Google Cloud-Umgebungen

Mit Citrix Virtual Apps and Desktops™ können Sie Maschinen in Google Cloud bereitstellen und verwalten. Dieser Artikel führt Sie durch die Verwendung von Machine Creation Services (MCS) zur Bereitstellung virtueller Maschinen in Ihrer Citrix Virtual Apps- oder Citrix Virtual Desktops-Dienstbereitstellung.

Anforderungen

• Citrix Cloud™-Konto. Die in diesem Artikel beschriebene Funktion ist nur in Citrix Cloud verfügbar.
• Citrix DaaS-Abonnement. Weitere Informationen finden Sie unter Erste Schritte.
• Ein Google Cloud-Projekt. Das Projekt speichert alle mit dem Maschinenkatalog verbundenen Compute-Ressourcen. Es kann ein bestehendes oder ein neues Projekt sein.
• Aktivieren Sie vier APIs in Ihrem Google Cloud-Projekt. Weitere Informationen finden Sie unter Google Cloud APIs aktivieren.
• Google Cloud-Dienstkonto. Das Dienstkonto authentifiziert sich bei Google Cloud, um den Zugriff auf das Projekt zu ermöglichen. Weitere Informationen finden Sie unter Google Cloud-Dienstkonto konfigurieren.
• Aktivieren Sie den privaten Google-Zugriff. Weitere Informationen finden Sie unter Privaten Google-Zugriff aktivieren.

Google Cloud APIs aktivieren

Um die Google Cloud-Funktionalität über Web Studio zu nutzen, aktivieren Sie diese APIs in Ihrem Google Cloud-Projekt:

• Compute Engine API
• Cloud Resource Manager API
• Identitäts- und Zugriffsverwaltung (IAM) API
• Cloud Build API

Führen Sie in der Google Cloud Console die folgenden Schritte aus:

1. Wählen Sie im Menü oben links APIs und Dienste > Dashboard.

   

2. Stellen Sie auf dem Bildschirm Dashboard sicher, dass die Compute Engine API aktiviert ist. Falls nicht, führen Sie die folgenden Schritte aus:

   1. Navigieren Sie zu APIs und Dienste > Bibliothek.

      

   2. Geben Sie im Suchfeld Compute Engine ein.

   3. Wählen Sie aus den Suchergebnissen Compute Engine API.

   4. Wählen Sie auf der Seite Compute Engine API die Option Aktivieren.

3. Aktivieren Sie die Cloud Resource Manager API.

   1. Navigieren Sie zu APIs und Dienste > Bibliothek.

   2. Geben Sie im Suchfeld Cloud Resource Manager ein.

   3. Wählen Sie aus den Suchergebnissen Cloud Resource Manager API.

   4. Wählen Sie auf der Seite Cloud Resource Manager API die Option Aktivieren. Der Status der API wird angezeigt.

4. Aktivieren Sie auf ähnliche Weise die Identity and Access Management (IAM) API und die Cloud Build API.

Sie können die Google Cloud Shell auch verwenden, um die APIs zu aktivieren. Gehen Sie dazu wie folgt vor:

1. Öffnen Sie die Google Console und laden Sie die Cloud Shell.

2. Führen Sie die folgenden vier Befehle in der Cloud Shell aus:

   • gcloud services aktivieren compute.googleapis.com
   • gcloud services aktivieren cloudresourcemanager.googleapis.com
   • gcloud Dienste aktivieren iam.googleapis.com
   • gcloud Dienste aktivieren cloudbuild.googleapis.com
3. Klicken Sie auf Autorisieren, wenn die Cloud Shell dazu auffordert.

Dienstkonten konfigurieren und aktualisieren

Hinweis:

CP führt Änderungen am Standardverhalten des Cloud Build-Dienstes und der Verwendung von Dienstkonten nach dem 29. April 2024 ein. Weitere Informationen finden Sie unter Änderung des Cloud Build-Dienstkontos. Ihre bestehenden Google-Projekte, bei denen die Cloud Build API vor dem 29. April 2024 aktiviert wurde, sind von dieser Änderung nicht betroffen. Wenn Sie jedoch das bestehende Verhalten des Cloud Build-Dienstes nach dem 29. April beibehalten möchten, können Sie die Organisationsrichtlinie erstellen oder anwenden, um die Erzwingung der Einschränkung zu deaktivieren, bevor Sie die Cloud Build API aktivieren. Daher ist der folgende Inhalt in zwei Abschnitte unterteilt: Vor dem 29. April 2024 und Nach dem 29. April 2024. Wenn Sie die neue Organisationsrichtlinie festlegen, folgen Sie dem Abschnitt Vor dem 29. April 2024.

Vor dem 29. April 2024

Citrix Cloud verwendet drei separate Dienstkonten innerhalb des Google Cloud-Projekts:

• Citrix Cloud-Dienstkonto: Dieses Dienstkonto ermöglicht Citrix Cloud den Zugriff auf das Google-Projekt sowie die Bereitstellung und Verwaltung von Maschinen. Dieses Dienstkonto authentifiziert sich bei Google Cloud mithilfe eines von Google Cloud generierten Schlüssels.

  Sie müssen dieses Dienstkonto manuell wie hier beschrieben erstellen. Weitere Informationen finden Sie unter Erstellen eines Citrix Cloud-Dienstkontos.

  Sie können dieses Dienstkonto anhand einer E-Mail-Adresse identifizieren. Zum Beispiel, <my-service-account>@<project-id>.iam.gserviceaccount.com.

• Cloud Build-Dienstkonto: Dieses Dienstkonto wird automatisch bereitgestellt, nachdem Sie alle in Google Cloud APIs aktivieren genannten APIs aktiviert haben. Um alle automatisch erstellten Dienstkonten anzuzeigen, navigieren Sie in der Google Cloud-Konsole zu IAM & Admin > IAM und aktivieren Sie das Kontrollkästchen Von Google bereitgestellte Rollenzuweisungen einschließen.

  Sie können dieses Dienstkonto anhand einer E-Mail-Adresse identifizieren, die mit der Projekt-ID und dem Wort cloudbuild beginnt. Zum Beispiel, <project-id>@cloudbuild.gserviceaccount.com

  Überprüfen Sie, ob dem Dienstkonto die folgenden Rollen zugewiesen wurden. Wenn Sie Rollen hinzufügen müssen, befolgen Sie die Schritte unter Rollen zum Cloud Build-Dienstkonto hinzufügen.

