Google Cloud Platform-Katalog erstellen
Unter Maschinenkataloge erstellen werden die Assistenten zum Erstellen eines Maschinenkatalogs beschrieben. Die folgenden Informationen beziehen sich speziell auf Google-Cloudumgebungen.
Hinweis:
Bevor Sie einen Google Cloud Platform (GCP)-Katalog erstellen, müssen Sie eine Verbindung zu GCP hergestellt haben. Siehe Verbindung zu Google-Cloudumgebungen.
Vorbereiten einer Master-VM-Instanz und eines nichtflüchtigen Speichers
Tipp:
Nichtflüchtiger Speicher (Persistent Disk) ist der Google Cloud-Begriff für den virtuellen Datenträger.
Zur Vorbereitung Ihrer Master-VM-Instanz erstellen und konfigurieren Sie zunächst eine VM-Instanz mit Eigenschaften, die der gewünschten Konfiguration für die geklonten VDA-Instanzen im geplanten Maschinenkatalog entsprechen. Die Konfiguration gilt nicht nur für Größe und Typ der Instanz. Sie umfasst auch Instanzattribute wie Metadaten, Tags, GPU-Zuweisungen, Netzwerktags und Dienstkontoeigenschaften.
MCS verwendet dann Ihre Master-VM-Instanz, um die Google Cloud-Instanzvorlage zu erstellen. Auf der Basis der Instanzvorlage werden dann die geklonten VDA-Instanzen erstellt, die den Maschinenkatalog umfassen. Geklonte Instanzen erben die Eigenschaften der Master-VM-Instanz (mit Ausnahme der Eigenschaften für VPC, Subnetz und nichtflüchtigen Speicher), aus der die Instanzvorlage erstellt wurde.
Nachdem Sie die Eigenschaften der Master-VM-Instanz konfiguriert haben, starten Sie die Instanz und bereiten den nichtflüchtigen Speicher für die Instanz vor.
Es wird empfohlen, manuell einen Snapshot des Speichers zu erstellen. Dies ermöglicht eine aussagekräftige Benennung zum Nachverfolgen von Versionen, bietet mehr Optionen zum Verwalten früherer Versionen des Masterimages und spart Zeit beim Erstellen des Maschinenkatalogs. Wenn Sie keinen eigenen Snapshot erstellen, erstellt MCS einen temporären Snapshot, der bei Abschluss der Bereitstellung gelöscht wird.
Aktivieren der Zonenauswahl
Citrix DaaS unterstützt die Zonenauswahl. Bei der Zonenauswahl geben Sie die Zonen an, in denen VMs erstellt werden sollen. Mithilfe der Zonenauswahl können Administratoren die Einzelmandantenknoten in Zonen ihrer Wahl platzieren. Um die Einzelmandantenfähigkeit zu konfigurieren, müssen Sie folgende Schritte in Google Cloud ausführen:
Reservieren eines Google Cloud-Knotens für einzelne Mandanten
Informationen zum Reservieren eines Einzelmandantenknotens finden Sie in der Dokumentation zu Google Cloud.
Wichtig:
Eine Knotenvorlage wird zur Bezeichnung der Leistungsmerkmale des Systems verwendet, das in der Knotengruppe reserviert ist. Zu diesen Merkmalen gehören die Anzahl der virtuellen GPUs, der dem Knoten zugewiesene Arbeitsspeicher und der für die auf dem Knoten erstellten Maschinen verwendete Maschinentyp. Weitere Informationen finden Sie in der Dokumentation zu Google Cloud.
Erstellen des VDA-Masterimages
Um Maschinen auf dem Knoten für einzelne Mandanten erfolgreich bereitzustellen, müssen Sie beim Erstellen eines Master-VM-Images zusätzliche Schritte ausführen. Maschineninstanzen in Google Cloud besitzen die Eigenschaft node affinity labels. Bei Instanzen, die als Masterimage für auf Knoten für einzelne Mandanten bereitgestellte Kataloge verwendet werden, muss das Knotenaffinitätslabel mit dem Namen der Zielknotengruppe übereinstimmen. Um dies zu erreichen, beachten Sie Folgendes:
- Legen Sie für neue Instanzen das Knotenaffinitätslabel bei deren Erstellung in der Google Cloud-Konsole fest. Weitere Informationen finden Sie unter Festlegen der Knotenaffinitätsbezeichnung beim Erstellen einer Instanz.
- Legen Sie für bestehende Instanzen das Knotenaffinitätslabel über die gcloud-Befehlszeile fest. Weitere Informationen finden Sie unter Festlegen des Knotenaffinitätslabels für eine bestehende Instanz.
Hinweis:
Wenn Sie die Einzelmandantenfähigkeit mit einer freigegebenen VPC verwenden möchten, lesen Sie den Abschnitt Freigegebene virtuelle private Cloud.
Festlegen des Knotenaffinitätslabels beim Erstellen einer Instanz
Zum Festlegen des Knotenaffinitätslabels führen Sie folgende Schritte aus:
-
Navigieren Sie in der Google Cloud-Konsole zu Compute Engine > VM instances.
-
Wählen Sie auf der Seite VM instances die Option Create instance.
-
Geben Sie auf der Seite Instance creation die erforderlichen Informationen an und wählen Sie management, security, disks, networking, sole tenancy, um das Einstellungsfenster zu öffnen.
-
Wählen Sie Browse auf der Registerkarte Sole tenancy, um die verfügbaren Knotengruppen im aktuellen Projekt anzuzeigen. Die Seite Sole-tenant node wird mit einer Liste der verfügbaren Knotengruppen angezeigt.
-
Wählen Sie auf der Seite Sole-tenant node die gewünschte Knotengruppe aus der Liste aus und wählen Sie Select, um zur Registerkarte Sole tenancy zurückzukehren. Das Feld “node affinity labels” wird mit den ausgewählten Informationen ausgefüllt. Mit dieser Einstellung wird sichergestellt, dass aus der Instanz erstellte Maschinenkataloge für die ausgewählte Knotengruppe bereitgestellt werden.
-
Wählen Sie Create, um die Instanz zu erstellen.
Festlegen des Knotenaffinitätslabels für eine bestehende Instanz
Zum Festlegen des Knotenaffinitätslabels führen Sie folgende Schritte aus:
-
Legen Sie im Google Cloud Shell-Terminalfenster ein Knotenaffinitätslabel mit dem Befehl gcloud compute instances fest. Der gcloud-Befehl muss die folgenden Informationen enthalten:
-
Name der VM. Verwenden Sie beispielsweise eine bestehende VM namens
s*2019-vda-base
.* -
Name der Knotengruppe. Verwenden Sie den zuvor erstellten Knotengruppennamen. Beispiel:
mh-sole-tenant-node-group-1
. -
Die Zone, in der sich die Instanz befindet. Die VM kann sich beispielsweise in
*us-east-1b* zone
befinden.
Geben Sie beispielsweise den folgenden Befehl im Terminalfenster ein:
gcloud compute instances set-scheduling "s2019-vda-base" --node-group="mh-sole-tenant-node-group-1" --zone="us-east1-b"
Weitere Informationen zum Befehl gcloud compute instances finden Sie in der Google Developer Tools-Dokumentation unter https://cloud.google.com/sdk/gcloud/reference/beta/compute/instances/set-scheduling.
-
Name der VM. Verwenden Sie beispielsweise eine bestehende VM namens
-
Navigieren Sie zu der Seite VM instance details der Instanz und prüfen Sie, ob das Feld Node Affinities das Label enthält.
Maschinenkatalog erstellen
Hinweis:
Erstellen Sie Ihre Ressourcen, bevor Sie einen Maschinenkatalog erstellen. Verwenden Sie bei der Konfiguration von Maschinenkatalogen die von Google Cloud festgelegten Namenskonventionen. Weitere Informationen finden Sie unter Richtlinien zur Bucket- und Objektbenennung.
Sie können einen Maschinenkatalog auf zweierlei Art erstellen:
- Studio
- PowerShell. Weitere Informationen finden Sie unter Citrix DaaS mit Remote PowerShell SDKs verwalten. Informationen zur Implementierung bestimmter Funktionen mit PowerShell finden Sie unter PowerShell verwenden
Erstellen eines Maschinenkatalogs mit Studio
Folgen Sie den Anweisungen unter Erstellen von Maschinenkatalogen. Die folgende Beschreibung gilt nur für Google Cloud-Kataloge.
- Wählen Sie in Studio im linken Bereich Maschinenkataloge aus.
- Wählen Sie in der Aktionsleiste Maschinenkatalog erstellen.
- Wählen Sie auf der Seite Maschinentyp die Option Multisitzungs-OS und wählen Sie Weiter. Citrix DaaS unterstützt auch Einzelsitzungs-OS.
- Wählen Sie auf der Seite Maschinenverwaltung die Optionen Maschinen mit Energieverwaltung und Citrix Maschinenerstellungsdienste und wählen Sie Weiter. Bei mehreren vorhandenen Ressourcen wählen Sie eine Ressource im Menü aus.
-
Führen Sie auf der Seite Image diese Schritte nach Bedarf aus und klicken Sie dann auf Weiter.
