域名系统 (DNS) 服务是任何连接的网络提供名称解析的基本要求，也是 Microsoft Active Directory 功能的最低要求。要支持正常运行的 Citrix Cloud 资源位置，Citrix Cloud Connector 和 VDA 必须找到 Active Directory 和 Citrix Cloud 并与之通信。Google Cloud DNS 是一项高性能且具有弹性的全球域名系统 (DNS) 服务，可将域名发布到全球 DNS。云 DNS 由公共区域和私有托管 DNS 区域组成。公共区域对公有 Internet 可见，而私有区域只能从更指定的虚拟私有云 (VPC) 中看到。您正在部署 Cloud DNS，以便为具有私有转发区域类型的 ctx.lab 域提供名称解析。以下专用 DNS 服务器的 IP 地址是在您阅读本文档时手动配置的：

• 10.240.1.2
• 10.240.1.3

1. 点击位于 Google 控制台左上角的汉堡包图标

2. 导航到 网络服务

3. 点击 云端解析

   

4. 点击 创建区域

   

5. 在区域类型下选择 私有

6. 为区域名称输入一个唯一的名称：citrix-on-gcp-zone

7. 输入唯一的 DNS 名称： ctx.lab

8. 输入唯一描述： 将谷歌 DNS 与Active Directory 集成的转发区域

9. 单击选项下拉列表并选择 将查询转发到其他服务器

10. 在网络部分下，单击下拉列表并选择在 虚拟私有云 部分中创建的网络：c itrixcloudnetwork。

11. 输入第一个 DNS IP 地址: 10.240.1.2

12. 单击“添加项目”

13. 输入第二个 DNS IP 地址: 10.240.1.3

14. 单击创建

    

15. 验证已成功创建的 DNS 区域

    

3.2 使用谷歌云 VPC 防火墙配置网络层安全

出于显而易见的原因，每个生产和/或互联网连接系统都需要实施多层安全保护。VPC 防火墙是谷歌云提供的众多安全功能之一。VPC 防火墙规则允许或拒绝入口和出站流量。VPC 防火墙规则基于一组灵活的定义策略。VPC 防火墙规则附加到 VPC 和虚拟机。VPC 防火墙规则是在网络级别定义的，并且允许或拒绝每个实例的连接。VPC 防火墙保护同一 VPC 网络内以及实例与其他 VPC 网络之间的实例。

Citrix Cloud 资源位置需要一些基本的防火墙规则才能正常工作。下表总结了此部署正常运行所需/允许的协议、端口和网络标记。接下来的任务将指导您创建要匹配的防火墙规则：

说明	交通流量	目标网络标签	来源 IP 范围	协议和端口
允许域控制器和其他虚拟机实例之间的内部流量	进入	dc	10.240.1.0/24	TCP： 88、135、389、445、464、636、3268、3269、5985、9389、49152-65535 UDP： 88、123、389、464
允许从谷歌 DNS 转发	进入	dns	35.199.192.0/19 10.240.1.0/24	TCP： 53 UDP： 53
允许从Cloud Connector 到 VDA 的流量	进入	vda	10.240.1.0/24	TCP: 80、443、1494、2598、8008 UDP: 1494、2598、16500-16509
允许来自 VDA 和Cloud Connector 流量	进入	抄送	10.240.1.0/24	TCP： 80

我们使用目标网络标记将这些规则应用于本指南稍后部分将要创建的虚拟机。

3.2.1.1 创建防火墙规则以允许内部流量进入 Active Directory

1. 点击位于 Google 控制台左上角的汉堡包图标

2. 导航到 VPC 网络

3. 点击 防火墙

   

4. 单击 “ 创建防火墙规则 ” 选项

   

5. 输入防火墙规则的唯一名称： citrix-allow-internal-dc

6. 输入描述： 允许实例之间的内部流量

7. 选择在 虚拟私有云 部分创建的 网络 ：c itrixcloudnetwork

8. 将“交通方向”选项设置为“入口”

9. 将“匹配时允许”选项设置为“允 许”

10. 输入在部署 Google 计算实例: dc下配置的网络目标标签

    

11. 将源 IP 范围设置为 10.240.1.0 / 24

12. 选择 “ 指定的协议和端口 ” 选项

13. 选中 tcp 复选框并输入允许的端口： 88、135、389、445、464、636、3268、3269、5985、9389、49152-65535

14. 选中 udp 复选框并输入允许的端口： 88、123、389、464

15. 单击创建

    

3.2.1.2 创建防火墙规则以允许从 Google Cloud DNS 进行转发

1. 单击 “ 创建防火墙规则 ” 选项

   

2. 输入防火墙规则的唯一名称： citrix-allow-external-dns

3. 输入描述： 允许从 Google DNS 转发

4. 选择在 虚拟私有云 部分创建的 网络 ：c itrixcloudnetwork

5. 将“交通方向”选项设置为“入口”

6. 将“匹配时允许”选项设置为“允 许”

7. 输入在部署 Google 计算实例：dns 下配置的网络目标标签

   

8. 将源 IP 范围设置为 35.199.192.0/19 和 10.240.1.0 / 24

9. 选择 “ 指定的协议和端口 ” 选项

10. 选中 tcp 复选框并输入允许的端口： 53

11. 选中 udp 复选框并输入允许的端口： 53

12. 单击创建

    

3.2.1.3 创建防火墙规则以允许从 Cloud Connector 到 VDA 的流量

1. 单击“创建防火墙规则”选项

   

2. 输入防火墙规则的唯一名称：citrix-allow-internal-cc-vda

3. 输入描述： 允许从Cloud Connector 到 VDA 的流量

4. 选择在 虚拟私有云 部分创建的 网络 ：c itrixcloudnetwork

5. 将“交通方向”选项设置为“入口”

6. 将“匹配时允许”选项设置为“允 许”