  • Cloud Build-Dienstkonto
  • Compute-Instanzadministrator
  • Dienstkontobenutzer

• Cloud Compute-Dienstkonto: Dieses Dienstkonto wird von Google Cloud zu Instanzen hinzugefügt, die in Google Cloud erstellt wurden, sobald die Compute API aktiviert ist. Dieses Konto hat die grundlegende IAM-Editorrolle, um die Operationen auszuführen. Wenn Sie jedoch die Standardberechtigung löschen, um eine granularere Kontrolle zu haben, müssen Sie eine Speicheradministrator-Rolle hinzufügen, die die folgenden Berechtigungen erfordert:

  • resourcemanager.projects.get
  • storage.objects.create
  • storage.objects.get
  • storage.objects.list

Sie können dieses Dienstkonto anhand einer E-Mail-Adresse identifizieren, die mit der Projekt-ID und dem Wort compute beginnt. Zum Beispiel, <project-id>-compute@developer.gserviceaccount.com.

Citrix Cloud-Dienstkonto erstellen

Gehen Sie wie folgt vor, um ein Citrix Cloud-Dienstkonto zu erstellen:

1. Navigieren Sie in der Google Cloud Console zu IAM & Admin > Service accounts.
2. Wählen Sie auf der Seite Service accounts die Option CREATE SERVICE ACCOUNT.
3. Geben Sie auf der Seite Create service account die erforderlichen Informationen ein und wählen Sie dann CREATE AND CONTINUE.

4. Klicken Sie auf der Seite Grant this service account access to project auf das Dropdown-Menü Select a role und wählen Sie die erforderlichen Rollen aus. Klicken Sie auf +ADD ANOTHER ROLE, wenn Sie weitere Rollen hinzufügen möchten.

   Jedes Konto (persönlich oder Dienstkonto) hat verschiedene Rollen, die die Verwaltung des Projekts definieren. Weisen Sie diesem Dienstkonto die folgenden Rollen zu:

   • Compute-Administrator
   • Speicher-Administrator
   • Cloud Build-Editor
   • Dienstkontobenutzer
   • Cloud Datastore-Benutzer
   • Cloud KMS Krypto-Operator

   Der Cloud KMS Krypto-Operator erfordert die folgenden Berechtigungen:

   • cloudkms.cryptoKeys.get
   • cloudkms.cryptoKeys.list
   • cloudkms.keyRings.get
   • cloudkms.keyRings.list

   Hinweis:

   Aktivieren Sie alle APIs, um die vollständige Liste der verfügbaren Rollen beim Erstellen eines neuen Dienstkontos abzurufen.

5. Klicken Sie auf CONTINUE
6. Fügen Sie auf der Seite Grant users access to this service account Benutzer oder Gruppen hinzu, um ihnen Zugriff zum Ausführen von Aktionen in diesem Dienstkonto zu gewähren.
7. Klicken Sie auf DONE.
8. Navigieren Sie zur IAM-Hauptkonsole.
9. Identifizieren Sie das erstellte Dienstkonto.
10. Überprüfen Sie, ob die Rollen erfolgreich zugewiesen wurden.

Überlegungen:

Beachten Sie beim Erstellen des Dienstkontos Folgendes:

• Die Schritte Grant this service account access to project und Grant users access to this service account sind optional. Wenn Sie diese optionalen Konfigurationsschritte überspringen, wird das neu erstellte Dienstkonto nicht auf der Seite IAM & Admin > IAM angezeigt.
• Um die einem Dienstkonto zugeordneten Rollen anzuzeigen, fügen Sie die Rollen hinzu, ohne die optionalen Schritte zu überspringen. Dieser Prozess stellt sicher, dass die Rollen für das konfigurierte Dienstkonto angezeigt werden.

Citrix Cloud-Dienstkontoschlüssel

Der Citrix Cloud-Dienstkontoschlüssel ist erforderlich, um eine Verbindung in Citrix DaaS herzustellen. Der Schlüssel ist in einer Anmeldeinformationsdatei (.json) enthalten. Die Datei wird nach dem Erstellen des Schlüssels automatisch heruntergeladen und im Ordner Downloads gespeichert. Stellen Sie beim Erstellen des Schlüssels sicher, dass der Schlüsseltyp auf JSON eingestellt ist. Andernfalls kann Web Studio ihn nicht analysieren.

Um einen Dienstkontoschlüssel zu erstellen, navigieren Sie zu IAM & Admin > Dienstkonten und klicken Sie auf die E-Mail-Adresse des Citrix Cloud-Dienstkontos. Wechseln Sie zur Registerkarte Schlüssel und wählen Sie Schlüssel hinzufügen > Neuen Schlüssel erstellen. Stellen Sie sicher, dass Sie JSON als Schlüsseltyp auswählen.

Tipp:

Erstellen Sie Schlüssel über die Seite Dienstkonten in der Google Cloud Console. Wir empfehlen Ihnen, Schlüssel aus Sicherheitsgründen regelmäßig zu ändern. Sie können der Anwendung Citrix Virtual Apps and Desktops neue Schlüssel bereitstellen, indem Sie eine vorhandene Google Cloud-Verbindung bearbeiten.

Rollen zum Citrix Cloud-Dienstkonto hinzufügen

So fügen Sie dem Citrix Cloud-Dienstkonto Rollen hinzu:

1. Navigieren Sie in der Google Cloud Console zu IAM & Admin > IAM.

2. Suchen Sie auf der Seite IAM > BERECHTIGUNGEN das von Ihnen erstellte Dienstkonto, das anhand einer E-Mail-Adresse identifizierbar ist.

   Zum Beispiel: <my-service-account>@<project-id>.iam.gserviceaccount.com

3. Wählen Sie das Bleistiftsymbol aus, um den Zugriff auf den Prinzipal des Dienstkontos zu bearbeiten.
4. Wählen Sie auf der Seite Zugriff auf „Projekt-ID“ bearbeiten für die ausgewählte Prinzipaloption WEITERE ROLLE HINZUFÜGEN, um die erforderlichen Rollen einzeln zu Ihrem Dienstkonto hinzuzufügen, und wählen Sie dann SPEICHERN.