- Wählen Sie einen Snapshot oder eine VM als Masterimage aus. Wenn Sie die Einzelmandantenfunktion verwenden möchten, wählen Sie ein Image, dessen Knotengruppeneigenschaft korrekt konfiguriert ist. Siehe Aktivieren der Zonenauswahl.
-
Um eine vorhandene VM als Maschinenprofil zu verwenden, wählen Sie Maschinenprofil verwenden und anschließend die VM aus.
Hinweis:
Derzeit übernehmen VMs in diesem Katalog die Einstellungen “ID des Datenträgerverschlüsselungssatzes”, “Maschinengröße”, “Speichertyp” und “Zone” vom Maschinenprofil.
- Wählen Sie die Mindestfunktionsebene für den Katalog.
-
Wählen Sie auf der Seite Speicher den Speichertyp für das Betriebssystem für den Maschinenkatalog aus. Für die folgenden Speicheroptionen gelten jeweils eigene Preis- und Leistungsmerkmale. Ein Identitätsdatenträger wird immer mit dem persistenten Standarddatenträger der Zone erstellt.
- Persistenter Standarddatenträger
- Ausbalancierter persistenter Datenträger
- Persistenter SSD-Datenträger
Informationen zu den Optionen für Google Cloud Speicher finden Sie unter Speicheroptionen.
- Geben Sie auf der Seite Virtuelle Maschinen an, wie viele VMs Sie erstellen möchten, zeigen Sie die Spezifikation der VMs an, wählen Sie den Google Cloud-Maschinentyp und wählen Sie Weiter. Wenn Sie für Maschinenkataloge Knotengruppen für einzelne Mandanten verwenden, wählen Sie ausschließlich die Zonen, in denen reservierte Knoten für einzelne Mandanten verfügbar sind. Siehe Aktivieren der Zonenauswahl.
-
Auf der Seite Datenträgereinstellungen können Sie die folgenden Einstellungen vornehmen:
-
Wählen Sie aus, ob der Zurückschreibcache aktiviert werden soll. Nach dem Aktivieren des Zurückschreibcache können Sie Folgendes tun:
- Konfigurieren Sie die Größe des Datenträgers und des RAM, die zum Zwischenspeichern temporärer Daten verwendet werden. Weitere Informationen finden Sie unter Konfigurieren eines Cache für temporäre Daten.
- Wählen des Speichertyps für den Datenträger für den Zurückschreibcache. Die folgenden Speichertypen stehen für den Zurückschreibcachedatenträger zur Verfügung:
- Persistenter Standarddatenträger
- Ausbalancierter persistenter Datenträger
- Persistenter SSD-Datenträger
Informationen zu den Optionen für Google Cloud Speicher finden Sie unter Speicheroptionen.
- Wählen Sie einen Datenträgertyp für den Zurückschreibcache aus.
- Nicht-persistenten Datenträger für Zurückschreibcache verwenden. Wenn diese Option ausgewählt ist, wird der Zurückschreibcache-Datenträger für die bereitgestellten VMs nicht beibehalten. Der Datenträger wird während Energiezyklen gelöscht und alle Daten, die auf den Datenträger umgeleitet wurden, gehen verloren.
- Persistenter Datenträger für Zurückschreibcache. Wenn diese Option ausgewählt ist, wird der Zurückschreibcachedatenträger für die bereitgestellten VMs beibehalten. Die Aktivierung dieser Option erhöht die Speicherkosten.
- Wenn die MCS-Speicheroptimierung (MCS I/O) aktiviert ist, können Sie eine der folgenden Aktionen ausführen:
- Wählen Sie aus, ob Systemdatenträger für VDAs bei Energiezyklen beibehalten werden sollen. Weitere Informationen finden Sie unter Aktivieren der neuen MCS-Speicheroptimierung.
- Aktualisieren Sie die Speicher- und Datenträgercachegrößen.
-
Wählen Sie aus, ob Sie Ihren eigenen Schlüssel zum Schutz von Datenträgerinhalten verwenden möchten. Um das Feature nutzen zu können, müssen Sie zuerst eigene Verschlüsselungsschlüssel (CMEKs) erstellen. Weitere Informationen finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK).
Hinweis:
Es ist nur in der Studio-Oberfläche verfügbar.
Nachdem Sie die Schlüssel erstellt haben, können Sie einen davon aus der Liste auswählen. Sie können den Schlüssel nicht mehr ändern, wenn Sie den Katalog erstellt haben. Google Cloud unterstützt keinen Wechsel von Schlüsseln für bestehende persistente Datenträger bzw. Images. Ein bereitgestellter Katalog ist daher an eine bestimmte Version des Schlüssels gebunden. Wird der Schlüssel deaktiviert oder zerstört, werden die damit verschlüsselten Instanzen und Datenträger so lange unbrauchbar, bis der Schlüssel wieder aktiviert bzw. wiederhergestellt wird.
-
-
Wählen Sie auf der Seite Maschinenidentitäten ein Active Directory-Konto aus und wählen Sie Weiter.
- Wenn Sie Neue Active Directory-Konten erstellen auswählen, wählen Sie eine Domäne und geben Sie dann die Zeichenfolge ein, die das Benennungsschema für die bereitgestellten, in Active Directory erstellten VM-Computerkonten darstellt. Das Kontenbenennungsschema schreibt 1–64 Zeichen und ausschließlich ASCII-Zeichen vor, der Name darf nicht ausschließlich aus Leerzeichen bestehen und folgende Zeichen nicht enthalten:
- Bei Auswahl von Vorhandene Active Directory-Konten verwenden wählen Sie Durchsuchen, um die vorhandenen Active Directory-Computerkonten für die ausgewählten Maschinen aufzurufen.
-
Wählen Sie auf der Seite Domänenanmeldeinformationen die Option Anmeldeinformationen eingeben. Geben Sie den Benutzernamen und das Kennwort ein, wählen Sie Speichern und dann Weiter.
- Die eingegebene Anmeldeinformationen müssen über Berechtigungen zum Ausführen von Active Directory-Kontovorgängen verfügen.
-
Wählen Sie auf der Seite Geltungsbereiche Geltungsbereiche für den Maschinenkatalog aus und wählen Sie Weiter.
- Wählen Sie optionale Geltungsbereiche aus oder wählen Sie Benutzerdefinierter Geltungsbereich, um Geltungsbereiche nach Bedarf anzupassen.
-
Überprüfen Sie die Informationen auf der Seite Zusammenfassung, geben Sie einen Namen für den Katalog ein und wählen Sie Fertigstellen.
Hinweis:
Der Katalogname muss aus 1–39 Zeichen bestehen, er darf nicht ausschließlich aus Leerzeichen bestehen, und folgende Zeichen sind nicht erlaubt:
\ / ; : # . * ? = < > | [ ] { } " ' ( ) ' )
.
Die Erstellung des Maschinenkatalogs kann lange dauern. Wenn sie abgeschlossen ist, wird der Katalog aufgelistet. Sie können in der Google Cloud-Konsole überprüfen, ob die Maschine auf den Zielknotengruppen erstellt wurden.
Importieren manuell erstellter Google Cloud-Maschinen
Mit dem Feature ist Folgendes möglich:
- Manuell erstellte Google Cloud-Maschinen mit Multisitzungs-OS in einen Citrix DaaS-Maschinenkatalog importieren.
- Manuell erstellte Google Cloud-Maschinen mit Multisitzungs-OS aus einem Citrix DaaS-Maschinenkatalog entfernen.
- Energieverwaltung von Multisitzungs-OS-Maschinen in Google Cloud über vorhandene Energieverwaltungsfunktionen von Citrix DaaS verwenden. Richten Sie beispielsweise einen Neustartplan für diese Maschinen ein.
Hierfür ist es nicht erforderlich, vorhandene Bereitstellungsworkflows für Citrix DaaS zu ändern oder vorhandene Features zu entfernen.
Es wird empfohlen, Maschinen mit MCS in Studio bereitzustellen, anstatt manuell erstellte Google Cloud-Maschinen zu importieren.
Freigegebene virtuelle private Cloud
Freigegebene VPCs umfassen ein Hostprojekt, aus dem die freigegebenen Subnetze zur Verfügung gestellt werden, sowie mindestens ein Dienstprojekt, das die Ressource verwendet. Freigegebene VPCs sind gute Optionen für größere Installationen, da sie eine zentrale Steuerung, Nutzung und Verwaltung gemeinsam genutzter Google-Cloud-Ressourcen bieten. Weitere Informationen finden Sie auf der Google-Dokumentationssite.
Mit diesem Feature unterstützt Maschinenerstellungsdienste (MCS) das Provisioning und die Verwaltung von Maschinenkatalogen, die in freigegebenen VPCs bereitgestellt werden. Diese Unterstützung entspricht funktional der derzeitigen für lokale VPCs, weist aber in zwei Bereichen Unterschiede auf:
- Sie müssen dem Dienstkonto, das zum Erstellen der Hostverbindung verwendet wird, zusätzliche Berechtigungen erteilen. Dadurch kann MCS auf freigegebene VPC-Ressourcen zugreifen und diese nutzen. Weitere Informationen finden Sie unter Neue Berechtigungen erforderlich.