7. 输入在部署 Google 计算实例： vda下配置的网络目标标签

   

8. 将源 IP 范围设置为 10.240.1.0 / 24

9. 选择“指定的协议和端口”选项

10. 选中 tcp 复选框并输入允许的端口： 80、443、1494、2598、8008

11. 选中 udp 复选框并输入允许的端口： 1494、2598、16500-16509

12. 单击创建

    

3.2.1.4 创建防火墙规则以允许从 VDA 到Cloud Connector 流量

1. 单击“创建防火墙规则”选项

   

2. 输入防火墙规则的唯一名称：citrix-allow-internal-vda-cc

3. 输入描述： 允许从 VDA 到Cloud Connector 流量

4. 选择在 虚拟私有云 部分创建的 网络 ：c itrixcloudnetwork

5. 将“交通方向”选项设置为“入口”

6. 将“匹配时允许”选项设置为“允 许”

7. 输入在部署 Google 计算实例： cc下配置的网络目标标签

   

8. 将源 IP 范围设置为 10.240.1.0 / 24

9. 选择“指定的协议和端口”选项

10. 选中 tcp 复选框并输入允许的端口： 80

11. 单击创建

    

4. 创建虚拟机

现在，您已经有了一个正常运行的 Google Cloud 项目和核心网络服务。下一步是创建具有 Citrix Cloud 资源位置正常运行所需的虚拟机资源。如 参考架构：Google Cloud 上的 Citrix 虚拟化中所述，功能资源位置需要以下内容：

• Active Directory 域服务

• Citrix Cloud Connector

• 一个或多个 Citrix VDA

应用 Cloud Forward 设计模式，这些资源部署在连接到 VPC 的虚拟机实例上。虚拟机实例通过在该区域的 Google Cloud 区域之间拆分，以高可用性的方式进行部署。 在本指南的这一部分中，我们将提供有关 Google Cloud 资源和服务类型的其他信息，然后是创建虚拟机实例。

Google Cloud 虚拟机资源 Google Cloud 提供可靠、高性能的块存储，供虚拟机实例使用。块存储以 永久磁盘的形式呈现给虚拟机。永久磁盘，可作为标准硬盘驱动器或固态硬盘 (SSD) 使用。永久磁盘是持久性网络存储设备，您的实例可以像访问桌面或服务器中的物理磁盘一样对其进行访问。默认情况下，Google 计算引擎实例只有一个带操作系统的根永久性磁盘。对于应用程序需要更多本地存储的实例，可以稍后添加额外的磁盘。磁盘扩展选项包括标准或 SSD 永久性磁盘、本地 SSD 和云存储分区。Citrix Virtual Apps 部署不建议使用本地 SSD，因为存储在本地 SSD 上的数据是临时的。永久磁盘独立于虚拟机实例。您可以选择分离或移动永久性磁盘，以保留数据，即使在虚拟机实例被删除后也是如此。永久性磁盘的性能会随大小自动扩展。您可以调整永久磁盘的大小或向实例添加更多永久性磁盘，以满足性能与存储空间的要求。永久性磁盘没有每个 I/O 成本，因此无需估计每月 I/O 预算。固态硬盘的读取 IOPS 为 40,000，写入 IOPS 为每个实例 30,000。与标准永久性磁盘相比，标准永久性磁盘的读取 IOPS 仅为 3,000，写入 IOPS 为 15,000。建议使用 SSD 永久性磁盘来部署 Citrix Virtual Apps 工作负载。在估算存储容量时，请记住，Virtual Apps and Desktops 部署有两个存储需求：(1) 虚拟应用程序服务器和应用程序的存储以及 (2) 用户配置文件的存储。部署虚拟应用程序服务器主映像需要 50 GB 的存储空间，具体取决于已安装的应用程序和 Windows Server 操作系统版本。例如，Windows Server 2016 操作系统的启动大小为 50 GB，而 Windows Server 2012 R2 的启动大小为 32 GB。Citrix 建议创建新的虚拟应用程序主映像，以最大限度地减少所需的容量，而不是迁移现有的本地映像。

在 Google Cloud 上，运行虚拟机实例的服务称为 Google 计算引擎。Compute Engine 为每种需求提供预定义的虚拟机配置。产品范围从小型微型实例到高内存和高 CPU 配置。以下计算资源与 GCP 上的任何虚拟应用程序部署相关：

• 一般用途或工作负载优化 -您可以根据工作负载要求在通用用途或工作负载优化之间进行选择。

• 预定义机器类型 — 具有预定义数量的 vCPU 和内存，按 定价 页面中描述的固定价格收费。

• 自定义机器类型 — 提供根据特定需求灵活配置 vCPU 和内存，并有可能降低成本。

Microsoft 授权要求不要在非 Microsoft 公有云中部署 Citrix Virtual Desktops 实例。您可以使用 单租户节点 (STN) 或谷歌云 VMware 引擎 (GCVE) 在 GCP 上实施 Citrix 虚拟桌面。STN 和 GCVE 不在本部署指南的范围之内。

Microsoft 许可证移动性允许在使用现有Microsoft 许可证的同时在 GCP 中部署 Windows Server 应用程序（Citrix Virtual Apps），例如远程桌面服务 (RDS)。在开始此部署之前，建议您先查看与Microsoft 签订的Microsoft 许可协议。Microsoft Windows Server 实例需要互联网网络连接才能使用 GCP KMS 主机 kms.windows.googlecloud.com 激活。Windows Server 实例向 KMS 主机注册的标准宽限期为 30 天。30 天后，实例将停止运行。或者，您也可以将自己的 Windows KMS 许可引入 GCP 并托管所需的许可证。在本指南中，我们没有部署Microsoft RDS 服务器。相反，我们使用 30 天宽限期进行验证。