Rollen zum Cloud Build-Dienstkonto hinzufügen

So fügen Sie dem Cloud Build-Dienstkonto Rollen hinzu:

1. Navigieren Sie in der Google Cloud Console zu IAM & Admin > IAM.

2. Suchen Sie auf der Seite IAM das Cloud Build-Dienstkonto, das anhand einer E-Mail-Adresse identifizierbar ist, die mit der Projekt-ID und dem Wort cloudbuild beginnt.

   Zum Beispiel: <project-id>@cloudbuild.gserviceaccount.com

3. Wählen Sie das Bleistiftsymbol aus, um die Rollen des Cloud Build-Kontos zu bearbeiten.

4. Wählen Sie auf der Seite Zugriff auf „project-id“ bearbeiten für die ausgewählte Prinzipaloption die Option WEITERE ROLLE HINZUFÜGEN aus, um die erforderlichen Rollen einzeln zu Ihrem Cloud Build-Dienstkonto hinzuzufügen, und wählen Sie dann SPEICHERN.

   Hinweis:

   Aktivieren Sie alle APIs, um die vollständige Liste der Rollen zu erhalten.

Nach dem 29. April 2024

Citrix Cloud verwendet zwei separate Dienstkonten innerhalb des Google Cloud-Projekts:

• Citrix Cloud-Dienstkonto: Dieses Dienstkonto ermöglicht Citrix Cloud den Zugriff auf das Google-Projekt, die Bereitstellung und Verwaltung von Maschinen. Dieses Dienstkonto authentifiziert sich bei Google Cloud mithilfe eines von Google Cloud generierten Schlüssels.

  Sie müssen dieses Dienstkonto manuell erstellen.

  Sie können dieses Dienstkonto anhand einer E-Mail-Adresse identifizieren. Zum Beispiel <my-service-account>@<project-id>.iam.gserviceaccount.com.

• Cloud Compute-Dienstkonto: Dieses Dienstkonto wird automatisch bereitgestellt, nachdem Sie alle in Google Cloud APIs aktivieren genannten APIs aktiviert haben. Um alle automatisch erstellten Dienstkonten anzuzeigen, navigieren Sie in der Google Cloud-Konsole zu IAM & Admin > IAM und aktivieren Sie das Kontrollkästchen Google-provided role grants einschließen. Dieses Konto verfügt über die grundlegende IAM-Editorrolle, um die Vorgänge auszuführen. Wenn Sie jedoch die Standardberechtigung löschen, um eine granularere Kontrolle zu erhalten, müssen Sie die Rolle Storage Admin hinzufügen, die die folgenden Berechtigungen erfordert:

  • resourcemanager.projects.get
  • storage.objects.create
  • storage.objects.get
  • storage.objects.list

  Sie können dieses Dienstkonto anhand einer E-Mail-Adresse identifizieren, die mit der Projekt-ID und dem Wort compute beginnt. Zum Beispiel <project-id>-compute@developer.gserviceaccount.com.

  Überprüfen Sie, ob dem Dienstkonto die folgenden Rollen zugewiesen wurden.

  • Cloud Build-Dienstkonto
  • Compute-Instanz-Administrator
  • Dienstkontobenutzer

Erstellen eines Citrix Cloud-Dienstkontos

Führen Sie die folgenden Schritte aus, um ein Citrix Cloud-Dienstkonto zu erstellen:

1. Navigieren Sie in der Google Cloud Console zu IAM & Admin > Service accounts.
2. Wählen Sie auf der Seite Service accounts die Option CREATE SERVICE ACCOUNT.
3. Geben Sie auf der Seite Create service account die erforderlichen Informationen ein und wählen Sie dann CREATE AND CONTINUE.

4. Klicken Sie auf der Seite Grant this service account access to project auf das Dropdown-Menü Select a role und wählen Sie die erforderlichen Rollen aus. Klicken Sie auf +ADD ANOTHER ROLE, wenn Sie weitere Rollen hinzufügen möchten.

   Jedes Konto (persönlich oder Dienstkonto) verfügt über verschiedene Rollen, die die Verwaltung des Projekts definieren. Weisen Sie diesem Dienstkonto die folgenden Rollen zu:

   • Compute-Administrator
   • Speicher-Administrator
   • Cloud Build-Editor
   • Dienstkontobenutzer
   • Cloud Datastore-Benutzer
   • Cloud KMS Crypto Operator

   Der Cloud KMS Crypto Operator erfordert die folgenden Berechtigungen:

   • cloudkms.cryptoKeys.get
   • cloudkms.cryptoKeys.list
   • cloudkms.keyRings.get
   • cloudkms.keyRings.list

   Hinweis:

   Aktivieren Sie alle APIs, um die vollständige Liste der verfügbaren Rollen beim Erstellen eines neuen Dienstkontos zu erhalten.

5. Klicken Sie auf WEITER
6. Fügen Sie auf der Seite Benutzern Zugriff auf dieses Dienstkonto gewähren Benutzer oder Gruppen hinzu, um ihnen Zugriff zum Ausführen von Aktionen in diesem Dienstkonto zu gewähren.
7. Klicken Sie auf FERTIG.
8. Navigieren Sie zur IAM-Hauptkonsole.
9. Identifizieren Sie das erstellte Dienstkonto.
10. Überprüfen Sie, ob die Rollen erfolgreich zugewiesen wurden.

Überlegungen:

Beachten Sie beim Erstellen des Dienstkontos Folgendes:

• Die Schritte Diesem Dienstkonto Zugriff auf das Projekt gewähren und Benutzern Zugriff auf dieses Dienstkonto gewähren sind optional. Wenn Sie diese optionalen Konfigurationsschritte überspringen, wird das neu erstellte Dienstkonto nicht auf der Seite IAM & Admin > IAM angezeigt.
• Um einem Dienstkonto zugeordnete Rollen anzuzeigen, fügen Sie die Rollen hinzu, ohne die optionalen Schritte zu überspringen. Dieser Prozess stellt sicher, dass die Rollen für das konfigurierte Dienstkonto angezeigt werden.

Citrix Cloud-Dienstkontoschlüssel

Der Citrix Cloud-Dienstkontoschlüssel ist für die Erstellung einer Verbindung in Citrix DaaS erforderlich. Der Schlüssel ist in einer Anmeldeinformationsdatei (.json) enthalten. Die Datei wird nach dem Erstellen des Schlüssels automatisch heruntergeladen und im Ordner Downloads gespeichert. Stellen Sie beim Erstellen des Schlüssels sicher, dass der Schlüsseltyp auf JSON eingestellt ist. Andernfalls kann Web Studio ihn nicht analysieren.

