步骤 2:配置网络服务

概述

本部分涵盖在 Google Cloud 上托管 Citrix Cloud 资源位置 所需的网络服务。完成最后一个目标后,您将在 Google Cloud 上留下一个空项目,我们正在其中构建 Citrix 虚拟化系统。本节旨在介绍实现我们的主要目标所需的网络相关服务。 相对于组织底层系统需求的规模,构建和配置网络变得非常复杂。从本质上讲,谷歌云上的 Citrix 虚拟化系统需要以下各项才能运行:

  • 用于互连 Citrix VDA 和 Citrix Cloud Connector 的虚拟私有云 (VPC)

  • Citrix Cloud Connector(以及可选的 VDA)与 Citrix Cloud 的托管 Web 服务 (API) 进行交互的一种方法。两者都只需要出站连接,而出站连接通常由谷歌的Cloud NAT服务提供。

  • Citrix Cloud Connector 与 Google Cloud API 通信的一种方法。必须启用名为 Google 私有访问的 Google Cloud VPC 功能才能允许通信。

  • Citrix Cloud Connector 和 VDA 与 Active Directory 和其他网络资源(包括互联网)进行通信的方法。在 Citrix 虚拟化系统中提供 DNS 的一种常见方法是使用Google Cloud DNS服务。

  • 使用 Google VPC 防火墙保护的网络层。

您的组织可以采用不同的方式来部署我们在此处介绍的必要功能。如果目标已完成并经过功能验证,那么您应该可以顺利构建 Citrix 虚拟化环境。

1 为 VDA 和Cloud Connector创建/访问网络

在 Google Cloud 上,虚拟机资源需要一个 VPC 网络才能进行通信。VPC 位于特定的 Google Cloud 项目中,可以根据需要在 多个项目之间 选择共享。谷歌称后者为共享 VPC功能。Citrix Cloud 支持 在共享 VPC 网络上部署 Citrix VDA,本简化指南未详细介绍设置和配置。

VPC 是一种项目全局构造,这意味着它不仅可以跨区域内的区域,还可以跨越全球各地的区域。部署虚拟机的每个区域至少需要一个子网。

在本部署指南中,VPC 网络用于在三个 Google 区域(us-west1-a、us-west1-b 和 us-west1-c)之间提供内部(私有)连接。VPC 是在 Google 网络中实施的物理网络的虚拟版本。VPC 被视为全局资源,不与任何 Google 区域或区域关联。可以使用自动模式或自定义模式创建 VPC 网络。自动模式 VPC 网络在创建网络时自动为每个区域创建一个子网。随着新区域的推出,这些区域中的新子网会自动添加到自动模式网络中。自定义模式 VPC 网络要求手动创建所有子网。另请注意,Google Cloud 上的流量会产生相关 费用 。VPC 入口流量是免费的。前往同一区域、同一地区的不同 GCP 服务以及 Google 产品的出口流量都是免费的。但是,美国境内同一地区或同一地区之间的出口流量 需要付费

虚拟私有云

此任务的目标是创建一个功能正常的 VPC,用于在 Google Cloud 上构建 Citrix Cloud 资源位置。当 Citrix Cloud 服务帐户(之前创建)可以在正常运行的 VPC 上部署虚拟机时,可以认为此任务已完成。

1.1 创建 VPC 网络和子网

  1. 点击位于 Google 控制台左上角的汉堡包图标

  2. 导航到 VPC 网络

  3. 单击 VPC 网络

    vpc 网络

  4. 点击 创建 VPC 网络

    vpc-networks-create

  5. 输入 VPC 网络的唯一名称:citrixcloudnetwork

  6. 输入 VPC 网络的描述: Citrix Cloud 网络

    vpc-networks-input-description

  7. 选择 “ 自定义

  8. 为子网名称输入一个唯一的名称:citrixcloudsubnet

  9. 输入子网的描述: Citrix Cloud 基础架构子网

  10. 选择 us-west1 地区

  11. 输入以下 IP 地址范围: 10.240.1.0/24

  12. Google 私有访问权限部分选择开。谷歌私有访问权限 允许 Citrix Cloud Connector 与 Google Cloud API 进行通信。

  13. 单击“完成

    vpc-networks-click-done

  14. 在 “ 动态路由模式” 部分下 选择 区域

  15. 单击 创建 以完成 VPC 网络创建流程

    vpc-networks-creation-process

  16. 验证已成功创建的 VPC 网络

    vpc-networks-create-successfully

1.2 配置与 Citrix Cloud 的出站连接

Citrix Cloud 基于一套可通过互联网安全访问的 API 构建。Citrix Cloud Connector 虚拟机必须能够与 Citrix Cloud 通信才能正常运行。尽管有很多方法可以实现此目标,但在本指南中,我们将使用Google Cloud NAT。云 NAT 服务用于允许 Citrix Cloud 和 Google Cloud 之间的通信。Cloud NAT 允许某些没有外部 IP 地址的资源创建到互联网的出站连接。如果需要在本地数据中心和 GCP 之间建立连接,则 云互连 可提供低延迟、高可用性的连接。云互连支持内部 IP 地址通信,这意味着可以从两个网络直接访问内部 IP 地址。但是,本地网络和 GCP 网络之间的流量不会通过公共互联网。您可以选择部署专用或合作伙伴互连来提供本地数据中心和 GCP 之间的连接。