- Sie müssen zwei Firewallregeln (eine für den eingehenden und eine für den ausgehenden Datenverkehr) erstellen. Die Firewallregeln werden beim Imagemastering verwendet. Weitere Informationen finden Sie unter Firewallregeln.
Informationen zur Konfiguration einer gemeinsam genutzten VPC finden Sie unter Gemeinsam genutzte VPC konfigurieren.
Neue Berechtigungen erforderlich
Beim Erstellen der Hostverbindung ist ein Google Clouddienstkonto mit bestimmten Berechtigungen erforderlich. Diese zusätzlichen Berechtigungen müssen allen Dienstkonten erteilt werden, die zum Erstellen von Hostverbindungen für die freigegebene VPC verwendet werden.
Tipp:
Die zusätzlichen Berechtigungen sind für Citrix DaaS nicht neu. Sie werden verwendet, um die Verwendung lokaler VPCs zu erleichtern. Bei freigegebenen VPCs ermöglichen die zusätzlichen Berechtigungen den Zugriff auf andere freigegebene VPC-Ressourcen.
Dem Dienstkonto, das der Hostverbindung zugeordnet ist, müssen bis zu vier zusätzliche Berechtigungen erteilt werden, um eine freigegebene VPC zu unterstützen:
- compute.firewalls.list: Diese Berechtigung ist obligatorisch. Mit ihr kann MCS die Liste der Firewallregeln auf der freigegebenen VPC abrufen.
- compute.networks.list: Diese Berechtigung ist obligatorisch. Damit kann MCS die freigegebenen VPC-Netzwerke identifizieren, die dem Dienstkonto zur Verfügung stehen.
- compute.subnetworks.list: Diese Berechtigung ist je nach Verwendung der VPCs optional. Damit kann MCS die Subnetze der sichtbaren, freigegebenen VPCs identifizieren. Diese Berechtigung ist für die Verwendung lokaler VPCs erforderlich, muss aber auch im Hostprojekt für freigegebene VPCs zugewiesen werden.
- compute.subnetworks.use: Diese Berechtigung ist je nach Verwendung der VPCs optional. Sie ist zur Verwendung von Subnetzressourcen in den bereitgestellten Maschinenkatalogen erforderlich. Diese Berechtigung ist für die Verwendung lokaler VPCs erforderlich, muss aber auch im Hostprojekt für freigegebene VPCs zugewiesen werden.
Berücksichtigen Sie bei der Verwendung dieser Berechtigungen, dass es, basierend auf dem Berechtigungstyp, verschiedene Ansätze zum Erstellen des Maschinenkatalogs gibt:
- Berechtigung auf Projektebene:
- Ermöglicht Zugriff auf alle freigegebenen VPCs im Hostprojekt.
- Erfordert, dass dem Dienstkonto die Berechtigungen
compute.subnetworks.list
undcompute.subnetworks.use
zugewiesen sind.
- Berechtigung auf Subnetzebene:
- Ermöglicht den Zugriff auf einzelne Subnetze in der freigegebenen VPC.
- Die Berechtigungen
compute.subnetworks.list
undcompute.subnetworks.use
gehören zur Zuweisung auf Subnetzebene und müssen daher dem Dienstkonto nicht direkt zugewiesen werden.
Wählen Sie das Konzept aus, der Ihren Anforderungen und Sicherheitsstandards entspricht.
Tipp:
Weitere Informationen zu den Unterschieden zwischen Berechtigungen auf Projektebene und Subnetzebene finden Sie unter Dienstprojektadministratoren.
Firewallregeln
Bei der Vorbereitung eines Maschinenkatalogs wird ein Maschinenabbild vorbereitet, das als Masterimage-Systemdatenträger für den Katalog dient. Bei diesem Vorgang wird der Datenträger vorübergehend an eine virtuelle Maschine angefügt. Die VM muss in einer isolierten Umgebung ausgeführt werden, die jeglichen eingehenden und ausgehenden Netzwerkdatenverkehr verhindert. Dies wird durch zwei Alles-abweisen-Firewallregeln verwirklicht: eine für eingehenden und eine für ausgehenden Datenverkehr. Bei Verwendung Google Cloud-lokaler VCPs erstellt MCS diese Firewall im lokalen Netzwerk und wendet sie für das Mastering auf die Maschine an. Nach Abschluss des Masterings werden die Firewallregeln aus dem Image entfernt.
Es wird empfohlen, die Anzahl der neuen Berechtigungen, die für die Verwendung freigegebener VPCs erforderlich sind, auf ein Minimum zu beschränken. Freigegebene VPCs sind wichtige Unternehmensressourcen, für die in der Regel strenge Sicherheitsprotokolle gelten. Erstellen Sie daher im Hostprojekt zwei Firewallregeln für die freigegebenen VPC-Ressourcen: eine für eingehenden und eine für ausgehenden Datenverkehr. Weisen Sie diesen die höchste Priorität zu. Wenden Sie auf beide Regeln über den folgenden Wert ein neues Ziel-Tag an:
citrix-provisioning-quarantine-firewall
Wenn MCS einen Maschinenkatalog erstellt oder aktualisiert, sucht es nach Firewallregeln mit diesem Ziel-Tag. Es prüft die Regeln auf Richtigkeit und wendet sie auf die Maschine an, die zur Vorbereitung des Masterimages für den Katalog verwendet wird. Werden die Firewallregeln nicht gefunden oder die gefundenen Regeln haben die falsche Priorität, wird folgende Meldung (oder eine mit ähnlichem Wortlaut) angezeigt:
"Unable to find valid INGRESS and EGRESS quarantine firewall rules for VPC <name> in project <project>. " Please ensure you have created 'deny all' firewall rules with the network tag ‘citrix-provisioning-quarantine-firewall' and proper priority." "Refer to Citrix Documentation for details."
Freigegebene VPC konfigurieren
Führen Sie vor dem Hinzufügen der freigegebenen VPC als Hostverbindung in Citrix DaaS Studio die folgenden Schritte aus, um die Dienstkonten aus dem betreffenden Projekt hinzuzufügen:
- IAM-Rolle erstellen.
- Ein Dienstkonto zur IAM-Rolle des Hostprojekts hinzufügen
- Das Cloud Build-Dienstkonto zur freigegebenen VPC hinzufügen
- Firewallregeln erstellen.
IAM-Rolle erstellen
Ermitteln Sie die Zugriffsebene der Rolle:
- Zugriff auf Projektebene oder
- Ein eingeschränkteres Modell, das Zugriff auf Subnetzebene verwendet.
Zugriff auf Projektebene für die IAM-Rolle. Weisen Sie einer IAM-Rolle auf Projektebene die folgenden Berechtigungen zu:
- compute.firewalls.list
- compute.networks.list
- compute.subnetworks.list
- compute.subnetworks.use
Führen Sie zum Erstellen einer IAM-Rolle auf Projektebene folgende Schritte aus:
- Gehen Sie in der Google Cloud-Konsole zu IAM & Admin > Roles.
- Wählen Sie CREATE ROLE auf der Seite Roles.
- Geben Sie auf der Seite Create Role einen Rollennamen ein. Wählen Sie ADD PERMISSIONS.
- Fügen Sie auf der Seite Add permissions der Rolle Berechtigungen hinzu. Um eine Berechtigung hinzuzufügen, geben Sie deren Namen in das Feld Filter table ein. Wählen Sie die Berechtigung aus und wählen Sie ADD.
- Wählen Sie CREATE.
IAM-Rolle auf Subnetzebene. Bei dieser Rolle werden die Berechtigungen compute.subnetworks.list
und compute.subnetworks.use
nach Auswahl von CREATE ROLE ausgelassen. Für diese IAM-Zugriffsebene müssen die Berechtigungen compute.firewalls.list
und compute.networks.list
auf die neue Rolle angewendet werden.
Führen Sie zum Erstellen einer IAM-Rolle auf Subnetzebene folgende Schritte aus:
- Navigieren Sie in der Google Cloud-Konsole zu VPC network > Shared VPC. Auf der Seite Shared VPC werden die Subnetze der freigegebenen VPC-Netzwerke des Hostprojekts angezeigt.
- Wählen Sie auf der Seite Shared VPC das Subnetz aus, auf das Sie zugreifen möchten.
- Wählen Sie oben rechts ADD MEMBER, um ein Dienstkonto hinzuzufügen.
- Führen Sie auf der Seite Add members die folgenden Schritte aus:
- Geben Sie im Feld New members den Namen des Dienstkontos ein und wählen Sie dann im Menü das Dienstkonto aus.
- Wählen Sie das Feld Select a Roll und dann Compute Network User.
- Wählen Sie SAVE.
- Gehen Sie in der Google Cloud-Konsole zu IAM & Admin > Roles.
- Wählen Sie CREATE ROLE auf der Seite Roles.
- Geben Sie auf der Seite Create Role einen Rollennamen ein. Wählen Sie ADD PERMISSIONS.
- Fügen Sie auf der Seite Add permissions der Rolle Berechtigungen hinzu. Um eine Berechtigung hinzuzufügen, geben Sie deren Namen in das Feld Filter table ein. Wählen Sie die Berechtigung aus und wählen Sie ADD.
- Wählen Sie CREATE.