Um einen Dienstkontoschlüssel zu erstellen, navigieren Sie zu IAM & Admin > Dienstkonten und klicken Sie auf die E-Mail-Adresse des Citrix Cloud-Dienstkontos. Wechseln Sie zur Registerkarte Schlüssel und wählen Sie Schlüssel hinzufügen > Neuen Schlüssel erstellen. Stellen Sie sicher, dass Sie JSON als Schlüsseltyp auswählen.

Tipp:

Erstellen Sie Schlüssel über die Seite Dienstkonten in der Google Cloud Console. Wir empfehlen Ihnen, Schlüssel aus Sicherheitsgründen regelmäßig zu ändern. Sie können der Citrix Virtual Apps and Desktops-Anwendung neue Schlüssel bereitstellen, indem Sie eine vorhandene Google Cloud-Verbindung bearbeiten.

Rollen zum Citrix Cloud-Dienstkonto hinzufügen

So fügen Sie dem Citrix Cloud-Dienstkonto Rollen hinzu:

1. Navigieren Sie in der Google Cloud Console zu IAM & Admin > IAM.

2. Suchen Sie auf der Seite IAM > BERECHTIGUNGEN das von Ihnen erstellte Dienstkonto, das anhand einer E-Mail-Adresse identifizierbar ist.

   Zum Beispiel <my-service-account>@<project-id>.iam.gserviceaccount.com

3. Wählen Sie das Bleistiftsymbol aus, um den Zugriff auf den Prinzipal des Dienstkontos zu bearbeiten.
4. Wählen Sie auf der Seite Zugriff auf „project-id“ bearbeiten für die ausgewählte Prinzipaloption ADD ANOTHER ROLE, um die erforderlichen Rollen einzeln Ihrem Dienstkonto hinzuzufügen, und wählen Sie dann SAVE.

Rollen zum Cloud Compute-Dienstkonto hinzufügen

So fügen Sie dem Cloud Compute-Dienstkonto Rollen hinzu:

1. Navigieren Sie in der Google Cloud Console zu IAM & Admin > IAM.

2. Suchen Sie auf der Seite IAM das Cloud Compute-Dienstkonto, das an einer E-Mail-Adresse erkennbar ist, die mit der Project ID und dem Wort compute beginnt.

   Zum Beispiel, <project-id>-compute@developer.gserviceaccount.com

3. Wählen Sie das Bleistiftsymbol, um die Rollen des Cloud Build-Kontos zu bearbeiten.

4. Wählen Sie auf der Seite Zugriff auf „project-id“ bearbeiten für die ausgewählte Prinzipaloption ADD ANOTHER ROLE, um die erforderlichen Rollen einzeln Ihrem Cloud Build-Dienstkonto hinzuzufügen, und wählen Sie dann SAVE.

   Hinweis:

   Aktivieren Sie alle APIs, um die vollständige Liste der Rollen zu erhalten.

Speicherberechtigungen und Bucket-Verwaltung

Citrix DaaS verbessert den Prozess der Meldung von Cloud-Build-Fehlern für den Google Cloud-Dienst. Dieser Dienst führt Builds in der Google Cloud aus. Citrix DaaS erstellt einen Speicher-Bucket namens citrix-mcs-cloud-build-logs-{region}-{5 random characters}, in dem die Google Cloud-Dienste Build-Protokollinformationen erfassen. Für diesen Bucket ist eine Option festgelegt, die den Inhalt nach 30 Tagen löscht. Dieser Prozess erfordert, dass das für die Verbindung verwendete Dienstkonto Google Cloud-Berechtigungen auf storage.buckets.update gesetzt hat. Wenn das Dienstkonto diese Berechtigung nicht hat, ignoriert Citrix DaaS Fehler und fährt mit dem Katalogerstellungsprozess fort. Ohne diese Berechtigung erhöht sich die Größe der Build-Protokolle und erfordert eine manuelle Bereinigung.

Privaten Google-Zugriff aktivieren

Wenn einer VM keine externe IP-Adresse für ihre Netzwerkschnittstelle zugewiesen ist, werden Pakete nur an andere interne IP-Adressziele gesendet. Wenn Sie den privaten Zugriff aktivieren, stellt die VM eine Verbindung zu den externen IP-Adressen her, die von der Google API und den zugehörigen Diensten verwendet werden.

Hinweis:

Unabhängig davon, ob der private Google-Zugriff aktiviert ist, müssen alle VMs mit und ohne öffentliche IP-Adressen auf die öffentlichen Google-APIs zugreifen können, insbesondere wenn Netzwerkgeräte von Drittanbietern in der Umgebung installiert wurden.

Um sicherzustellen, dass eine VM in Ihrem Subnetz ohne öffentliche IP-Adresse für die MCS-Bereitstellung auf die Google APIs zugreifen kann:

1. Greifen Sie in Google Cloud auf die VPC-Netzwerkkonfiguration zu.
2. Aktivieren Sie im Bildschirm mit den Subnetzdetails den privaten Google-Zugriff.

Weitere Informationen finden Sie unter Privaten Google-Zugriff konfigurieren.

Wichtig:

Wenn Ihr Netzwerk so konfiguriert ist, dass der VM-Zugriff auf das Internet verhindert wird, stellen Sie sicher, dass Ihre Organisation die Risiken übernimmt, die mit der Aktivierung des privaten Google-Zugriffs für das Subnetz verbunden sind, mit dem die VM verbunden ist.

Verbindung hinzufügen

Befolgen Sie die Anweisungen unter Verbindung und Ressourcen erstellen. Die folgende Beschreibung führt Sie durch die Einrichtung einer Hosting-Verbindung:

1. Wählen Sie unter Verwalten > Konfiguration im linken Bereich Hosting aus.

2. Wählen Sie in der Aktionsleiste Verbindung und Ressourcen hinzufügen aus.

3. Wählen Sie auf der Seite Verbindung die Optionen Neue Verbindung erstellen und Citrix Provisioning™-Tools aus, und wählen Sie dann Weiter.