4.1 创建虚拟机实例

Cloud Forward 设计模式需要部署三种不同类型的虚拟机实例（Active Directory、Citrix Cloud Connector、Citrix VDA）。使用表中的详细信息，重复列出的步骤以创建和启动每个虚拟机。完成后，生成并存储凭据以便首次登录到每个虚拟机实例。

虚拟机类型	计算大小	VPC 网络	谷歌专区	主机名	IP 地址	网络标签
Active Directory 域 #1	N1-Standard-2	Citrix Cloud 网络	us-west1-a	dc1.ctx.lab	10.240.1.2	dc dns
Active Directory 域 #2	N1-Standard-2	Citrix Cloud 网络	us-west1-b	dc2.ctx.lab	10.240.1.3	dc dns
Cloud Connector #1	N2-Standard-4	Citrix Cloud 网络	us-west1-a	cc1.ctx.lab	10.240.1.4	抄送
Cloud Connector #2	N2-Standard-4	Citrix Cloud 网络	us-west1-b	cc2.ctx.lab	10.240.1.5	抄送
服务器 VDA 主映像	N2-Standard-4	Citrix Cloud 网络	us-west1-a	mcs.ctx.lab	临时（自动）	vda

1. 点击位于 Google 控制台左上角的汉堡包图标

2. 导航到 计算引擎

3. 点击 虚拟机实例

   

4. 点击 创建实例

   

5. 输入一个名字： dc1

6. 选择地区： 美国西部1

7. 选择区域： us-west1-a

8. 选择 “通 用 ” 选项卡

9. 选择 N2 系列

10. 选择 n2-standard-2 （按照本节开头的表中为每个虚拟机列出的相应计算大小进行操作。）

    

11. 在启动盘上，单击 “ 更改”

    

12. 单击 “ 公共映像 ” 选项卡

13. 选择 Windows Server 操作系统

14. 选择 Windows Server 2019 数据中心 （对于此部署，我们使用的是评估许可证）

15. 选择 平衡永久磁盘

16. 提供所需的大小（以 GB 为单位）： 50

17. 单击 Select（选择）

    

18. 扩展 管理、安全、磁盘、网络、唯一租户 刀片

    

19. 展开 网络 部分并输入相应的虚拟机网络标签： dc dns

20. 输入本节开头的表中列出的主机名： dc1.ctx.lab

    

21. 选择在 虚拟私有云 部分创建的网络：c itrixcloudnetwork

22. 子网应自动填充

23. 在 “主要 内部 IP” 部分下选择 “临时 IP 地址（自定义） ”

24. 在自定义临时 IP 地址下输入 IP 地址 10.240.1.2

    注意

    服务器 VDA 主映像需要自动分配 IP 地址。要允许服务器 VDA 主映像自动获取 IP 地址，请选择临时（自动）。

25. 将外部 IP 设置为 无

26. 单击“完成”

    

27. 单击创建

    

28. 计算机创建并开机后，下一步就是创建默认用户名和密码。

    注意

    谷歌云中的 设置 Windows 密码 功能会使用您指定的用户名设置/重置强密码。如果该帐户存在，它将重置密码。如果没有，谷歌云会在 Windows 实例的本地安全数据库中创建用户，然后创建密码。Google Cloud 创建（或更新）的用户是实例的本地管理员。

    有多种方法可以访问 “ 设置 Windows 密码” 功能 -这里是其中之一，它首先单击虚拟机实例以查看实例详细信息。

    

29. 在虚拟机实例详细信息部分下，单击 设置 Windows 密码

    

30. 输入用户名 admin

31. 单击 “ 设置”

    注意

    如果在创建密码时提示您出现错误 “无法设置 Windows 密码。重试。如果您刚刚创建了此实例，请等待 10 分钟使其准备就绪。“，我们建议在尝试创建密码之前留出建议的时间。

    

32. 默认情况下，唯一的新密码由 Google Cloud 自动生成，无法从控制台进行更改。如果需要自定义密码，则需要在 Windows 操作系统中更改密码。

33. 您可以手动将其复制下来，也可以单击 “复制” 图标。安全地存储密码，因为在下一节中需要登录虚拟机控制台。

34. 单击 Close（关闭）。

    

    按照步骤 1 到 35 按照本节开头的表格所示构建每个 VM 之后。结果应与图片类似：

    

35. 如果无法查看 “网络标记” 列，请单击 “列显示选项” 图标

36. 从列表中选择 网络标记

37. 单击 OK（确定）

    

5. 配置对虚拟机控制台的访问权限

现在，我们已经完成了创建 Windows 虚拟机实例的过程。下一步是确定一种远程访问这些虚拟机的控制台以进行配置的方法。Google Cloud 依靠虚拟机实例的网络连接以及虚拟机内部运行的远程控制台服务来处理远程控制台访问。对于 Windows 虚拟机，这意味着使用 RDP 客户端连接到在实例中运行的 RDP 侦听器。SSH 处理非 Windows 计算机的连接。

根据工作站的操作系统和网络位置，用于访问 VM 控制台的工具和技术可能会有所不同。根据您的组织处理安全性的方式，它们也可能有所不同。本部分的目标是 确保您可以建立与 Google Cloud 项目中虚拟机的远程控制台连接。

建立远程控制台访问权限的一些常用技术包括：

1. 使用 RDP 客户端在管理工作站和同一网络上的虚拟机之间建立直接连接

2. 在一个或多个虚拟机上使用公有 IP 地址，并通过 Internet 从管理工作站建立到公有地址的 RDP 连接

3. 建立与跳转箱或堡垒主机的连接，然后使用首选 RDP 客户端访问 Google Cloud 项目中的虚拟机。管理员通常通过外部 IP 地址连接到跳转箱。

4. 使用谷歌云身份感知代理 (IAP) TCP 转发功能，再加上 IAP Desktop 之类的工具

如果您的管理工作站已经与 Google Cloud 项目中的虚拟机位于同一个网络中，则可以通过 IP 地址连接到这些虚拟机，前提是您已通过防火墙规则允许 RDP 访问。如果您的管理工作站不在同一个网络上，则可以考虑使用分配了外部 IP 地址的跳转框。但是，如果这样做，请确保将对 RDP 侦听器 (TCP 3389) 的访问限制为仅允许从管理工作站的公有 IP 地址进行访问。