Hinzufügen eines Dienstkontos zur IAM-Rolle des Hostprojekts
Führen Sie nach dem Erstellen einer IAM-Rolle die folgenden Schritte aus, um ein Dienstkonto für das Hostprojekt hinzuzufügen:
- Gehen Sie in der Google Cloud-Konsole zum Hostprojekt und dann zu IAM & Admin > IAM.
- Wählen Sie auf der Seite IAM die Option ADD, um ein Dienstkonto hinzuzufügen.
- Führen Sie auf der Seite Add members folgende Schritte aus:
- Geben Sie im Feld New members den Namen des Dienstkontos ein und wählen Sie dann im Menü das Dienstkonto aus.
- Wählen Sie ein Rollenfeld, geben Sie die erstellte IAM-Rolle ein und wählen Sie dann im Menü die Rolle.
- Wählen Sie SAVE.
Das Dienstkonto ist damit für das Hostprojekt konfiguriert.
Cloud Build-Dienstkonto zur freigegebenen VPC hinzufügen
Jedes Google Cloud-Abonnement hat ein Dienstkonto, das denselben Namen trägt wie die Projekt-ID, gefolgt von cloudbuild.gserviceaccount
. Beispiel: 705794712345@cloudbuild.gserviceaccount
.
Sie können die Projekt-ID-Nummer für Ihr Projekt ermitteln, indem Sie in der Google Cloud-Konsole zu Cloud Overview > Dashboard navigieren. Die Projekt-ID und die Projektnummer werden auf der Projektinfokarte des Projekt-Dashboards angezeigt:
Zum Hinzufügen des Cloud Build-Dienstkontos zur freigegebenen VPC führen Sie folgende Schritte aus:
- Gehen Sie in der Google Cloud-Konsole zum Hostprojekt und dann zu IAM & Admin > IAM.
- Wählen Sie ADD auf der Seite Permissions, um ein Konto hinzuzufügen.
- Führen Sie auf der Seite Add members die folgenden Schritte aus:
- Geben Sie im Feld New members den Namen des Cloud Build-Kontos ein und wählen Sie dann im Menü das Dienstkonto aus.
- Wählen Sie das Feld Select a role, geben Sie
Computer Network User
ein und wählen Sie dann im Menü die Rolle. - Wählen Sie SAVE.
Erstellen von Firewallregeln
Beim Mastering kopiert MCS das ausgewählte Maschinenabbild und bereitet damit den Masterimage-Systemdatenträger für den Katalog vor. Beim Masterings fügt MCS den Datenträger an eine temporäre virtuelle Maschine an und führt dann Vorbereitungsskripts aus. Die VM muss in einer isolierten Umgebung ausgeführt werden, die jeglichen eingehenden und ausgehenden Netzwerkdatenverkehr verhindert.
Um eine isolierte Umgebung zu erstellen, erfordert MCS zwei Alles-abweisen-Firewallregeln (eine Eingangsregel und eine Ausgangregel). Erstellen Sie daher zwei Firewallregeln (eingehend und ausgehend) im Hostprojekt:
- Gehen Sie in der Google Cloud-Konsole zum Hostprojekt und dann zu VPC network > Firewall.
- Wählen Sie auf der Seite Firewall die Option CREATE FIREWALL RULE.
- Führen Sie auf der Seite Create a firewall rule die folgenden Schritte aus:
- Name. Geben Sie einen Namen für die Regel ein.
- Network. Wählen Sie das freigegebene VPC-Netzwerk aus, für das die Firewallregel für eingehenden Datenverkehr gilt.
- Priority. Je kleiner der Wert ist, desto höher ist die Priorität der Regel. Citrix empfiehlt einen kleinen Wert (z. B. 10).
- Direction of traffic. Wählen Sie Ingress.
- Action on match. Wählen Sie Deny.
- Targets. Verwenden Sie die Standardeinstellung Specified target tags.
-
Target tags. Geben Sie
citrix-provisioning-quarantine-firewall
ein. - Source filter. Verwenden Sie die Standardeinstellung IP ranges.
-
Source IP ranges. Geben Sie einen Bereich ein, der den gesamten Datenverkehr abdeckt. Geben Sie
0.0.0.0/0
ein. - Protocols and ports. Wählen Sie Deny all.
- Wählen Sie CREATE, um die Regel zu erstellen.
- Wiederholen Sie die Schritte, um eine weitere Regel zu erstellen. Wählen Sie für Direction of traffic die Option Egress.
Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) verwenden
Sie können vom Kunden verwaltete Verschlüsselungsschlüssel (Customer Managed Encryption Keys, CMEK) für MCS-Kataloge verwenden. Wenn Sie das Feature verwenden, weisen Sie dem Compute Engine Service-Agent die Google Cloud Key Management Service CryptoKey Encrypter/Decrypter
-Rolle zu. Das Citrix DaaS-Konto muss über die richtigen Berechtigungen in dem Projekt verfügen, in dem der Schlüssel gespeichert ist. Weitere Informationen finden Sie unter Berechtigungen zum Citrix DaaS-Konto zuweisen. Weitere Informationen finden Sie unter Ressourcen mit Cloud KMS-Schlüsseln schützen.
Ihr Compute Engine Service Agent folgt folgendem Format: service-<Project _Number>@compute-system.iam.gserviceaccount.com
. Dieses unterscheidet sich von dem standardmäßigen Compute Engine Service-Konto.
Hinweis:
Dieses Compute Engine Service-Konto wird möglicherweise nicht in den IAM-Berechtigungen der Google-Konsole angezeigt. Verwenden Sie in solchen Fällen den Befehl
gcloud
, wie unter Ressourcen mit Cloud KMS-Schlüsseln schützen beschrieben.
Zuweisen von Berechtigungen zum Citrix DaaS-Konto
Google Cloud KMS-Berechtigungen können auf verschiedene Art und Weise konfiguriert werden. Sie können entweder die KMS-Berechtigungen auf Projektebene oder auf Ressourcenebene bereitstellen. Weitere Informationen finden Sie unter Berechtigungen und Rollen.
KMS-Berechtigungen auf Projektebene
Sie können dem Citrix DaaS-Konto Berechtigungen auf Projektebene zum Durchsuchen von Cloud KMS-Ressourcen zuweisen. Erstellen Sie dazu eine benutzerdefinierte Rolle und fügen Sie die folgenden Berechtigungen hinzu:
cloudkms.keyRings.list
cloudkms.keyRings.get
cloudkms.cryptokeys.list
cloudkms.cryptokeys.get
Weisen Sie die benutzerdefinierte Rolle Ihrem Citrix DaaS-Konto zu. Dadurch können Sie regionale Schlüssel im relevanten Projekt im Bestand durchsuchen.
KMS-Berechtigungen auf Ressourcenebene
Gehen Sie für die zweite Option – Berechtigungen auf Ressourcenebene – in der Google Cloud-Konsole zu dem cryptoKey
, den Sie für die MCS-Bereitstellung verwenden. Fügen Sie das Citrix DaaS-Konto einem Schlüsselbund oder Schlüssel hinzu, den Sie für die Katalogbereitstellung verwenden.
Tipp:
Mit dieser Option können Sie keine regionalen Schlüssel für Ihr Projekt im Bestand durchsuchen, da das Citrix DaaS-Konto keine Listenberechtigungen auf Projektebene für die Cloud KMS-Ressourcen hat. Sie können jedoch Kataloge mit CMEK bereitstellen, indem Sie in den benutzerdefinierten Eigenschaften für
ProvScheme
das korrektecryptoKeyId
angeben. Weitere Informationen finden Sie unter Katalog mit CMEK und benutzerdefinierten Eigenschaften erstellen.
Wechsel vom Kunden verwalteter Schlüssel
Google Cloud unterstützt keinen Wechsel von Schlüsseln für bestehende persistente Datenträger bzw. Images. Sobald eine Maschine bereitgestellt ist, ist sie an die zum Zeitpunkt ihrer Erstellung verwendete Schlüsselversion gebunden. Es kann jedoch eine neue Schlüsselversion erstellt werden, die dann für neu bereitgestellte Maschinen bzw. Ressourcen verwendet, die erstellt werden, wenn ein Katalog mit einem neuen Masterimage aktualisiert wird.
Wichtige Überlegungen zu Schlüsselbunden
Schlüsselbunde können nicht umbenannt oder gelöscht werden. Außerdem können bei ihrer Konfiguration unerwartete Gebühren anfallen. Wenn Sie einen Schlüsselbund löschen, zeigt Google Cloud eine Fehlermeldung an:
Sorry, you can't delete or rename keys or key rings. We were concerned about the security implications of allowing multiple keys or key versions over time to have the same resource name, so we decided to make names immutable. (And you can't delete them, because we wouldn't be able to do a true deletion--there would still have to be a tombstone tracking that this name had been used and couldn't be reused).
We're aware that this can make things untidy, but we have no immediate plans to change this.
If you want to avoid getting billed for a key or otherwise make it unavailable, you can do so by deleting all the key versions; neither keys nor key rings are billed for, just the active key versions within the keys.
<!--NeedCopy-->
Tipp:
Weitere Informationen finden Sie unter Bearbeiten oder Löschen eines Schlüsselbunds von der Konsole.