   • Verbindungstyp. Wählen Sie im Menü Google Cloud aus.
   • Verbindungsname. Geben Sie einen Namen für die Verbindung ein.

4. Auf der Seite Region wählen Sie einen Projektnamen aus dem Menü, wählen Sie eine Region aus, die die Ressourcen enthält, die Sie verwenden möchten, und wählen Sie dann Weiter.

5. Auf der Seite Netzwerk geben Sie einen Namen für die Ressourcen ein, wählen Sie ein virtuelles Netzwerk aus dem Menü, wählen Sie ein Subnetz und wählen Sie dann Weiter. Der Ressourcenname hilft, die Kombination aus Region und Netzwerk zu identifizieren. Virtuelle Netzwerke, an deren Namen der Suffix (Shared) angehängt ist, stellen freigegebene VPCs dar. Wenn Sie eine IAM-Rolle auf Subnetzebene für eine freigegebene VPC konfigurieren, werden nur bestimmte Subnetze der freigegebenen VPC in der Subnetzliste angezeigt.

   Hinweis:

   • Der Ressourcenname kann 1–64 Zeichen enthalten und darf nicht nur Leerzeichen oder die Zeichen \ / ; : # . * ? = < > | [ ] { } " ' ( ) ' ) enthalten.

6. Auf der Seite Zusammenfassung bestätigen Sie die Informationen und wählen Sie dann Fertig stellen, um das Fenster Verbindung und Ressourcen hinzufügen zu schließen.

Nachdem Sie die Verbindung und die Ressourcen erstellt haben, werden die von Ihnen erstellten Verbindungen und Ressourcen aufgelistet. Um die Verbindung zu konfigurieren, wählen Sie die Verbindung und dann die entsprechende Option in der Aktionsleiste aus.

Ähnlich können Sie die unter der Verbindung erstellten Ressourcen löschen, umbenennen oder testen. Wählen Sie dazu die Ressource unter der Verbindung und dann die entsprechende Option in der Aktionsleiste aus.

Master-VM-Instanz und persistente Festplatte vorbereiten

Tipp:

Persistente Festplatte ist der Google Cloud-Begriff für virtuelle Festplatte.

Um Ihre Master-VM-Instanz vorzubereiten, erstellen und konfigurieren Sie eine VM-Instanz mit Eigenschaften, die der gewünschten Konfiguration für die geklonten VDA-Instanzen in Ihrem geplanten Maschinenkatalog entsprechen. Die Konfiguration gilt nicht nur für die Instanzgröße und den Typ. Sie umfasst auch Instanzattribute wie Metadaten, Tags, GPU-Zuweisungen, Netzwerk-Tags und Dienstkontoeigenschaften.

Im Rahmen des Master-Prozesses verwendet MCS Ihre Master-VM-Instanz, um die Google Cloud-Instanzvorlage zu erstellen. Die Instanzvorlage wird dann verwendet, um die geklonten VDA-Instanzen zu erstellen, die den Maschinenkatalog bilden. Geklonte Instanzen erben die Eigenschaften (mit Ausnahme der VPC-, Subnetz- und persistenten Festplatten-Eigenschaften) der Master-VM-Instanz, aus der die Instanzvorlage erstellt wurde.

Nachdem Sie die Eigenschaften der Master-VM-Instanz nach Ihren Vorgaben konfiguriert haben, starten Sie die Instanz und bereiten Sie dann die persistente Festplatte für die Instanz vor.

Wir empfehlen, manuell einen Snapshot der Festplatte zu erstellen. Dadurch können Sie eine aussagekräftige Namenskonvention verwenden, um Versionen zu verfolgen, bietet Ihnen mehr Optionen zur Verwaltung früherer Versionen Ihres Master-Images und spart Zeit bei der Erstellung von Maschinenkatalogen. Wenn Sie keinen eigenen Snapshot erstellen, erstellt MCS einen temporären Snapshot für Sie (der am Ende des Bereitstellungsprozesses gelöscht wird).

Maschinenkatalog erstellen

Hinweis:

Erstellen Sie Ihre Ressourcen, bevor Sie einen Maschinenkatalog erstellen. Verwenden Sie beim Konfigurieren von Maschinenkatalogen die von Google Cloud festgelegten Benennungskonventionen. Weitere Informationen finden Sie unter Richtlinien für die Benennung von Buckets und Objekten.

Befolgen Sie die Anweisungen unter Maschinenkataloge erstellen. Derzeit unterstützt Studio das Erstellen von Google Cloud-Katalogen nicht. Verwenden Sie stattdessen PowerShell.

Maschinenkatalog verwalten

Informationen zum Hinzufügen von Maschinen zu einem Katalog, zum Aktualisieren von Maschinen und zum Rückgängigmachen eines Updates finden Sie unter Maschinenkataloge verwalten.

Energieverwaltung

Citrix DaaS ermöglicht die Energieverwaltung von Google Cloud-Maschinen. Verwenden Sie den Knoten Suchen im Navigationsbereich, um die Maschine zu finden, deren Energie Sie verwalten möchten. Die folgenden Energieaktionen sind verfügbar:

• Löschen
• Starten
• Neustart
• Neustart erzwingen
• Herunterfahren
• Herunterfahren erzwingen
• Zu Bereitstellungsgruppe hinzufügen
• Tags verwalten
• Wartungsmodus aktivieren

Sie können Google Cloud-Maschinen auch mit Autoscale energieverwalten. Fügen Sie dazu die Google Cloud-Maschinen einer Bereitstellungsgruppe hinzu und aktivieren Sie dann Autoscale für diese Bereitstellungsgruppe. Weitere Informationen zu Autoscale finden Sie unter Autoscale.

Versehentliches Löschen von Maschinen verhindern

Mit Citrix DaaS können Sie MCS-Ressourcen in der Google Cloud vor versehentlichem Löschen schützen. Konfigurieren Sie die bereitgestellte VM, indem Sie das Flag deletionProtection auf TRUE setzen.

Standardmäßig werden VMs, die über MCS oder das Google Cloud-Plug-in bereitgestellt werden, mit aktivierter InstanceProtection erstellt. Die Implementierung gilt sowohl für persistente als auch für nicht-persistente Kataloge. Die nicht-persistente Kataloge werden aktualisiert, wenn die Instanzen aus der Vorlage neu erstellt werden. Für vorhandene persistente Maschinen können Sie das Flag in der Google Cloud Console festlegen. Weitere Informationen zum Festlegen des Flags finden Sie auf der Google-Dokumentationsseite. Neue Maschinen, die zu persistenten Katalogen hinzugefügt werden, werden mit aktiviertem deletionProtection erstellt.