提供远程控制台访问的最安全的方法是使用 Google Cloud 身份识别代理 TCP 转发功能以及 IAP 桌面。借助 Google Cloud 身份感知代理 (IAP) TCP 转发功能，您可以控制谁可以通过公共互联网访问项目中虚拟机的管理界面（例如 SSH 和 RDP）。IAP 可防止这些服务直接暴露在互联网上。IAP 还允许您根据 Google Cloud IAM 角色控制哪些人可以访问这些服务，因为 IAP 在允许访问之前会进行身份验证和授权。IAP Desktop 是一款仅限于 Windows 的开源工具，它在 IAP 和 RDP 客户端之上放置了用户友好的用户界面。

本部署指南使用 IAP 服务和 IAP Desktop 应用程序安全地访问虚拟机进行配置。您仍然可以使用谷歌云 SDK 和 gcloud 命令将 IAP 服务与非 Windows 终端节点配合使用，但这不在本指南的讨论范围之内。

配置身份识别代理分为三个步骤：第一步是配置防火墙以允许入口 TCP 流量；第二步是配置身份识别代理；第三步是使用 IAP Desktop 进行远程控制台访问。

5.1 配置谷歌云防火墙以允许入口 TCP 流量

1. 点击位于 Google 控制台左上角的汉堡包图标

2. 导航到 VPC 网络

3. 点击 防火墙

   

4. 单击 “ 创建防火墙规则”

   

5. 输入防火墙规则的唯一名称： allow-iap-access

6. 输入防火墙规则的描述： 允许 IAP 访问

7. 选择在 虚拟私有云 部分创建的 VPC 网络：citrixcloudnetwork

8. 选择 入口 流量

   

9. 在目标字段中，选择 网络中的所有实例

10. 将源 IP 范围设置为 35.235.240.0/20

11. 选择 指定的协议和端口

12. 选中 tcp 复选框

13. 单击创建

    

14. 验证防火墙规则是否已创建

    

5.2 启用和配置身份识别代理

1. 点击位于 Google 控制台左上角的汉堡包图标

2. 导航到 IAM 和管理员

3. 单击 “ 身份识别代理”

   

4. 如果出现提示，请单击 “ 启用 API”

   

5. 单击 “ 转到身份识别代理”

   

   单击后将显示以下屏幕：

6. 单击 SSH 和 TCP 资源选项卡

7. 要更新资源的成员权限，请选择之前创建的所有虚拟机实例。

8. 点击 添加委托人

   

9. 要授予用户、组或服务帐号对资源的访问权限，请在 “新委托人” 字段中指定他们的电子邮件地址。如果您是唯一测试此功能的用户，则可以输入您的电子邮件地址。

10. 要授予成员通过 Cloud IAP TCP 转发功能访问资源的权限，请在角色 下拉列表中选择 Cloud IAP

11. 选择受 IAP 保护的隧道用户

    

12. 单击保存

    

5.3 安装、配置和使用 IAP Desktop 进行远程控制台访问

启用身份感知代理后，下一步就是使用 IAP Desktop（在 GitHub上可用）连接到已部署的虚拟机实例。下载并安装 IAP 桌面后，启动它并按照步骤进行配置。

1. 点击 “ 使用谷歌登录”

   

2. 选择与 Google Cloud 关联的帐户。根据您的帐户配置，您必须提供用户名、密码和令牌。

   

3. 成功进行身份验证后，系统会提示您显示以下权限窗口。选择 查看、编辑、配置和删除您的 Google 云端平台数据

4. 点击 继续

   

5. 选择 谷歌云项目

6. 单击 “ 添加项目”

   

7. 列举了之前在部 署 Google 计算实例 部分下创建的所有计算机：

   

8. 要登录到虚拟机实例，请右键单击目标虚拟机

9. 选择 以用户身份连接…

   

10. 点击 使用其他帐户

11. 输入用户名 admin

12. 输入之前自动为您连接的计算机生成的唯一密码

13. 单击 OK（确定）

    

14. 成功进行身份验证后，您可以登录到虚拟机

    

一旦您完成了这个目标（使用 IAP、跳转框或其他技术），您就有了连接到虚拟机远程控制台的实用方法。在下一部分中，您将使用此方法将虚拟机配置到功能正常的 Citrix Cloud 资源位置。

6. 将Active Directory 部署到谷歌云

正如我们在参考体系结构中广泛讨论的那样，Microsoft Active Directory 域服务 (ADDS) 是支持 Citrix 虚拟化系统所需的核心基础架构组件。Microsoft Active Directory 使您能够管理 Citrix Cloud 工作负载的身份验证和授权。为了获得最佳的用户体验，Citrix 领先实践强烈建议将 Active Directory 部署在与 Citrix Cloud Connector和 VDA 相同的区域中。

Microsoft Active Directory 可以通过多种方式部署到 Google Cloud，包括：

• 在谷歌云端部署新的Microsoft Active Directory

• 将现有的 Microsoft Active Directory 扩展到 Google Cloud

• 使用面向 Microsoft Active Directory 的谷歌托管服务，这是一项在谷歌云上运行的高可用性、强化服务

本指南在 Google Cloud 上部署了新的Microsoft Active Directory，并将这个新的 AD 实例与 Citrix Cloud 集成。

6.1 安装Active Directory 域服务角色

注意

必须在 DC1 和 DC2 虚拟机上执行步骤 1 到 21。

1. 使用上一步骤中生成的本地管理员凭据登录 DC1 虚拟机

   