Kompatibilität mit einheitlichem Zugriff auf Bucket-Ebene
Citrix DaaS ist kompatibel mit der Richtlinie zum einheitlichen Zugriff auf Bucket-Ebene von Google Cloud. Dieses Feature erweitert die Verwendung der IAM-Richtlinie, die Berechtigungen für ein Dienstkonto erteilt, um die Bearbeitung von Ressourcen (einschließlich Storage-Buckets) zu ermöglichen. Durch einheitlichen Zugriff auf Bucket-Ebene können Sie in Citrix DaaS per Zugriffssteuerungsliste (ACL) den Zugriff auf Storage-Buckets oder darin gespeicherte Objekte zu steuern. Einen Überblick über den einheitlichen Zugriff auf Bucket-Ebene in Google Cloud finden Sie unter Einheitlicher Zugriff auf Bucket-Ebene. Informationen zur Konfiguration finden Sie unter Anfordern des einheitlichen Zugriffs auf Bucket-Ebene.
PowerShell verwenden
In diesem Abschnitt wird beschrieben, wie Sie die folgenden Aufgaben mit PowerShell ausführen:
- Katalog mit persistentem Zurückschreibcachedatenträger erstellen
- Startleistung mit MCSIO verbessern
- Katalog mit CMEK und benutzerdefinierten Eigenschaften erstellen
- Erstellen eines Maschinenkatalogs mit einem Maschinenprofil
- Maschinenkatalog mit einem Maschinenprofil als Instanzvorlage erstellen
- Katalog mit Shielded VM erstellen
- Windows 11-VMs auf dem Einzelmandantenknoten erstellen
- VMs und Datenträger mit vererbten Bezeichnungen
Katalog mit persistentem Zurückschreibcachedatenträger erstellen
Zum Konfigurieren eines Katalogs mit persistentem Datenträger für den Zurückschreibcache verwenden Sie den PowerShell-Befehl New-ProvScheme CustomProperties
.
Tipp:
Verwenden Sie den PowerShell-Parameter
New-ProvScheme CustomProperties
nur für cloudbasierte Hostverbindungen. Wenn Sie Maschinen mit persistentem Zurückschreibcachedatenträger für eine On-Premises–Lösung (z. B. XenServer) bereitstellen möchten, wird PowerShell nicht benötigt, da der Datenträger automatisch persistent ist.
Dieser Befehl unterstützt die zusätzliche Eigenschaft PersistWBC
, welche bestimmt, ob der Zurückschreibcachedatenträger bei von MCS-bereitgestellten Maschinen persistent oder flüchtig ist. Die Eigenschaft PersistWBC
wird nur verwendet, wenn der Parameter UseWriteBackCache
angegeben wird und Parameter WriteBackCacheDiskSize
so konfiguriert ist, dass ein Datenträger erstellt wird.
Hinweis:
Dieses Verhalten gilt für Azure und GCP, bei dem der standardmäßige MCSIO-Zurückschreibcachedatenträger beim Aus- und Wiedereinschalten gelöscht und neu erstellt wird. Sie können den Datenträger als persistent konfigurieren, um das Löschen und neu Erstellen des MCSIO-Zurückschreibcachedatenträger zu vermeiden.
Beispiele für Eigenschaften im Parameter CustomProperties
vor Unterstützung von PersistWBC
:
<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<Property xsi:type="StringProperty" Name="UseManagedDisks" Value="true" />
<Property xsi:type="StringProperty" Name="StorageAccountType" Value="Premium_LRS" />
<Property xsi:type="StringProperty" Name="ResourceGroups" Value="benvaldev5RG3" />
</CustomProperties>
<!--NeedCopy-->
Hinweis:
Dieses Beispiel gilt nur für Azure. Die Eigenschaften sind in der GCP-Umgebung anders.
Berücksichtigen Sie bei Verwendung dieser Eigenschaften deren Standardwerte, wenn die Eigenschaften im Parameter CustomProperties
ausgelassen werden. Die Eigenschaft PersistWBC
hat zwei mögliche Werte: true oder false.
Bei der Einstellung von PersistWBC
auf true wird der Zurückschreibcachedatenträger nicht gelöscht, wenn der Citrix DaaS-Administrator die Maschine über die Verwaltungsoberfläche herunterfährt.
Bei der Einstellung von PersistWBC
auf false wird der Zurückschreibcachedatenträger gelöscht, wenn der Citrix DaaS-Administrator die Maschine über die Verwaltungsoberfläche herunterfährt.
Hinweis:
Wird die Eigenschaft
PersistWBC
nicht angegeben, so gilt der Standardwert false und der Zurückschreibcachedatenträger wird beim Herunterfahren der Maschine über die Verwaltungsoberfläche gelöscht.
Beispiel der Verwendung des Parameters CustomProperties
zur Einstellung von PersistWBC
auf “true”:
<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<Property xsi:type="StringProperty" Name="UseManagedDisks" Value="true" />
<Property xsi:type="StringProperty" Name="StorageAccountType" Value="Premium_LRS" />
<Property xsi:type="StringProperty" Name="ResourceGroups" Value="benvaldev5RG3" />
<Property xsi:type="StringProperty" Name="PersistWBC" Value="true" />
</CustomProperties>
<!--NeedCopy-->
Wichtig:
Die Eigenschaft
PersistWBC
kann nur mit dem PowerShell-CmdletNew-ProvScheme
festgelegt werden. Eine Änderung derCustomProperties
eines Provisioningschemas nach der Erstellung hat keine Auswirkungen auf den Maschinenkatalog und die Permanenz des Zurückschreibcachedatenträger beim Herunterfahren von Maschinen.
Beispiel der Einstellung von New-ProvScheme
zur Verwendung des Zurückschreibcache und Einstellung von PersistWBC
auf “true”:
New-ProvScheme
-CleanOnBoot
-CustomProperties "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`"><Property xsi:type=`"StringProperty`" Name=`"UseManagedDisks`" Value=`"true`" /><Property xsi:type=`"StringProperty`" Name=`"StorageAccountType`" Value=`"Premium_LRS`" /><Property xsi:type=`"StringProperty`" Name=`"ResourceGroups`" Value=`"benvaldev5RG3`" /><Property xsi:type=`"StringProperty`" Name=`"PersistWBC`" Value=`"true`" /></CustomProperties>"
-HostingUnitName "adSubnetScale1"
-IdentityPoolName "BV-WBC1-CAT1"
-MasterImageVM "XDHyp:\HostingUnits\adSubnetScale1\image.folder\GoldImages.resourcegroup\W10MCSIO-01_OsDisk_1_a940e6f5bab349019d57ccef65d2c7e3.manageddisk"
-NetworkMapping @{"0"="XDHyp:\HostingUnits\adSubnetScale1\virtualprivatecloud.folder\CloudScale02.resourcegroup\adVNET.virtualprivatecloud\adSubnetScale1.network"}
-ProvisioningSchemeName "BV-WBC1-CAT1"
-ServiceOffering "XDHyp:\HostingUnits\adSubnetScale1\serviceoffering.folder\Standard_D2s_v3.serviceoffering"
-UseWriteBackCache
-WriteBackCacheDiskSize 127
-WriteBackCacheMemorySize 256
<!--NeedCopy-->
Startleistung mit MCSIO verbessern
Sie können die Startleistung für in Azure oder GCP verwaltete Datenträger verbessern, wenn MCSIO aktiviert ist. Verwenden Sie die benutzerdefinierte PowerShell-Eigenschaft PersistOSDisk
im Befehl New-ProvScheme
, um dieses Feature zu konfigurieren: Optionen für New-ProvScheme
:
<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<Property xsi:type="StringProperty" Name="UseManagedDisks" Value="true" />
<Property xsi:type="StringProperty" Name="StorageAccountType" Value="Premium_LRS" />
<Property xsi:type="StringProperty" Name="Resource<!--NeedCopy-->
``````<!--NeedCopy-->
````````Groups" Value="benvaldev5RG3" />
<Property xsi:type="StringProperty" Name="PersistOsDisk" Value="true" />
</CustomProperties>
<!--NeedCopy-->
Um dieses Feature zu aktivieren, legen Sie die benutzerdefinierte Eigenschaft PersistOSDisk
auf true fest. Beispiel:
New-ProvScheme
-CleanOnBoot
-CustomProperties "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`"><Property xsi:type=`"StringProperty`" Name=`"UseManagedDisks`" Value=`"true`" /><Property xsi:type=`"StringProperty`" Name=`"StorageAccountType`" Value=`"Premium_LRS`" /><Property xsi:type=`"StringProperty`" Name=`"ResourceGroups`" Value=`"benvaldev5RG3`" /><Property xsi:type=`"StringProperty`" Name=`"PersistOsDisk`" Value=`"true`" /></CustomProperties>"
-HostingUnitName "adSubnetScale1"
-IdentityPoolName "BV-WBC1-CAT1"
-MasterImageVM "XDHyp:\HostingUnits\adSubnetScale1\image.folder\GoldImages.resourcegroup\W10MCSIO-01_OsDisk_1_a940e6f5bab349019d57ccef65d2c7e3.manageddisk"
-NetworkMapping @{"0"="XDHyp:\HostingUnits\adSubnetScale1\virtualprivatecloud.folder\CloudScale02.resourcegroup\adVNET.virtualprivatecloud\adSubnetScale1.network"}
-ProvisioningSchemeName "BV-WBC1-CAT1"
-ServiceOffering "XDHyp:\HostingUnits\adSubnetScale1\serviceoffering.folder\Standard_D2s_v3.serviceoffering"
-UseWriteBackCache
-WriteBackCacheDiskSize 127
-WriteBackCacheMemorySize 256
<!--NeedCopy-->
Katalog mit CMEK und benutzerdefinierten Eigenschaften erstellen
Geben Sie beim Erstellen Ihres Provisioningschemas über PowerShell eine CryptoKeyId
-Eigenschaft in ProvScheme CustomProperties
an. Beispiel:
'<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<Property xsi:type="StringProperty" Name="CryptoKeyId" Value="<yourCryptoKeyId>" />
</CustomProperties>'
<!--NeedCopy-->
Die cryptoKeyId
muss im folgenden Format angegeben werden:
projectId:location:keyRingName:cryptoKeyName
Wenn Sie beispielsweise den Schlüssel my-example-key
im Schlüsselbund my-example-key-ring
in der Region us-east1
und Projekt-ID my-example-project-1
verwenden möchten, sehen die benutzerdefinierten ProvScheme
-Einstellungen in etwa so aus:
'<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<Property xsi:type="StringProperty" Name="CryptoKeyId" Value="my-example-project-1:us-east1:my-example-key-ring:my-example-key" />
</CustomProperties>'
<!--NeedCopy-->
Alle zu dem Provisioningschema gehörenden, per MCS bereitgestellten Datenträger und Images verwenden diesen kundenverwalteten Verschlüsselungsschlüssel.
