第 1 步:设置 Google Cloud 项目

概述

本部分的目标是准备用作 Citrix Cloud Virtual Apps and Desktops 服务 资源位置的 Google Cloud 项目。您可以创建一个新的 Google Cloud 项目,也可以访问现有的 Google Cloud 项目。

完成后,您有:

  • Google Cloud 的主要组件简介

  • 访问 Google Cloud 项目

  • 为用户分配 “项目所有者” 角色

  • 准备 Google Cloud

注意

本部分提供了在 Google Cloud 上创建资源位置的演练。尽管在撰写本文时,这些要求是完整和正确的,但您需要参考产品文档以了解最新的要求。

Google Cloud 入门

Google Cloud 包含托管在全球各地数据中心的服务和资源,这些服务和资源因 地理区域而异。Google Cloud 基础设施服务遍布北美、南美、欧洲、亚洲和澳大利亚。这些位置被划分为区域和区域。区域是区域内的隔离位置。该区域决定了哪些计算资源可用,以及数据的存储和访问位置。一个区域可以有三个或更多区域。例如,us-west1 区域表示位于美国西海岸的一个区域,它有三个区域 us-west1-a、us-west1-b 和 us-west1-c。

Google Billing(Google 账单)帐户是创建 Google 项目的必备条件。Google 账单与 Google 支付配置文件相关联。在 GCP 环境中,账单帐户可以链接到一个或多个与组织对应的项目。建议在继续操作之前,在您的组织中建立适当的计费结构。与其他公有云供应商类似,GCP 中的计费基于使用情况。当虚拟机处于终止状态时,Google 不会对其收费。但是,Google 会收取存储已挂起虚拟机的保留状态的费用。Google 为虚拟机使用提供承诺使用折扣(1 年或 3 年),非常适合资源需求可预测的工作负载。此外,Google 还提供持续使用折扣,该折扣自动应用于每月使用超过 25% 的特定计算引擎。但是,持续使用折扣不适用于 E2 和 A2 计算机实例。Google 还为使用内置智能的虚拟机实例提供大小建议。

google-billing

GCP 将资源组织到一个项目中。默认情况下,所有 GCP 项目 都分配给单个用户项目创建者角色。创建额外的项目成员以及身份访问和管理角色,以控制对 GCP 项目的访问权限。项目由一组用户、一组 API、计费、身份验证和这些 API 的监控设置组成。GCP 项目包含以下组件:

  • 项目名称,您可以自动提供 分配

  • 项目 ID,您可以自动提供 分配

  • 项目编号,不可定制 自动分配

1 创建或访问 Google 项目

此任务的目标是最终获得对包含您的 Citrix 虚拟化资产的 Google Cloud 项目的访问权限。如果您组织中的其他人负责创建项目,则他们需要为您分配身份访问管理 (IAM) “所有者” 角色来完成此目标的其余部分。如果您正在创建项目,则以下步骤将指导您完成整个过程。

您可以在 Google Cloud 控制台 (https://console.cloud.google.com) 中完成以下步骤。请确保您使用有效的用户帐户登录到此控制台。

  1. 单击从下拉列表中 选择项目

    google-cloud-platform-dashboard

  2. 单击 “ 新建项目

    google-cloud-platform-new-project

  3. 输入一个唯一的项目名称: citrixcloud

  4. 单击 “ 浏览 ” 并选择您的组织

  5. 单击创建

    google-cloud-platform-create

  6. 验证项目是否已成功创建

    google-cloud-platform-project-info

2 启用 Google Cloud

Citrix Cloud 通过使用几个不同的 API 与您的 Google Cloud 项目进行交互。这些 API 在默认情况下不一定处于启用状态,但它们是 Citrix Virtual Delivery Agent (VDA) 队列创建和生命周期管理所必需的。要使 Citrix Cloud 正常运行,必须在项目中启用以下 Google API:

  • 计算引擎 API

  • Cloud Resource Manager API

  • 身份识别和访问管理 (IAM) API

  • 云构建 API

  • * 云域名系统 (DNS) API

注意

*Cloud DNS API 是为项目配置 DNS 服务所必需的,这对于在 Google Cloud 上配置 Active Directory 是必需的。如果您的基础架构团队负责管理 Active Directory 和 DNS 基础设施组件,则可以有效地跳过此步骤。其他四个 API 由 Citrix Cloud 使用,必须启用。

如果您更喜欢使用图形控制台,可以从 API和服务/控制面板或API和服务/库 页面启用Google API。也可以使用 Google Cloud Shell 快速 完成 API 的启用,如下所述:

  1. 点击位于 Google 控制台右上角的 Google Shell 图标:

    google-shell-icon

  2. Google 控制台中将显示以下云外壳:

    google-shell-console

  3. 将以下五个命令粘贴到云外壳中,如果云外壳提示,请单击 授权

    gcloud services enable compute.googleapis.com

    gcloud services enable cloudresourcemanager.googleapis.com

    gcloud services enable iam.googleapis.com

    gcloud services enable cloudbuild.googleapis.com

    gcloud services enable dns.googleapis.com

    google-cloud-shell

3 创建/更新服务账户

Google Identity and Access Management (IAM) 允许您授予对特定 Google Cloud 资源的精细访问权限。 世卫组织 有权获得 哪些 资源,以及他们可以利用这些资源做 什么 。服务帐号位于项目内,类似于您在 Google Cloud 上部署的其他资源。

Citrix Cloud 在 Google Cloud 项目中使用两个单独的服务帐户:

  • Cloud Build 服务帐号 — 启用 Google API 后 自动 调配Cloud Build 服务帐号,可使用以项目 ID 开头的电子邮件地址识别云构建服务帐号,例如 <project-id>@cloudbuild.gserviceaccount.com。Cloud Build 帐户需要以下三个角色:

    • Cloud Build 服务帐户(默认分配)

    • 计算实例管理员

    • 服务帐户用户

  • Citrix Cloud 服务帐户 - Citrix Cloud 使用服务帐户使用预生成的密钥向 Google Cloud 进行身份验证。服务帐户使 Citrix Cloud 能够访问 Google 项目、置备和管理计算机。服务帐户是 手动 创建的,可通过电子邮件地址进行识别,例如 <my-service-account><project-id>.iam.gserviceaccount.com。通过应用最小权限原则,为服务帐号授予以下角色:

    • 计算管理员

    • 存储管理员

    • 云构建编辑者

    • 服务帐户用户

    • 云数据存储用户

3.1 更新分配给Cloud Build 服务帐号的角色

  1. 点击位于 Google 控制台左上角的汉堡包图标

  2. 导航到 IAM 和管理员

  3. 点击 IAM

    google-console-iam-admin

  4. 找到 Cloud Build 服务帐号,该帐户可使用以项目 ID 开头的电子邮件地址进行识别,例如 <project-id>@cloudbuild.gserviceaccount.com。默认情况下,将应用Cloud Build 服务帐号角色。

    注意

    如果您无法查看 Cloud Build 帐户,则必须通过以下步骤手动启用Cloud Build 帐户:

    • 点击汉堡菜单
    • 向下滚动,直到找到 CI/CD 菜单部分
    • 点击 Cloud Build
    • 点击 “ 设置”
    • 找到 “ 服务帐户”,在 “状态” 列下,单击下拉菜单,然后从 “已 用” 更改为 “ 已启用
    • 返回 IAM 和管理员菜单部分,找到Cloud Build 服务帐户
  5. 点击铅笔图标编辑Cloud Build 帐户角色