2. 单击 “ 开始 ” 菜单

3. 单击 “ 服务器管理器”

   

4. 单击 “ 添加角色和功能”

   

5. 单击 Next（下一步）

   

6. 接受默认选项，单击 “ 下一步”

   

7. 选择安装角色的目标服务器。确认显示的 IP 地址是所选服务器的 IP 地址。否则，请关闭服务器管理器并重试。单击下一步。

   

8. 将此服务器提升为域控制器的基本要求是 Active Directory 域服务。

   

9. 出现提示时，单击 添加要素

   

10. 单击 Next（下一步）

    

11. 此角色的功能已准备就绪，可以安装了。默认情况下，此服务所需的基本功能处于选中状态。单击下一步。

    

12. 单击下一步继续操作

    

13. 单击“安装”

    注意

    ：选择 “如果需要，自动重启目标服务器” 选项。

    

14. 此时安装开始

    

15. 成功安装后，安装过程将显示 “需要 配置”。在 dc1 上成功安装

16. 单击 “关闭” 退出 “ 添加角色和功能 ” 安装过程

    

17. 在开始将服务器提升为域控制器的过程之前，必须配置复杂的本地管理员密码以满足密码复杂性要求。

18. 右键单击 Windows 菜单，然后选择 Windows PowerShell（管理员）

    

19. “用户帐户控制” 提示您输入权限，单击 “ 是”

    

20. 在 Windows PowerShell 控制台中 输入以下命令，然后 按 Enter 键执行命令： 网络用户管理员 p@$$w0rd！@# /passwordreq: 是的

21. 单击 “关闭 Windows” 图标退出 Windows PowerShell 控制台

    

6.2 配置主域控制器

1. 单击 “ 通知 ” 图标

2. 单击 “将 此服务器提升为域控制器”

   

3. 选择 “ 添加新林”

4. 输入唯一的根域名： ctx.lab

5. 单击 Next（下一步）

   

6. 指定符合 Microsoft Windows 密码复杂性要求的新目录服务还原模式 (DSRM) 密码： P@$$w0rd!@#

   注意

   DSRM 模式允许管理员修复或还原 Active Directory。

7. 重复输入密码：P@$$w0rd!@#

8. 单击 Next（下一步）

   

9. 单击 Next（下一步）

   

10. NetBIOS 域名会自动填充，如有必要，您可以更改域名

11. 单击 Next（下一步）

    

12. 接受默认文件夹路径，然后单击 “ 下一步”

    

13. 查看您的选择，然后单击 “ 下一步”

    

14. 域控制器升级向导会执行先决条件验证，成功后，它将显示 成功通过的所有先决条件检查。完成后，单击 “ 安装”

15. 单击 “ 安装 ” 以完成域控制器升级过程。

    

6.3 配置辅助域控制器

注意

在继续配置辅助域控制器之前，请完成“安装 Active Directory 域服务角色”部分下列出的步骤 1 到 21。完成后，继续使用生成的本地管理员凭据登录 DC2 虚拟机。

1. 单击 “ 通知 ” 图标

2. 单击 “将 此服务器提升为域控制器”

   

3. 选择选项 将域控制器添加到现有域

4. 输入主域控制器完全限定域名 (FQDN)： dc1.ctx.lab

5. 单击 Select（选择）

   

6. 输入域管理员用户名：ctx\administrator

7. 输入域管理员密码：P@$$w0rd!@#

8. 单击 OK（确定）

   

9. 弹出另一个窗口。选择 ctx.lab 域

10. 单击 OK（确定）

    

11. 返回 “部署配置” 页面，单击 “ 下一步”

    

12. 指定符合 Microsoft Windows 密码复杂性要求的新目录服务还原模式 (DSRM) 密码：P@$$w0rd!@#

    注意

    如果所有域管理员帐户都失去访问权限或域控制器出现故障，DSRM 模式有助于获得对 Active Directory 环境的访问权限。

13. 重复输入密码：P@$$w0rd!@#

14. 单击 Next（下一步）

    

15. 单击 Next（下一步）

    

16. 单击 Next（下一步）

    

17. 接受默认文件夹路径，然后单击 “ 下一步”

    

18. 查看您的选择，然后单击 “ 下一步”

    

19. Domain Controller 升级向导执行先决条件验证，成功验证后，它会显示 成功通过的所有先决条件检查。完成后，单击 “ 安装”

    

20. 单击 “ 关闭 ” 重新启动辅助域控制器以应用配置

    

6.4 创建一个新的测试用户账户

建议使用域用户帐户分配和启动 Citrix 基础架构发布的任何资源。在此步骤中，我们将创建一个域用户帐户，用于测试系统，以实现本文档后面将介绍的目标。

1. 使用以下域凭据登录 DC1 虚拟机：

   用户名：ctx\ 管理员

   密码：p@$$w0rd！@#

   

2. 单击位于服务器管理器控制台右上角的工具菜单

3. 选择Active Directory 用户和计算机

   

4. 展开 ctx.lab 域名

5. 选择 用户

6. 选择 “ 新建”

7. 选择并单击 “ 用户”

   

8. 输入名字： user

9. 输入姓氏： one

10. 输入用户登录名： user1

11. 单击 Next（下一步）

    

12. 输入密码： P@$$w0rd!@#

13. 重复输入密码：P@$$w0rd!@#

14. 取消选中 用户下次登录时必须更改密码

15. 单击 Next（下一步）

    

16. 查看用户详细信息并单击 “ 完成”

    

17. 确认用户创建成功

    

6.5 将额外的虚拟机添加到Active Directory

在我们开始配置环境中的其他 VM 之前，需要将它们加入到 Active Directory 中。在 Google Cloud 项目中的其他 Windows 虚拟机实例上重复上述步骤，为进一步配置做好准备。