Wenn Sie versuchen, eine VM-Instanz zu löschen, für die Sie das Flag deletionProtection gesetzt haben, schlägt die Anforderung fehl. Wenn Ihnen jedoch die Berechtigung compute.instances.setDeletionProtection erteilt oder die IAM-Rolle Compute Admin zugewiesen wurde, können Sie das Flag zurücksetzen, um das Löschen der Ressource zuzulassen.

Manuell erstellte Google Cloud-Maschinen importieren

Sie können eine Verbindung zu Google Cloud herstellen und dann einen Katalog mit Google Cloud-Maschinen erstellen. Anschließend können Sie Google Cloud-Maschinen manuell über Citrix DaaS neu starten. Mit dieser Funktion können Sie:

• Manuell erstellte Google Cloud-Multi-Session-OS-Maschinen in einen Citrix Virtual Apps and Desktops-Maschinenkatalog importieren.
• Manuell erstellte Google Cloud-Multi-Session-OS-Maschinen aus einem Citrix Virtual Apps and Desktops-Katalog entfernen.
• Vorhandene Energieverwaltungsfunktionen von Citrix Virtual Apps and Desktops verwenden, um Google Cloud Windows-Multi-Session-OS-Maschinen energiezuverwalten. Legen Sie beispielsweise einen Neustartzeitplan für diese Maschinen fest.

Diese Funktionalität erfordert keine Änderungen an einem bestehenden Citrix Virtual Apps and Desktops-Bereitstellungsworkflow und auch keine Entfernung bestehender Funktionen. Wir empfehlen, MCS zum Bereitstellen von Maschinen in Web Studio zu verwenden, anstatt manuell erstellte Google Cloud-Maschinen zu importieren.

Shared Virtual Private Cloud

Shared Virtual Private Clouds (VPCs) bestehen aus einem Hostprojekt, von dem aus die gemeinsam genutzten Subnetze zur Verfügung gestellt werden, und einem oder mehreren Dienstprojekten, die die Ressource nutzen. Shared VPCs sind wünschenswerte Optionen für größere Installationen, da sie eine zentralisierte Steuerung, Nutzung und Verwaltung gemeinsam genutzter Google Cloud-Ressourcen des Unternehmens ermöglichen. Weitere Informationen finden Sie auf der Google-Dokumentationsseite.

Mit dieser Funktion unterstützt Machine Creation Services™ (MCS) die Bereitstellung und Verwaltung von Maschinenkatalogen, die in Shared VPCs bereitgestellt werden. Diese Unterstützung, die funktional der derzeit in lokalen VPCs bereitgestellten Unterstützung entspricht, unterscheidet sich in zwei Bereichen:

1. Sie müssen dem Service Account, der zum Erstellen der Hostverbindung verwendet wird, zusätzliche Berechtigungen erteilen. Dieser Prozess ermöglicht MCS den Zugriff auf und die Nutzung von Shared VPC-Ressourcen.
2. Sie müssen zwei Firewallregeln erstellen, jeweils eine für Ingress und Egress. Diese Firewallregeln werden während des Image-Mastering-Prozesses verwendet.

Neue Berechtigungen erforderlich

Ein Google Cloud-Dienstkonto mit spezifischen Berechtigungen ist erforderlich, wenn die Hostverbindung erstellt wird. Diese zusätzlichen Berechtigungen müssen allen Dienstkonten erteilt werden, die zum Erstellen von Shared VPC-basierten Hostverbindungen verwendet werden.

Tipp:

Diese zusätzlichen Berechtigungen sind für Citrix DaaS nicht neu. Sie werden verwendet, um die Implementierung lokaler VPCs zu erleichtern. Mit Shared VPCs ermöglichen diese zusätzlichen Berechtigungen den Zugriff auf andere freigegebene VPC-Ressourcen.

Maximal vier zusätzliche Berechtigungen müssen dem Dienstkonto, das der Hostverbindung zugeordnet ist, erteilt werden, um Shared VPC zu unterstützen:

1. compute.firewalls.list – Diese Berechtigung ist obligatorisch. Sie ermöglicht MCS, die Liste der auf der Shared VPC vorhandenen Firewallregeln abzurufen.
2. compute.networks.list – Diese Berechtigung ist obligatorisch. Sie ermöglicht MCS, die für das Dienstkonto verfügbaren Shared VPC-Netzwerke zu identifizieren.
3. compute.subnetworks.list – Diese Berechtigung ist optional, je nachdem, wie Sie VPCs verwenden. Sie ermöglicht MCS, die Subnetze innerhalb der sichtbaren Shared VPCs zu identifizieren. Diese Berechtigung ist bereits bei der Verwendung lokaler VPCs erforderlich, muss aber auch im Shared VPC-Hostprojekt zugewiesen werden.
4. compute.subnetworks.use – Diese Berechtigung ist optional, je nachdem, wie Sie VPCs verwenden. Sie ist erforderlich, um Subnetzressourcen in den bereitgestellten Maschinenkatalogen zu verwenden. Diese Berechtigung ist bereits für die Verwendung lokaler VPCs erforderlich, muss aber auch im Shared VPC-Hostprojekt zugewiesen werden.

Bei der Verwendung dieser Berechtigungen ist zu beachten, dass es unterschiedliche Ansätze gibt, je nach dem Typ der Berechtigung, die zum Erstellen des Maschinenkatalogs verwendet wird:

• Berechtigung auf Projektebene:
  • Ermöglicht den Zugriff auf alle Shared VPCs innerhalb des Hostprojekts.
  • Erfordert, dass die Berechtigungen #3 und #4 dem Dienstkonto zugewiesen werden müssen.
• Berechtigung auf Subnetz-Ebene:
  • Ermöglicht den Zugriff auf bestimmte Subnetze innerhalb des Shared VPC.
  • Die Berechtigungen #3 und #4 sind der Zuweisung auf Subnetzebene inhärent und müssen daher nicht direkt dem Dienstkonto zugewiesen werden.