在配置云 NAT 之前,必须将云路由器配置为 Cloud NAT 使用它。

注意

Roles/compute.NetworkAdmin 角色授予您执行以下操作的权限:

  • 在云路由器上创建 NAT 网关
  • 保留和分配 NAT IP 地址
  • 指定 NAT 网关允许使用网络地址转换的子网流量

1.2.1 步骤 1:部署谷歌云路由器

  1. 点击位于 Google 控制台左上角的汉堡包图标

  2. 导航到 混合连接

  3. 点击 云路由器

    cloud-routers

  4. 单击 “ 创建路由器

    cloud-routers-create

  5. 为云路由器输入一个唯一的名称: citrixcloudrouter

  6. 输入云路由器的描述: Citrix Cloud 路由器

  7. 选择在 虚拟私有云 部分创建的网络:c itrixcloudnetwork

  8. 选择美国 us-west1

  9. 输入谷歌 ASN 值。您可以使用任何私有 ASN 值(从 6451265534,从 42000000004294967294

  10. 输入 BGP 对等体保持连接间隔值 20 (默认值)

  11. 单击创建

    create-cloud-router

  12. 验证云路由器是否已成功创建

    cloud-routers-validated-successfully

1.2.2 步骤 2:部署谷歌云 NAT

  1. 点击位于 Google 控制台左上角的汉堡包图标

  2. 导航到 网络服务

  3. 点击 云 NAT

    cloud-nat

  4. 单击 “ 开始使用

    cloud-nat-get-started

  5. 为云 NAT 输入一个唯一的名称:citrixcloudnatgateway

  6. 选择在 虚拟私有云 部分创建的 VPC 网络:citrixcloudnetwork

  7. 选择美国 us-west1

  8. 选择步骤 1 中部署的云路由器

  9. 单击创建

    cloud-nat-gateway

  10. 验证云端 NAT 是否已成功创建

    cloud-nat-validated

1.2.3 通过谷歌云解析配置 DNS 服务

域名系统 (DNS) 服务是任何连接的网络提供名称解析的基本要求,也是 Microsoft Active Directory 功能的最低要求。要支持正常运行的 Citrix Cloud 资源位置,Citrix Cloud Connector 和 VDA 必须找到 Active Directory 和 Citrix Cloud 并与之通信。Google Cloud DNS 是一项高性能且具有弹性的全球域名系统 (DNS) 服务,可将域名发布到全球 DNS。云 DNS 由公共区域和私有托管 DNS 区域组成。公共区域对公有 Internet 可见,而私有区域只能从更指定的虚拟私有云 (VPC) 中看到。您正在部署 Cloud DNS,以便为具有私有转发区域类型的 ctx.lab 域提供名称解析。以下专用 DNS 服务器的 IP 地址是在您阅读本文档时手动配置的:

  • 10.240.1.2
  • 10.240.1.3
  1. 点击位于 Google 控制台左上角的汉堡包图标

  2. 导航到 网络服务

  3. 点击 云端解析

    云域名解析

  4. 点击 创建区域

    cloud-dns-zone

  5. 在区域类型下选择 私有

  6. 为区域名称输入一个唯一的名称:citrix-on-gcp-zone

  7. 输入唯一的 DNS 名称: ctx.lab

  8. 输入唯一描述: 将谷歌 DNS 与Active Directory 集成的转发区域

  9. 单击选项下拉列表并选择 将查询转发到其他服务器

  10. 在网络部分下,单击下拉列表并选择在 虚拟私有云 部分中创建的网络:c itrixcloudnetwork

  11. 输入第一个 DNS IP 地址: 10.240.1.2

  12. 单击 “ 添加项目

  13. 输入第二个 DNS IP 地址: 10.240.1.3

  14. 单击创建

    cloud-dns-create-zone

  15. 验证已成功创建的 DNS 区域

    cloud-dns-zone-validate

2 使用谷歌云 VPC 防火墙配置网络层安全

出于显而易见的原因,每个生产和/或互联网连接系统都需要实施多层安全保护。VPC 防火墙是谷歌云提供的众多安全功能之一。VPC 防火墙规则允许或拒绝入口和出站流量。VPC 防火墙规则基于一组灵活的定义策略。VPC 防火墙规则附加到 VPC 和虚拟机。VPC 防火墙规则是在网络级别定义的,并且允许或拒绝每个实例的连接。VPC 防火墙保护同一 VPC 网络内以及实例与其他 VPC 网络之间的实例。

Citrix Cloud 资源位置需要一些基本的防火墙规则才能正常工作。下表总结了此部署正常运行所需/允许的协议、端口和网络标记。接下来的任务将指导您创建要匹配的防火墙规则:

说明 交通流量 目标网络标签 来源 IP 范围 协议和端口
允许域控制器和其他虚拟机实例之间的内部流量 进入 dc 10.240.1.0/24 TCP: 88、135、389、445、464、636、3268、3269、5985、9389、49152-65535 UDP: 88、123、389、464
允许从谷歌 DNS 转发 进入 dns 35.199.192.0/19 10.240.1.0/24 TCP: 53 UDP: 53
允许从Cloud Connector 到 VDA 的流量 进入 vda 10.240.1.0/24 TCP: 80、443、1494、2598、8008 UDP: 1494、2598、16500-16509
允许来自 VDA 和Cloud Connector 流量 进入 cc 10.240.1.0/24 TCP: 80

我们使用目标网络标记将这些规则应用于本指南稍后部分将要创建的虚拟机。

2.1.1 创建防火墙规则以允许内部流量进入 Active Directory

  1. 点击位于 Google 控制台左上角的汉堡包图标

  2. 导航到 VPC 网络

  3. 点击 防火墙

    vpn-network-firewall

  4. 单击 “ 创建防火墙规则 ” 选项

    firewall-create-rule

  5. 输入防火墙规则的唯一名称: citrix-allow-internal-dc

  6. 输入描述: 允许实例之间的内部流量

  7. 选择在 虚拟私有云 部分创建的 网络 :c itrixcloudnetwork

  8. 将 “交通方向” 选项设置为 “ 入口

  9. 将 “匹配时允许” 选项设置为 “允

  10. 输入在部署 Google 计算实例: dc下配置的网络目标标签

    create-a-firewall-rule

  11. 将源 IP 范围设置为 10.240.1.0 / 24

  12. 选择 “ 指定的协议和端口 ” 选项

  13. 选中 tcp 复选框并输入允许的端口: 88、135、389、445、464、636、3268、3269、5985、9389、49152-65535

  14. 选中 udp 复选框并输入允许的端口: 88、123、389、464

  15. 单击创建

    firewall-create-rule-udp-tcp

2.1.2 创建防火墙规则以允许从 Google Cloud DNS 进行转发

  1. 单击 “ 创建防火墙规则 ” 选项

    create-firewall-rule-allow-dns

  2. 输入防火墙规则的唯一名称: citrix-allow-external-dns

  3. 输入描述: 允许从 Google DNS 转发

  4. 选择在 虚拟私有云 部分创建的 网络 :c itrixcloudnetwork

  5. 将 “交通方向” 选项设置为 “ 入口

  6. 将 “匹配时允许” 选项设置为 “允

  7. 输入在部署 Google 计算实例:dns 下配置的网络目标标签

    create-firewall-rule-dns

  8. 将源 IP 范围设置为 35.199.192.0/1910.240.1.0 / 24

  9. 选择 “ 指定的协议和端口 ” 选项

  10. 选中 tcp 复选框并输入允许的端口: 53

  11. 选中 udp 复选框并输入允许的端口: 53

  12. 单击创建

    create-firewall-ip-range

2.1.3 创建防火墙规则以允许从Cloud Connector 到 VDA 的流量

  1. 单击 “创建防火墙规则” 选项

    create-firewall-rule-vda

  2. 输入防火墙规则的唯一名称:citrix-allow-internal-cc-vda

  3. 输入描述: 允许从Cloud Connector 到 VDA 的流量

  4. 选择在 虚拟私有云 部分创建的 网络 :c itrixcloudnetwork

  5. 将 “交通方向” 选项设置为 “ 入口

  6. 将 “匹配时允许” 选项设置为 “允

  7. 输入在部署 Google 计算实例: vda下配置的网络目标标签

    create-a-firewall-rule-vda

  8. 将源 IP 范围设置为 10.240.1.0 / 24

  9. 选择 “ 指定的协议和端口” 选项

  10. 选中 tcp 复选框并输入允许的端口: 80、443、1494、2598、8008

  11. 选中 udp 复选框并输入允许的端口: 1494、2598、16500-16509

  12. 单击创建

    create-a-firewall-rule-vda-ip-range

2.1.4 创建防火墙规则以允许从 VDA 到Cloud Connector 流量

  1. 单击 “ 创建防火墙规则” 选项

    create-firewall-vda-to-cloud

  2. 输入防火墙规则的唯一名称:citrix-allow-internal-vda-cc

  3. 输入描述: 允许从 VDA 到Cloud Connector 流量

  4. 选择在 虚拟私有云 部分创建的 网络 :c itrixcloudnetwork

  5. 将 “交通方向” 选项设置为 “ 入口

  6. 将 “匹配时允许” 选项设置为 “允

  7. 输入在部署 Google 计算实例: cc下配置的网络目标标签

    create-firewall-rule-vda-to-cloud

  8. 将源 IP 范围设置为 10.240.1.0 / 24

  9. 选择 “ 指定的协议和端口” 选项

  10. 选中 tcp 复选框并输入允许的端口: 80

  11. 单击创建

    create-firewall-rule-vda-to-cloud-ip-range

步骤 2:配置网络服务