Tipp:
Wenn Sie globale Schlüssel verwenden, muss der Kundeneigenschaftenort anstelle des Namens der Region (im obigen Beispiel us-east1)
global
sein. Beispiel:<Property xsi:type="StringProperty" Name="CryptoKeyId" Value="my-example-project-1:global:my-example-key-ring:my-example-key" />
.
Erstellen eines Maschinenkatalogs mit einem Maschinenprofil
Wenn Sie einen Katalog für das Provisioning von Maschinen mit MCS erstellen, können Sie ein Maschinenprofil verwenden, das die Hardwareeigenschaften einer virtuellen Maschine erfasst und auf neu bereitgestellte VMs im Katalog anwendet. Wenn der Parameter MachineProfile
nicht verwendet wird, werden die Hardwareeigenschaften von der Masterimage-VM oder dem Snapshot erfasst.
Einige Eigenschaften, die Sie explizit definieren (beispielsweise StorageType
, CatalogZones
und CryptoKeyId
) werden im Maschinenprofil ignoriert.
- Verwenden Sie den Befehl
New-ProvScheme
, um einen Katalog mit einem Maschinenprofil zu erstellen. Beispiel:New-ProvScheme –MachineProfile “path to VM”
. Wenn Sie den ParameterMachineProfile
nicht angeben, werden Hardwareeigenschaften von der Masterimage-VM erfasst. - Verwenden Sie den Befehl
Set-ProvScheme
, um einen Katalog mit einem neuen Maschinenprofil zu aktualisieren. Beispiel:Set-ProvScheme –MachineProfile “path to new VM”
. Dieser Befehl ändert das Maschinenprofil der vorhandenen VMs im Katalog nicht. Nur neu erstellte VMs, die dem Katalog hinzugefügt werden, haben das neue Maschinenprofil. -
Sie können auch das Masterimage aktualisieren, allerdings werden hierbei die Hardwareeigenschaften nicht aktualisiert. Wenn Sie die Hardwareeigenschaften aktualisieren möchten, müssen Sie das Maschinenprofil mit dem Befehl
Set-ProvScheme
aktualisieren. Die Änderungen gelten nur für die neuen Maschinen im Katalog. Um die Hardwareeigenschaften einer vorhandenen Maschine zu aktualisieren, können Sie den BefehlSet-ProvVMUpdateTimeWindow
mit den Parametern-StartsNow
und-DurationInMinutes -1
verwenden.Hinweis:
-
StartsNow
gibt an, dass die geplante Startzeit die aktuelle Uhrzeit ist. -
DurationInMinutes
mit einer negativen Zahl (z. B. -1) gibt an, dass es im Zeitfenster des Zeitplans keine Obergrenze gibt.
-
Maschinenkatalog mit einem Maschinenprofil als Instanzvorlage erstellen
Sie können eine GCP-Instanzvorlage als Eingabe für das Maschinenprofil auswählen. Instanzvorlagen sind schlanke Ressourcen in GCP und daher sehr kostengünstig.
Maschinenkatalog mit einem Maschinenprofil als Instanzvorlage erstellen
- Öffnen Sie ein PowerShell-Fenster.
- Führen Sie
asnp citrix*
aus, um die Citrix-spezifischen PowerShell-Module zu laden. -
Suchen Sie mit dem folgenden Befehl eine Instanzvorlage in Ihrem GCP-Projekt:
cd XDHyp:\HostingUnits<HostingUnitName>\instanceTemplates.folder <!--NeedCopy-->
-
Erstellen Sie mit dem Befehl NewProvScheme einen neuen Maschinenkatalog mit Maschinenprofil als Instanzvorlage:
New-ProvScheme -ProvisioningSchemeName <CatalogName> -HostingUnitName <HostingUnitName> -IdentityPoolName <identity pool name> -MasterImageVM XDHyp:\HostingUnits<HostingUnitName>\Base.vm\Base.snapshot -MachineProfile XDHyp:\HostingUnits<HostingUnitName>\instanceTemplates.folder\mytemplate.template <!--NeedCopy-->
Weitere Hinweise zum Befehl New-ProvScheme finden Sie unter https://developer-docs.citrix.com/projects/citrix-daas-sdk/en/latest/MachineCreation/New-ProvScheme/.
- Beenden Sie das Erstellen des Maschinenkatalogs mithilfe von PowerShell-Befehlen.
Maschinenkatalog aktualisieren, damit eine Instanzvorlage als Maschinenprofil verfügbar ist
- Öffnen Sie ein PowerShell-Fenster.
- Führen Sie
asnp citrix*
aus, um die Citrix-spezifischen PowerShell-Module zu laden. -
Führen Sie den folgenden Befehl aus:
Set-ProvScheme -ProvisioningSchemeName <CatalogName> -MachineProfile XDHyp:\HostingUnits<HostingUnitName>\instanceTemplates.folder<TemplateName>.template <!--NeedCopy-->
Weitere Informationen zum Befehl Set-ProvScheme finden Sie unter https://developer-docs.citrix.com/projects/citrix-daas-sdk/en/latest/MachineCreation/Set-ProvScheme/.
Katalog mit Shielded VM erstellen
Sie können einen MCS-Maschinenkatalog mit Shielded VM-Eigenschaften erstellen. Eine abgeschirmte virtuelle Maschine wird durch Sicherheitskontrollen gehärtet, die eine überprüfbare Integrität der Compute Engine-Instanzen über erweiterte Plattformsicherheitsfunktionen wie Sicherer Start, ein virtuelles Trusted Platform Module, UEFI-Firmware und Integritätsüberwachung bieten.
MCS unterstützt die Erstellung des Katalogs mithilfe des Maschinenprofil-Workflows. Wenn Sie den Maschinenprofil-Workflow verwenden, müssen Sie die Shielded VM-Eigenschaften für eine VM-Instanz aktivieren. Sie können diese VM-Instanz dann als Eingabe für das Maschinenprofil verwenden.
MCS-Maschinenkatalog mit Shielded VM erstellen
- Aktivieren Sie die Shielded VM-Optionen für eine VM-Instanz in der Google Cloud-Konsole. Weitere Informationen finden Sie unter Kurzanleitung: Shielded VM-Optionen aktivieren.
- Erstellen Sie mithilfe der VM-Instanz einen MCS-Maschinenkatalog mit dem Maschinenprofil-Workflow.
- Öffnen Sie ein PowerShell-Fenster.
- Führen Sie
asnp citrix*
aus, um die Citrix-spezifischen PowerShell-Module zu laden. - Erstellen Sie einen Identitätspool, falls noch nicht vorhanden.
-
Führen Sie den Befehl
New-ProvScheme
aus. Beispiel:New-ProvScheme -ProvisioningSchemeName <catalog-name> -HostingUnitName gcp-hostint-unit -MasterImageVM XDHyp:\HostingUnits\gcp-hostint-unit\catalog-vda.vm -MachineProfile XDHyp:\HostingUnits\gcp-hostint-unit\catalog-machine.vm <!--NeedCopy-->
- Beenden Sie die Erstellung des Maschinenkatalogs.
Maschinenkatalog mit einem neuen Maschinenprofil aktualisieren
-
Führen Sie den Befehl
Set-ProvScheme
aus. Beispiel:Set-ProvScheme -ProvisioningSchemeName <catalog-name> -MasterImageVM XDHyp:\HostingUnits<hostin-unit>\catalog-vda.vm -MachineProfile "DHyp:\HostingUnits<hostin-unit>\catalog-machine.vm <!--NeedCopy-->
Führen Sie den Befehl Set-ProvVMUpdateTimeWindow
aus, um die in Set-ProvScheme
vorgenommene Änderung auf die vorhandenen VMs anzuwenden.