注意

需要在 Citrix Cloud Connector 服务器和服务器 VDA 主映像计算机上执行步骤 1 — 13。假设您遵循了本文档前面的命名指导，这意味着您将在 cc1、cc2 和 mcs 实例上重复此过程。

1. 使用上一步中生成的本地管理员凭据登录 CC1 虚拟机

   

2. 启动 “服务器管理器”，然后单击 “ 本地服务器”

3. 单击 “ 工作组”

   

4. 点击 “ 更改”

   

5. 选择 域 名选项并输入域名： ctx.lab

6. 单击 OK（确定）

   

7. 输入域管理员用户名：ctx\administrator

8. 输入域管理员密码：P@$$w0rd!@#

9. 单击 OK（确定）

   

10. 成功进行身份验证后，您会收到一条消息，欢迎您加入该域。单击 OK（确定）

    

11. 再次单击 “ 确定 ” 以重新启动计算机

    

12. 单击 Close（关闭）。

    

13. 单击 “ 立即重启”

    

对第二个Cloud Connector (CC2) 和服务器 VDA 主映像重复 步骤 1 到 13 。

7. 创建和初始化 Citrix Cloud 资源位置

本部分旨在访问 Citrix Cloud 控制台，将其与您的 Google Cloud 项目和资源集成，并准备发布应用程序和桌面。

Citrix Cloud 是用于托管和管理 Citrix 服务的平台。它通过您选择的任何云或基础架构（本地、公有云、私有云或混合云）上的连接器连接到您的资源  。在 Citrix Cloud 中，您可以从单个控制台为最终用户创建、管理和部署包含应用程序和数据的工作区。

本部署指南要求您拥有一个订阅有效的 DaaS 的 Citrix Cloud 帐户。 注册 Citrix Cloud 后，您可以在控制台中申请 CitrixDaaS 的服务试用。在完成此目标之前，您需要同时拥有 Citrix Cloud 帐户和有效订阅。

Citrix Cloud 资源位置

资源位置包含向您的订阅者提供云服务所需的资源。您可以从 Citrix Cloud 控制台管理这些资源。要创建资源位置，请在您的域中安装至少两个 Cloud Connectors。资源位置是资源驻留的任何位置，无论是公共云还是私有云。在本部署指南中，资源位于 Google 云端平台上。与订户或数据的距离会影响位置的选择。本指南在 Google Cloud 区域 us-west1 中部署单个服务器 VDA 资源位置。为了实现高可用性，在 us-west1-a 和 us-west1-b 区域中分别安装了一个 Citrix Cloud Connector。

7.1 创建 Citrix Cloud 资源位置

第一个任务的目标是创建我们正在安装 Citrix Cloud Connector 的资源位置。这些任务可以从任何 Web 浏览器完成。

1. 导航到 https://cloud.citrix.com

2. 使用您的用户名登录 Citrix Cloud 控制台

3. 输入您的密码

4. 点击 登录

   

5. 输入您的身份验证器应用程序提供的验证码

6. 单击 “ 验证”

   

7. 如果您是多个 Citrix Cloud 租户的管理员，请在出现提示时选择相应的帐户。

   

8. 单击 “资源位置” 部分下的 “ 编辑” 或 “新增 ”。

   注意

   默认情况下，将创建单个资源位置。

   

9. 单击 “我的资源位置” 左上角的三个水平省略号

10. 选择 “ 管理资源位置”

    

11. 输入资源位置的唯一名称： 服务器 VDA — Google US-West1

12. 点击 确认

    注意

    默认情况下，当更新可用时，Citrix Cloud 会在每个连接器上逐个安装更新。为确保快速安装更新而不会过度影响用户的 Citrix Cloud 体验，您可以按首选计划安排这些更新。

    

13. 结果应与图像类似：

    

Citrix Cloud Connector

CCitrix Cloud Connector 充当 Citrix Cloud 与您的资源位置之间的通信渠道。Cloud Connector 对 Citrix Cloud 与资源位置之间的所有通信进行身份验证和加密。所有Cloud Connector 仅出站通信均使用标准 HTTPS 端口 (443) 和 TCP 协议启动。为了实现持续可用性和管理负载，Citrix 建议在每个资源位置至少安装两个 Cloud Connectors。由于每个 Cloud Connector 都是无状态的，因此可以在所有可用的Cloud Connector之间自动分配负载。

7.2 安装 Citrix Cloud Connector

下一步是在 Cloud Connector 虚拟机实例上安装 Citrix Cloud Connector 软件。将 Cloud Connectors 安装到资源位置可以有效地初始化资源位置，并使其可供 Citrix Cloud 及其相关服务使用。在要用作Cloud Connector的每个虚拟机实例上完成以下步骤。您希望使用作为虚拟机实例的本地管理员的域用户帐户登录到每个远程控制台。如果您一直遵循本指南，则可以使用域凭据登录到每台 Cloud Connector 虚拟机：

用户名： ctx\管理员

密码： P@$$w0rd!@#

注意

需要在 Citrix Cloud Connector 虚拟机（ CC1 和CC2）上执行步骤 1 到19。

1. 使用提供的域凭据登录 CC1 虚拟机

   

2. 导航到 https://cloud.citrix.com 并使用您的用户名登录 Citrix Cloud 控制台

3. 输入您的密码

4. 点击 登录

   

5. 输入您的身份验证器应用程序提供的验证码

6. 单击 “ 验证”

   

7. 如果显示 “选择 客户” 屏幕，请选择 您的 Citrix Cloud 帐户

   

8. 单击 “资源位置” 部分下的 “ 编辑” 或 “新增 ”。

   注意

   默认情况下，将创建单个资源位置。

   

9. 单击 Cloud Connector

   

10. 点击“下载”

    

11. 单击保存

    

12. 单击 “ 打开文件夹”

    

13. 右键单击可执行文件并选择 以管理员身份运行

    