    要编辑的铅笔图标

  6. 单击 “ 添加其他角色

    google-shell-add-another-role

  7. 单击 选择角色 下拉菜单

    google-cloud-shell-select-role

  8. 单击下拉列表并输入 计算实例管理员

  9. 从列表中单击 计算实例管理员 (v1)

    compute-instance-admin-v1

  10. 单击 “ 添加其他角色

    计算实例管理员如何添加另一个角色

  11. 单击 选择角色 下拉菜单

    计算实例管理员选择角色

  12. 单击下拉列表并输入 服务帐号用户

  13. 从列表中单击 “ 服务帐号用户

    service-account-iam-admin

  14. 单击保存

    compute-instance-admin-save

  15. 验证角色是否已成功分配

    compute-instance-admin-assigned-successfully

3.2 创建角色并将其分配给 Citrix Cloud 服务帐户

  1. 点击位于 Google 控制台左上角的汉堡包图标

  2. 导航到 IAM 和管理员

  3. 点击 服务帐户

    service-account-iam-admin

  4. 点击 + 创建服务帐户

    创建服务帐户

  5. 输入唯一的服务帐号名称: citrixcloud

  6. 根据输入的 服务帐号名称自动填充服务帐号 ID

  7. 提供服务帐户名称的描述: Citrix Cloud 服务帐户

  8. 点击 创建并继续

    创建并继续

  9. 单击 选择角色 下拉菜单

    选择角色

  10. 单击下拉列表并输入 Compute Admin

  11. 从列表中单击 “ 计算管理员

    compute-admin

  12. 单击 “ 添加其他角色

    compute-add-another-role

  13. 单击 选择角色 下拉菜单

    compute-select-role

  14. 单击下拉列表并输入 存储管理员

  15. 从列表中单击 存储管理员

    compute-storage-admin

  16. 单击 选择角色 下拉菜单

    compute-storage-admin-select-role

  17. 单击下拉列表并输入 Cloud Build 编辑器

  18. 从列表中单击 Cloud Build 编辑器

    build-editor

  19. 单击 “ 添加其他角色

    build-editor-add-another-role

  20. 单击下拉列表并输入 服务帐号用户

  21. 从列表中单击 “ 服务帐号用户

    build-editor-service-account

  22. 单击 “ 添加其他角色

    build-editor-service-account-add-another-role

  23. 单击下拉列表并输入 Cloud 数据存储用户

  24. 从列表中单击 云数据存储用户

    datastore-user

  25. 单击 “ 继续

    datastore-user-continue

  26. 单击“完成

    datastore-done

  27. 导航到 IAM 主控制台

    navigate-iam

  28. 确定创建的服务帐号

  29. 验证是否成功分配了这五个角色

    build-editor-validate

注意

如果您计划将 Citrix VDA 部署到 Google Cloud 共享虚拟私有云 (VPC) 上,Citrix Cloud 服务帐户需要一些其他权限,但此处 涵盖这些权限。要准备在共享 VPC 上部署 VDA,请查看 共享虚拟私有云

3.3 生成并保存 Citrix Cloud 服务帐户密钥

在此任务中,您将生成并下载服务帐号密钥。服务帐户密钥用于在本文档后面部分中建立 Citrix Cloud 和 Google 之间的连接。请确保安全地处理 JSON 文件。

  1. 点击位于 Google 控制台左上角的汉堡包图标

  2. 导航到 IAM 和管理员

  3. 点击 服务帐户

    service-account

  4. 单击之前创建的服务帐号

  5. 可能尚未创建任何密钥

    service-no-keys

  6. 单击 “ 密钥 ” 选项卡

  7. 单击 “ 添加密钥

  8. 选择 创建新密钥

    service-create-keys

  9. 选择密钥类型 JSON (默认)

  10. 单击创建

    service-create-json

  11. JSON 私钥会自动下载。找到 JSON 文件并将其安全存储-在接下来的步骤中创建 Citrix Cloud 和 Google Cloud 之间的托管连接时需要这样做。

  12. 单击 Close(关闭)。

    service-create-json-close

第 1 步:设置 Google Cloud 项目