-
Führen Sie den Befehl
Set-ProvVMUpdateTimeWindow
aus. Beispiel:Set-ProvVMUpdateTimeWindow -ProvisioningSchemeName my-catalog -VMName <List-Of-Vm-Names> -StartsNow -DurationInMinutes -1 <!--NeedCopy-->
-
Starten Sie die VMs neu.
Windows 11-VMs auf dem Einzelmandantenknoten erstellen
Sie können Windows 11-VMs in GCP erstellen. Wenn Sie jedoch Windows 11 auf dem Masterimage installieren, müssen Sie vTPM während der Erstellung des Masterimages aktivieren. Außerdem müssen Sie vTPM auf der Maschinenprofilquelle (VM oder Instanzvorlage) aktivieren.
Die wichtigsten Schritte zum Erstellen von Windows 11-VMs auf dem Knoten für einzelne Mandanten sind:
- Richten Sie Google Cloud-Virtualisierungsumgebungen ein. Weitere Informationen finden Sie unter Google Cloud-Umgebungen.
- Installieren Sie einen VDA. Weitere Informationen finden Sie unter VDAs installieren.
- Erstellen Sie eine Verbindung zu Google-Cloudumgebungen. Weitere Informationen finden Sie unter Verbindung zu Google-Cloud-Umgebungen.
- Erstellen Sie ein Windows 11 Bring Your Own License (BYOL) -Masterimage und importieren Sie das Image in Google Cloud. Weitere Informationen finden Sie unter Windows 11 BYOL-Masterimage erstellen.
- Erstellen Sie die Maschinenprofilquelle: Stellen Sie die VM auf dem Einzelmandantenknoten bereit und aktivieren Sie das vTPM des Quellmaschinenprofils. Weitere Informationen finden Sie unter VM auf einem Einzelmandantenknoten bereitstellen.
- Erstellen Sie einen MCS-Maschinenkatalog mit der Windows 11-Maschinenprofilquelle, die mit vTPM aktiviert ist. Die Maschinenprofilquelle muss denselben Instanztyp haben, der im Knoten für den Einzelmandanten beschrieben ist. Weitere Informationen finden Sie unter MCS-Maschinenkatalog mit der Windows 11-Maschinenprofilquelle erstellen.
Windows 11 BYOL-Masterimage erstellen
Es gibt zwei Optionen, um ein Windows 11 BYOL-Masterimage zu erstellen und das Masterimage in Google Cloud zu importieren:
- Google Cloud Build Tools erstellen
- Masterimage auf einem anderen Hypervisor erstellen
Google Cloud Build Tools erstellen
- Laden Sie die Windows 11-ISO-, GCP SDK-, .NET Framework- und PowerShell-Installationsdateien in den GCP-Speicher-Bucket hoch.
- Geben Sie den Speicherort der Datei in der
.yaml
-Cloud-Build-Datei als Parameter an. -
Führen Sie den folgenden Cloud Build über die Befehlszeile aus, um das endgültige Windows 11-Image zu erstellen. GCP bootet und erstellt das Masterimage im ausgewählten Projekt mit dem Daisy-Workflow in GCP. Das Masterimage wird in GCP importiert.
gcloud compute instances import INSTANCE-NAME--source-uri=gs://BUCKET/IMAGE-OVF-FILE.ovf --guest-os-features=UEFI_COMPATIBLE --byol --machine-type=MACHINE-TYPE --zone=ZONE <!--NeedCopy-->
Hinweis:
Ersetzen Sie den gesamten Großbuchstabentext durch die tatsächlichen Ressourcendetails.
Vollständige Informationen finden Sie unter Benutzerdefinierte Windows BYOL-Images erstellen.
Masterimage auf einem anderen Hypervisor erstellen
- Erstellen Sie das Windows 11-Masterimage mit einem anderen Hypervisor.
- Exportieren Sie das Masterimage in einem OVF-Format auf der lokalen Maschine.
-
Laden Sie die OVF-Dateien über die lokale gcloud-Befehlszeilenschnittstelle in den GCP-Speicherbucket hoch.
gsutil cp LOCAL_IMAGE_PATH_OVF_FILES gs://BUCKET_NAME/ <!--NeedCopy-->
-
Führen Sie den folgenden Cloud Build über die Befehlszeile aus, um das endgültige Windows 11-Image zu erstellen. GCP bootet und erstellt das Masterimage im ausgewählten Projekt mit dem Daisy-Workflow in GCP. Das Masterimage wird in GCP importiert.
gcloud compute instances import INSTANCE-NAME --source-uri=gs://BUCKET/IMAGE-OVF-FILE.ovf --guest-os-features=UEFI_COMPATIBLE --byol --machine-type=MACHINE-TYPE --zone=ZONE <!--NeedCopy-->
Hinweis:
Ersetzen Sie den gesamten Großbuchstabentext durch die tatsächlichen Ressourcendetails.
VM auf einem Einzelmandantenknoten bereitstellen
Verwenden Sie Knoten für einzelne Mandanten, um Ihre VMs physisch von VMs in anderen Projekten zu trennen, oder um Ihre VMs auf derselben Hosthardware zu gruppieren. Informationen zum Einzelmandantenknoten finden Sie im GCP-Dokument Sole-Tenancy Overview.
Informationen zur Bereitstellung einer VM (Maschinenprofilquelle) auf dem Einzelmandantenknoten finden Sie im GCP-Dokument Provisioning VMs on Sole-Tenant Nodes.
Hinweis:
- Wählen Sie denselben Instanztyp und dieselbe Region wie für die Knotengruppe aus.
- Aktivieren Sie vTPM im Abschnitt Shielded VM. Weitere Informationen finden Sie unter Kurzanleitung: Shielded VM-Optionen aktivieren.
- Deaktivieren Sie den Bitlocker auf der Quell-VM.
MCS-Maschinenkatalog mit der Windows 11-Maschinenprofilquelle erstellen
Sie können einen MCS-Maschinenkatalog erstellen, um Windows 11-VMs mit Studio oder PowerShell-Befehlen zu erstellen.
Hinweis:
- Wählen Sie für das Masterimage den Windows 11-Snapshot oder die VM aus.
- Wählen Sie für die Maschinenprofilquelle die Windows 11-VM als Maschinenprofil aus. Die Maschinenprofilquelle muss denselben Instanztyp haben, der im Knoten für den Einzelmandanten beschrieben ist.
Informationen zur Verwendung von Studio finden Sie unter Maschinenkatalog mit Studio erstellen.
Informationen zu PowerShell-Befehlen finden Sie unter Maschinenkatalog mit einem Maschinenprofil erstellen.
Nachdem Sie den Katalog erstellt und die VMs eingeschaltet haben, können Sie sehen, dass die Windows 11-VMs auf dem Einzelmandantenknoten in der Google Cloud-Konsole ausgeführt werden.
VMs und Datenträger mit vererbten Bezeichnungen
Die VMs und Datenträger des MCS-Maschinenkatalogs (Identity Disk, Write-Cache Back Disk und OS Disk) können die Bezeichnungen einer Maschinenprofilquelle (GCP-VM-Instanz oder Instanzvorlage) erben. Sie können die Bezeichnungen verwenden, um Instanzen zu unterscheiden, die verschiedenen Teams gehören (z. B. team:research und team:analytics), und sie weiter für die Kostenrechnung oder Budgetierung verwenden. Weitere Informationen zu Bezeichnungen finden Sie im GCP-Dokument Organize resources using labels.
Sie können einen neuen Katalog erstellen, einen vorhandenen Katalog aktualisieren und vorhandene VMs aktualisieren, um die Bezeichnungen mit der Maschinenprofilquelle zu erben.
Dieses Feature gilt für persistente und nicht persistente Maschinenkataloge und VMs.
Sie können die folgenden Aktionen ausführen:
- Katalog mit vererbten Bezeichnungen erstellen
- Vorhandenen Katalog mit übernommenen Bezeichnungen aktualisieren
- Vorhandene VMs mit vererbten Bezeichnungen aktualisieren
- Informationen für VM- und Startdatenträgerbezeichnungen abrufen
- Eine VM entfernen
Katalog mit vererbten Bezeichnungen erstellen
Gehen Sie wie folgt vor, um einen MCS-Maschinenkatalog zu erstellen, in dem virtuelle Maschinen und Datenträger Bezeichnungen von der Maschinenprofilquelle erben:
- Erstellen Sie eine Maschinenprofilquelle (VM-Instanz oder Instanzvorlage) mit Bezeichnungen. Informationen zum Erstellen von VMs mit Bezeichnungen finden Sie im GCP-Dokument Create resources with labels. Eine Instanzvorlage wird von der VM erstellt und verwendet die in der VM definierten Bezeichnungen.
- Erstellen Sie einen MCS-Katalog mit Studio oder PowerShell-Befehlen.
- Wenn Sie Studio verwenden, wählen Sie auf der Seite Image die Option Maschinenprofil verwenden und dann die VM oder Vorlage aus.