14. 单击 “ 登录”，如果出现提示，请提供用户名和密码

    

15. 单击下拉列表并选择相应的 Citrix Cloud 组织 ID

16. 单击“安装”

    

17. 安装开始并显示进度

    

18. 安装完成后，安装程序将执行最终连接检查，以验证Cloud Connector 与 Citrix Cloud 之间的通信。

    

19. 连接测试成功后，将显示以下屏幕。单击 Close（关闭）。

    

对第二个Cloud Connector (CC2) 重复步骤 1 到 19 。

7.3 验证 Citrix Cloud 资源位置

将 Citrix Cloud Connectors 安装到 Citrix Cloud 租户中后，您应该可以开始配置Virtual Apps and Desktops 服务了。您可以通过检查以下内容来验证是否已准备就绪，可以开始配置 CVAD 服务：

导航并单击相应的资源位置。您应该会看到您的Cloud Connector，它们应该列在正确的资源位置，并且它们应该显示为绿色状态：

现在，您已经在 Google Cloud 上成功创建并初始化了 Citrix Cloud 资源位置，现在该配置Virtual Apps and Desktops 服务了。

8. 配置 Citrix DaaS

Citrix DaaS 提供虚拟应用程序和桌面解决方案，作为云服务提供。Citrix DaaS 提供对虚拟机、应用程序和安全的 IT 控制，同时为任何设备提供随时随地访问权限。最终用户可以使用独立于设备的操作系统和界面的应用程序和桌面。Citrix DaaS 通过任何公共云和/或本地虚拟机管理程序提供安全的虚拟应用程序和桌面。Citrix DaaS 通常部署在具有一个或多个资源位置的单个站点中，该站点被视为区域。Citrix 管理 Citrix Cloud 中的用户访问和管理服务及组件。交付给用户的应用程序和桌面驻留在位于一个或多个资源位置的计算机上。

Citrix DaaS 需要一些准备才能开始为用户提供服务。本部分的目标是配置 CVADS 以建立与 Google Cloud 的连接，并为用户部署已发布的应用程序和桌面。

8.1 访问Virtual Apps and Desktops 服务控制台

1. 导航到 https://cloud.citrix.com 并使用您的 用户名 和 密码登录 Citrix Cloud 控制台。出现提示时提供 令牌

2. 点击右上角的汉堡菜单

   

3. 选择 “ 我的服务”

4. 单击 “ Virtual Apps and Desktops”

   

5. 单击 管理 以访问Virtual Apps and Desktops 服务控制台

6. 您现在可以查看Virtual Apps and Desktops 服务选项

   

8.2 配置主机连接和资源

下一步是配置托管连接，以允许 Citrix Cloud 管理 Google Cloud 上的应用程序和桌面资源。之前创建的 JSON 密钥用于建立与 Citrix Cloud 的托管连接。主机连接配置是使用 CVADS 控制台完成的：

1. 点击主机

   

2. 单击 “添加连接和资源”

   

3. 点击下拉菜单，然后选择 Google 云端平台

4. 单击 导入密钥 ，然后在生成 JSON 密钥部分下选择您 生成的 JSON 密钥 。

5. 导入密钥后，将自动填充服务帐户 ID 字段

6. 选择区域名称： 服务器 VDA — 谷歌 US-West1

7. 输入唯一的连接名称： GCP 连接

8. 选择 Citrix 预配工具（Machine Creation Services 或 Citrix Provisioning）

9. 单击 Next（下一步）

   

10. 项目字段默认为您的 Google 项目。如果没有，请点击下拉列表并选择相应的 Google 项目

11. 选择地区： 美国西部1

12. 单击 Next（下一步）

    

13. 为正在创建的网络资源输入一个唯一的名称： GCPNetwork

14. 选择在虚拟 私有云部分创建的虚拟 网络：c itrixcloudnetwork

15. 确认子网

16. 单击 Next（下一步）

    

17. 接受默认选项，然后单击 “ 下一步”

    

18. 检查并确认连接参数

19. 点击 完成

    

    结果应与图像类似：

    

现在您已经有了正常的托管连接，下一步是准备 Citrix Virtual Delivery Agent 以执行工作负载。

8.3 为第一个 Citrix VDA 目录准备 “主映像”

在本部署和配置指南中，我们将构建您的第一个非持久性多会话服务器操作系统。映像管理参考体系结构 概述了映像管理的功能和设计架构，以确保高效交付应用程序和桌面工作负载。必须先在主映像上安装Virtual Delivery Agent (VDA) 软件，然后才能置备计算机目录。VDA 软件允许用户使用计算机及其托管的资源。此外，VDA 还允许计算机在 Citrix Cloud Connector 中注册。

1. 使用以下域凭据登录 MCS 虚拟机

   用户名： ctx\管理员

   密码： P@$$w0rd!@#

   

2. 导航到 https://www.citrix.com/downloads/citrix-virtual-apps-and-desktops/product-software/citrix-virtual-apps-and-desktops-2106.html

   

3. 您需要一个 Citrix 帐户才能登录并下载多会话操作系统Virtual Delivery Agent。如果您没有 Citrix 帐户，则可以选择 创建 Citrix 帐户

   

4. 成功登录后，下载多会话操作系统Virtual Delivery Agent

   

5. 单击保存

   

6. 单击 “ 打开文件夹”

   

7. 右键单击 VDA 服务器软件安装程序，然后选择 以管理员身份运行

   

8. 选择 创建主 MCS 映像

9. 单击 Next（下一步）

   

10. 接受默认选项，然后单击 “ 下一步”

    

11. 单击 Next（下一步）

    

12. 输入第一个Cloud Connector 完全限定域名： cc1.ctx.lab

13. 单击 测试连接 以验证 VDA 和 Cloud Connector 之间的通信，并确保显示绿色复选标记

14. 单击 Add（添加）

    