Wählen Sie den Ansatz, der Ihren organisatorischen Anforderungen und Sicherheitsstandards entspricht.

Tipp:

Weitere Informationen zu den Unterschieden zwischen Berechtigungen auf Projektebene und Subnetzebene finden Sie in der Google Cloud-Dokumentation.

Firewallregeln

Während der Vorbereitung eines Maschinenkatalogs wird ein Maschinenimage vorbereitet, das als Systemdatenträger des Masterimages für den Katalog dient. Bei diesem Vorgang wird der Datenträger vorübergehend an eine virtuelle Maschine angehängt. Diese VM muss in einer isolierten Umgebung ausgeführt werden, die jeglichen eingehenden und ausgehenden Netzwerkverkehr verhindert. Dies wird durch ein Paar von Deny-All-Firewallregeln erreicht; eine für eingehenden und eine für ausgehenden Datenverkehr. Bei Verwendung von lokalen Google Cloud VCPs erstellt MCS diese Firewall im lokalen Netzwerk und wendet sie auf die Maschine zur Mastererstellung an. Nach Abschluss der Mastererstellung wird die Firewallregel aus dem Image entfernt.

Wir empfehlen, die Anzahl der neuen Berechtigungen, die für die Verwendung von Shared VPCs erforderlich sind, auf ein Minimum zu beschränken. Shared VPCs sind übergeordnete Unternehmensressourcen und unterliegen in der Regel strengeren Sicherheitsprotokollen. Erstellen Sie aus diesem Grund ein Paar von Firewallregeln im Hostprojekt für die Shared VPC-Ressourcen, eine für eingehenden und eine für ausgehenden Datenverkehr. Weisen Sie ihnen die höchste Priorität zu. Wenden Sie auf jede dieser Regeln ein neues Ziel-Tag mit dem folgenden Wert an:

citrix-provisioning-quarantine-firewall

Wenn MCS einen Maschinenkatalog erstellt oder aktualisiert, sucht es nach Firewallregeln, die dieses Ziel-Tag enthalten. Es überprüft dann die Regeln auf Korrektheit und wendet sie auf die Maschine an, die zur Vorbereitung des Masterimages für den Katalog verwendet wird. Wenn die Firewallregeln nicht gefunden werden oder die Regeln gefunden werden, aber die Regeln oder ihre Prioritäten falsch sind, wird eine ähnliche Meldung wie die folgende angezeigt:

"Unable to find valid INGRESS and EGRESS quarantine firewall rules for VPC <name> in project <project>. " Please ensure you have created 'deny all' firewall rules with the network tag 'citrix-provisioning-quarantine-firewall' and proper priority." "Refer to Citrix Documentation for details."

Konfigurieren des Shared VPC

Bevor Sie den Shared VPC als Hostverbindung in Web Studio hinzufügen, führen Sie die folgenden Schritte aus, um Dienstkonten aus dem Projekt hinzuzufügen, in das Sie bereitstellen möchten:

1. Erstellen Sie eine IAM-Rolle.
2. Fügen Sie das Dienstkonto, das zum Erstellen einer CVAD-Hostverbindung verwendet wird, der IAM-Rolle des Shared VPC-Hostprojekts hinzu.
3. Fügen Sie das Cloud Build-Dienstkonto aus dem Projekt, in dem Sie bereitstellen möchten, der IAM-Rolle des Shared VPC-Hostprojekts hinzu.
4. Firewallregeln erstellen.

Eine IAM-Rolle erstellen

Bestimmen Sie die Zugriffsebene der Rolle – projektbezogener Zugriff oder ein eingeschränkteres Modell mit subnetzbezogenem Zugriff.

Projektbezogener Zugriff für die IAM-Rolle. Für die projektbezogene IAM-Rolle schließen Sie die folgenden Berechtigungen ein:

• compute.firewalls.list
• compute.networks.list
• compute.subnetworks.list
• compute.subnetworks.use

So erstellen Sie eine projektbezogene IAM-Rolle:

1. Navigieren Sie in der Google Cloud Console zu IAM & Admin > Rollen.
2. Wählen Sie auf der Seite Rollen die Option ROLLE ERSTELLEN.
3. Geben Sie auf der Seite Rolle erstellen den Rollennamen an. Wählen Sie BERECHTIGUNGEN HINZUFÜGEN.
   1. Fügen Sie auf der Seite Berechtigungen hinzufügen der Rolle einzeln Berechtigungen hinzu. Um eine Berechtigung hinzuzufügen, geben Sie den Namen der Berechtigung in das Feld Tabelle filtern ein. Wählen Sie die Berechtigung aus und wählen Sie dann HINZUFÜGEN.
   2. Wählen Sie ERSTELLEN.

IAM-Rolle auf Subnetz-Ebene. Diese Rolle lässt das Hinzufügen der Berechtigungen compute.subnetworks.list und compute.subnetworks.use nach der Auswahl von ROLLE ERSTELLEN weg. Für diese IAM-Zugriffsebene müssen die Berechtigungen compute.firewalls.list und compute.networks.list auf die neue Rolle angewendet werden.

So erstellen Sie eine IAM-Rolle auf Subnetz-Ebene:

1. Navigieren Sie in der Google Cloud Console zu VPC network > Shared VPC. Die Seite Shared VPC wird angezeigt und zeigt die Subnetze der Shared VPC-Netzwerke an, die das Hostprojekt enthält.
2. Wählen Sie auf der Seite Shared VPC das Subnetz aus, auf das Sie zugreifen möchten.
3. Wählen Sie oben rechts MITGLIED HINZUFÜGEN, um ein Dienstkonto hinzuzufügen.
4. Führen Sie auf der Seite Mitglieder hinzufügen die folgenden Schritte aus:
   1. Geben Sie im Feld Neue Mitglieder den Namen Ihres Dienstkontos ein und wählen Sie dann Ihr Dienstkonto im Menü aus.
   2. Wählen Sie das Feld Rolle auswählen und dann Compute Network User.
   3. Wählen Sie SPEICHERN.
5. Navigieren Sie in der Google Cloud Console zu IAM & Admin > Rollen.
6. Wählen Sie auf der Seite Rollen die Option ROLLE ERSTELLEN.
7. Geben Sie auf der Seite Rolle erstellen den Rollennamen an. Wählen Sie BERECHTIGUNGEN HINZUFÜGEN.
   1. Fügen Sie auf der Seite Berechtigungen hinzufügen die Berechtigungen einzeln zur Rolle hinzu. Um eine Berechtigung hinzuzufügen, geben Sie den Namen der Berechtigung in das Feld Tabelle filtern ein. Wählen Sie die Berechtigung aus und wählen Sie dann HINZUFÜGEN.
   2. Wählen Sie ERSTELLEN.