-
Wenn Sie PowerShell-Befehle verwenden, führen Sie einen der folgenden Schritte aus:
- Öffnen Sie das PowerShell-Fenster.
- Führen Sie asnp citrix* aus.
- Erstellen Sie einen Identitätspool. Der Identitätspool ist ein Container für die Active Directory-Konten der zu erstellenden VMs.
- Erstellen Sie die erforderlichen AD-Computerkonten in Active Directory.
-
Führen Sie den Befehl
New-ProvScheme
aus, um einen Katalog zu erstellen. Beispiel:New-ProvScheme mit Vorlage als Maschinenprofileingabe (Persistenter Katalog):
New-ProvScheme ` -ProvisioningSchemeName "catalog-name" ` -HostingUnitUid "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" ` -IdentityPoolUid "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" ` -MasterImageVM "XDHyp:\HostingUnits\hosting-unit-name\vm-name.vm" ` -MachineProfile "XDHyp:\HostingUnits\hosting-unit-name\instanceTemplates.folder\instance-template-name.template" ` <!--NeedCopy-->
New-ProvScheme mit Instanzvorlage als Maschinenprofileingabe (nicht persistenter Katalog):
New-ProvScheme ` -ProvisioningSchemeName "catalog-name" ` -HostingUnitUid "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" ` -IdentityPoolUid "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" ` -MasterImageVM "XDHyp:\HostingUnits\hosting-unit-name\vm-name.vm" ` -MachineProfile "XDHyp:\HostingUnits\hosting-unit-name\instanceTemplates.folder\instance-template-name.template" ` -CleanOnBoot <!--NeedCopy-->
New-ProvScheme mit VM-Instanz als Maschinenprofileingabe (Persistenter Katalog):
New-ProvScheme ` -ProvisioningSchemeName "catalog-name" ` -HostingUnitUid "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" ` -IdentityPoolUid "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" ` -MasterImageVM "XDHyp:\HostingUnits\hosting-unit-name\vm-name.vm" ` -MachineProfile "XDHyp:\HostingUnits\hosting-unit-name\vm-name.vm" ` <!--NeedCopy-->
New-ProvScheme mit VM-Instanz als Maschinenprofileingabe (nicht persistenter Katalog):
New-ProvScheme ` -ProvisioningSchemeName "catalog-name" ` -HostingUnitUid "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" ` -IdentityPoolUid "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" ` -MasterImageVM "XDHyp:\HostingUnits\hosting-unit-name\vm-name.vm" ` -MachineProfile "XDHyp:\HostingUnits\hosting-unit-name\vm-name.vm" ` -CleanOnBoot <!--NeedCopy-->
- Registrieren Sie das Provisioningsschema als Brokerkatalog.
- Fügen Sie die VMs zum Katalog hinzu.
Vorhandenen Katalog mit übernommenen Bezeichnungen aktualisieren
Um einen vorhandenen Katalog mit einem neuen Maschinenprofil zu aktualisieren, führen Sie den Befehl Set-ProvScheme aus. Nachdem Sie den Befehl ausgeführt haben, haben alle neuen VMs, die dem Katalog hinzugefügt wurden, die Bezeichnungen der neuen Maschinenprofilquelle. Der nicht persistente Katalog wird beim nächsten Einschalten aktualisiert.
Beispiel:
Set-ProvScheme mit Instanzvorlage als Maschinenprofileingabe:
Set-ProvScheme `
-ProvisioningSchemeName "catalog-name" `
-MachineProfile "XDHyp:\HostingUnits\hosting-unit-name\instanceTemplates.folder\instance-template-name.template" `
<!--NeedCopy-->
Set-ProvScheme mit VM-Instanz als Maschinenprofileingabe:
Set-ProvScheme `
-ProvisioningSchemeName "catalog-name" `
-MachineProfile "XDHyp:\HostingUnits\hosting-unit-name\vm-name.vm" `
<!--NeedCopy-->
Vorhandene VMs mit vererbten Bezeichnungen aktualisieren
Führen Sie die folgenden Befehle aus, um vorhandene VMs mit der aktualisierten Maschinenprofilquelle zu aktualisieren:
Set-ProvScheme
-
Set-ProvVMUpdateTimeWindow
. Beispiel:Set-ProvVMUpdateTimeWindow -ProvisioningSchemeName my-catalog -VMName <List-Of-Vm-Names> -StartsNow -DurationInMinutes -1 <!--NeedCopy-->
- Starten Sie die VMs neu.
Informationen für VM- und Startdatenträgerbezeichnungen abrufen
Nachdem Sie die VMs erstellt haben, können Sie die Informationen der VM und der Bezeichnung des Startdatenträgers mit dem Befehl Get-Item
mit dem Parameter AdditionalData
abrufen.
Führen Sie den folgenden Befehl aus, um Informationen der VM-Bezeichnung abzurufen:
(Get-Item XDHyp:\HostingUnits\hosting-unit-name\vm_name.vm).AdditionalData.Tags
<!--NeedCopy-->
Führen Sie den folgenden Befehl aus, um Informationen zur Bezeichnung des Startdatenträgers abzurufen:
(Get-Item XDHyp:\HostingUnits\hosting-unit-name\vm_name.vm\bootdisk-name.attacheddisk).AdditionalData.Tags
<!--NeedCopy-->
Hinweis:
Um die Konsistenz auf den verschiedenen Hypervisors zu gewährleisten, haben wir den Begriff Tags verwendet, um GCP-Bezeichnungen anzuzeigen.
Eine VM entfernen
Sie können sich dafür entscheiden, eine VM aus einem Katalog zu entfernen, die VM jedoch nicht aus der GCP zu löschen. In diesem Fall werden die Citrix-Bezeichnungen nur von der VM entfernt. Alle anderen hinzugefügten Bezeichnungen werden nicht von der VM gelöscht. Sie können eine VM aus Studio entfernen oder dazu PowerShell-Befehle verwenden.
Studio verwenden
- Wählen Sie die VM aus und klicken Sie mit der rechten Maustaste.
- Klicken Sie auf Löschen.
- Wählen Sie VMs aus dem Katalog entfernen, jedoch nicht löschen aus.
Mit PowerShell-Befehlen
Führen Sie Remove-ProvVM
mit dem Parameter ForgetVM
aus. Weitere Informationen finden Sie im SDK-Dokument Remove-ProvVM.
Google Cloud Marketplace
Im Google Cloud Marketplace können Sie von Citrix angebotene Images durchsuchen und auswählen, um damit Maschinenkataloge zu erstellen. Derzeit unterstützen die Maschinenerstellungsdienste (MCS) nur den Maschinenprofilworkflow für dieses Feature.
Um über den Google Cloud Marketplace nach einem Citrix VDA-VM-Produkt zu suchen, gehen Sie zu https://console.cloud.google.com/marketplace/.
Sie können ein benutzerdefiniertes Image oder ein einsatzbereites Citrix-Image im Google Cloud Marketplace verwenden, um das Image eines Maschinenkatalogs zu aktualisieren.
Hinweis:
Wenn das Maschinenprofil keine Angaben zum Speichertyp enthält, wird der Wert aus benutzerdefinierten Eigenschaften abgeleitet.
Die unterstützten Google Cloud Marketplace-Images sind:
- Windows 2019 Einzelsitzung
- Windows 2019 Multisitzung
- Ubuntu
Beispiel für das Erstellen eines Maschinenkatalogs basierend auf einem einsatzbereiten Citrix-Image:
New-ProvScheme -ProvisioningSchemeName GCPCatalog \
-HostingUnitName GcpHu -IdentityPoolName gcpPool -CleanOnBoot \
-MasterImageVM XDHyp:\HostingUnits\GcpHu\images.folder\citrix-daas-win2019-single-vda-v20220819.publicimage \
-MachineProfile XDHyp:\HostingUnits\GcpHu\Base.vm
<!--NeedCopy-->
So geht es weiter
- Wenn Sie den ersten Katalog erstellen, werden Sie zum Erstellen einer Bereitstellungsgruppe geleitet.
- Informationen zum gesamten Konfigurationsprozess finden Sie unter Planen und Erstellen einer Bereitstellung.
- Informationen zur Verwaltung von Katalogen finden Sie unter Maschinenkataloge verwalten und Google Cloud Platform-Katalog verwalten.
Weitere Informationen
In diesem Artikel
- Vorbereiten einer Master-VM-Instanz und eines nichtflüchtigen Speichers
- Aktivieren der Zonenauswahl
- Maschinenkatalog erstellen
- Importieren manuell erstellter Google Cloud-Maschinen
- Freigegebene virtuelle private Cloud
- Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) verwenden
- Kompatibilität mit einheitlichem Zugriff auf Bucket-Ebene
- PowerShell verwenden
- Katalog mit persistentem Zurückschreibcachedatenträger erstellen
- Erstellen eines Maschinenkatalogs mit einem Maschinenprofil
- Maschinenkatalog mit einem Maschinenprofil als Instanzvorlage erstellen
- Katalog mit Shielded VM erstellen
- Windows 11-VMs auf dem Einzelmandantenknoten erstellen
- VMs und Datenträger mit vererbten Bezeichnungen
- Google Cloud Marketplace
- So geht es weiter
- Weitere Informationen