15. 输入第二个Cloud Connector 完全限定域名： cc2.ctx.lab

16. 单击 测试连接 以验证 VDA 和 Cloud Connector 之间的通信，并确保显示绿色复选标记

17. 单击 Add（添加）

    

18. 确认两个Cloud Connector都已成功添加

19. 单击 Next（下一步）

    

20. 单击 Next（下一步）

    

21. 接受默认防火墙设置。单击 Next（下一步）

    

22. 查看摘要屏幕。单击“安装”

    注意

    安装程序需要多次重启

    

23. 取消选中 收集诊断信息 选项

24. 单击 Next（下一步）

    

25. 单击完成。安装程序重新启动计算机以完成安装过程。继续关闭计算机。

    

8.4 创建计算机目录

1. 单击 计算机目录

   

2. 单击 创建计算机目录

   

3. 单击 Next（下一步）

   

4. 选择 多会话操作系统

5. 单击 Next（下一步）

   

6. 选择 受电源管理的计算机（例如，虚拟机或刀片式计算机）

7. 选择 Citrix Machine Creation Services (MCS)

8. 单击 Next（下一步）

   

9. 点击您的主图片： mcs

10. 单击 Next（下一步）

    

11. 您要创建多少个虚拟机：2

12. 选择 us-west1-b

13. 单击 Next（下一步）

    

14. 单击 Next（下一步）

    

15. 输入帐户命名方案： VDA##

16. 单击 Next（下一步）

    

17. 单击 “ 输入凭据”

    

18. 输入用户名： ctx\administrator

19. 输入密码： P@$$w0rd!@#

20. 单击 Next（下一步）

    

21. 单击 Next（下一步）

    

22. 单击 Next（下一步）

    

23. 单击 Next（下一步）

    

24. 输入唯一的计算机目录名称： GCP-托管应用程序目录

25. 为管理员输入描述： Google Cloud 中的托管应用

26. 点击 完成

    

27. 单击 “隐藏进度” 返回 Citrix Cloud 控制台

    

28. 允许计算机目录创建过程完成

    

29. 双击计算机目录以查看虚拟机

    

30. 同时选择两个虚拟机

31. 单击“开始”打开计算机的电源

    

32. 点击“是”

    

33. “电源状态”列显示为“开启”

34. “ 注册状态 ” 列显示 “ 已注册”

    

35. 导航到谷歌云控制台。选择 计算引擎 和 虚拟机实例

    

36. vda01 和 vda02 虚拟机现已在 us-west1-b 区域中成功创建。

    

8.5 创建交付组

1. 点击 交付组

   

2. 单击 “ 创建交付组”

   

3. 单击 Next（下一步）

   

4. 将该值增加到 2

5. 单击 Next（下一步）

   

6. 选择 允许任何经过身份验证的用户使用此交付组 选项

7. 单击 Next（下一步）

   

8. 单击 “ 添加 ” 下拉菜单

9. 选择并单击 从 “开始” 菜单…

   

10. 允许从服务器 VDA 枚举应用程序，向下滚动并选择 记事本

11. 选择 “ 绘画”

12. 单击 OK（确定）

    

13. 查看您选择的应用程序

14. 单击 Next（下一步）

    

15. 单击 “ 添加 ” 以配置已发布桌面

    

16. 输入唯一的显示名称： Windows 共享桌面

17. 输入描述： Windows 共享桌面测试

18. 单击 OK（确定）

    

19. 查看台式机配置

20. 单击 Next（下一步）

    

21. 输入唯一的交付组名称： GCP 托管的应用程序交付组

22. 输入交付组描述： Google Cloud 中托管应用的交付组

23. 点击 完成

    

24. 双击交付组以查看虚拟机

    

25. 交付组列显示已配置的交付组名称

26. “ 电源状态 ” 列显示为 “开启”

27. “ 注册状态 ” 列显示 “ 已注册”

    

8.6 配置工作区 UI 和会话代理设置

本部署指南使用 Citrix Gateway 服务通过各种身份和访问管理 (IdAM) 功能提供安全的远程访问。您可以使用可自定义的 URL 访问 Citrix Gateway 服务。成功进行身份验证后，您可以通过 Citrix Workspace Service 访问虚拟化资源。Citrix Workspace 是一项服务，在成功进行身份验证后，它将为您提供可启动的可用资源（应用程序和桌面）。

1. 导航到 https://cloud.citrix.com 并使用您的 用户名 和 密码登录 Citrix Cloud 控制台。出现提示时提供 令牌

2. 点击右上角的汉堡菜单

   

3. 选择 工作区配置

   

4. 如果禁用，请打开 “启用” 按钮

5. 单击 “编辑” 来自定义工作区 URL

   

6. 输入您选择的唯一工作空间 URL：gcplab.cloud.com

   注意

   请勿输入此示例中显示的 URL。选择您自己的唯一工作空间 URL，Citrix Cloud 将验证该 URL 是否可用。

7. 同意更改，最多可能需要 10 分钟才能访问

8. 单击保存

   

结果应与图像类似：

9. 测试已发布资源启动

1. 导航到您在配置 Citrix Workspace 服务部分中自定义的工作区 URL。在登录屏幕上输入用户名： ctx\user1

2. 输入密码： P@$$w0rd!@#

3. 点击 登录

   

4. 建议您下载并安装最新的 Citrix Workspace 应用程序，或单击 使用 Web 浏览器 使用 HTML5 在新的浏览器选项卡中启动应用程序

   

5. 展开 应用程序

6. 点击 所有应用程序

7. 选择要启动的应用程序（例如，记事本）

   

8. 发布应用程序应在单独的浏览器选项卡上启动

   

9. 展开 桌面

10. 单击 “ 所有桌面”

11. 单击 Windows 共享桌面以启动

    

12. 发布的桌面应在单独的浏览器选项卡上启动