Dienstkonto zur IAM-Rolle des Hostprojekts hinzufügen

Nachdem Sie eine IAM-Rolle erstellt haben, führen Sie die folgenden Schritte aus, um ein Dienstkonto für das Hostprojekt hinzuzufügen:

1. Navigieren Sie in der Google Cloud Console zum Hostprojekt und dann zu IAM & Admin > IAM.
2. Wählen Sie auf der Seite IAM die Option HINZUFÜGEN, um ein Dienstkonto hinzuzufügen.
3. Auf der Seite Mitglieder hinzufügen:
   1. Geben Sie im Feld Neue Mitglieder den Namen Ihres Dienstkontos ein und wählen Sie dann Ihr Dienstkonto im Menü aus.
   2. Wählen Sie ein Rollenfeld aus, geben Sie die von Ihnen erstellte IAM-Rolle ein und wählen Sie dann die Rolle im Menü aus.
   3. Wählen Sie SPEICHERN.

Das Dienstkonto ist jetzt für das Hostprojekt konfiguriert.

Das Cloud Build-Dienstkonto zur freigegebenen VPC hinzufügen

Jedes Google Cloud-Abonnement hat ein Dienstkonto, das nach der Projekt-ID-Nummer benannt ist, gefolgt von cloudbuild.gserviceaccount. Beispiel: 705794712345@cloudbuild.gserviceaccount.

Sie können die Projekt-ID-Nummer für Ihr Projekt ermitteln, indem Sie in der Google Cloud Console Startseite und Dashboard auswählen:

Suchen Sie die Projektnummer unter dem Bereich Projektinformationen des Bildschirms.

Führen Sie die folgenden Schritte aus, um das Cloud Build-Dienstkonto zur freigegebenen VPC hinzuzufügen:

1. Navigieren Sie in der Google Cloud Console zum Hostprojekt und dann zu IAM & Admin > IAM.
2. Wählen Sie auf der Seite Berechtigungen die Option HINZUFÜGEN, um ein Konto hinzuzufügen.
3. Führen Sie auf der Seite Mitglieder hinzufügen die folgenden Schritte aus:
   1. Geben Sie im Feld Neue Mitglieder den Namen des Cloud Build-Dienstkontos ein und wählen Sie dann Ihr Dienstkonto im Menü aus.
   2. Wählen Sie das Feld Rolle auswählen, geben Sie Computer Network User ein und wählen Sie dann die Rolle im Menü aus.
   3. Wählen Sie SPEICHERN.

Firewallregeln erstellen

Im Rahmen des Mastering-Prozesses kopiert MCS das ausgewählte Maschinenimage und verwendet es, um die Systemfestplatte des Masterimages für den Katalog vorzubereiten. Während des Masterings hängt MCS die Festplatte an eine temporäre virtuelle Maschine an, die dann Vorbereitungsskripte ausführt. Diese VM muss in einer isolierten Umgebung ausgeführt werden, die jeglichen eingehenden und ausgehenden Netzwerkverkehr untersagt. Um eine isolierte Umgebung zu schaffen, benötigt MCS zwei deny all-Firewallregeln (eine Eingangsregel und eine Ausgangsregel). Erstellen Sie daher zwei Firewallregeln im Hostprojekt wie folgt:

1. Navigieren Sie in der Google Cloud Console zum Hostprojekt und dann zu VPC-Netzwerk > Firewall.
2. Wählen Sie auf der Seite Firewall die Option FIREWALLREGEL ERSTELLEN.
3. Führen Sie auf der Seite Firewallregel erstellen die folgenden Schritte aus:
   • Name. Geben Sie einen Namen für die Regel ein.
   • Netzwerk. Wählen Sie das Shared VPC-Netzwerk aus, für das die Ingress-Firewallregel gilt.
   • Priorität. Je kleiner der Wert, desto höher die Priorität der Regel. Wir empfehlen einen kleinen Wert (z. B. 10).
   • Verkehrsrichtung. Wählen Sie Eingehend.
   • Aktion bei Übereinstimmung. Wählen Sie Verweigern.
   • Ziele. Verwenden Sie die Standardeinstellung Angegebene Ziel-Tags.
   • Ziel-Tags. Geben Sie citrix-provisioning-quarantine-firewall ein.
   • Quellfilter. Verwenden Sie die Standardeinstellung IP-Bereiche.
   • Quell-IP-Bereiche. Geben Sie einen Bereich ein, der dem gesamten Datenverkehr entspricht. Geben Sie 0.0.0.0/0 ein.
   • Protokolle und Ports. Wählen Sie Alle verweigern.
4. Wählen Sie ERSTELLEN, um die Regel zu erstellen.
5. Wiederholen Sie die Schritte 1–4, um eine weitere Regel zu erstellen. Wählen Sie für Richtung des Datenverkehrs die Option Ausgehend.

Verbindung hinzufügen

Fügen Sie eine Verbindung zu den Google Cloud-Umgebungen hinzu. Siehe Verbindung hinzufügen.

Zonenauswahl aktivieren

Citrix Virtual Apps and Desktops unterstützt die Zonenauswahl. Mit der Zonenauswahl geben Sie die Zonen an, in denen Sie VMs erstellen möchten. Mit der Zonenauswahl können Administratoren Sole-Tenant-Knoten in Zonen ihrer Wahl platzieren. Um die Sole-Tenancy zu konfigurieren, müssen Sie Folgendes in Google Cloud ausführen:

• Einen Google Cloud Sole-Tenant-Knoten reservieren
• Das VDA-Masterimage erstellen

Reservieren eines Google Cloud Sole-Tenant-Knotens

Um einen Sole-Tenant-Knoten zu reservieren, lesen Sie die Google Cloud Dokumentation.

Wichtig:

Eine Knotenvorlage wird verwendet, um Leistungsmerkmale des Systems anzugeben, das in der Knotengruppe reserviert ist. Zu diesen Merkmalen gehören die Anzahl der vGPUs, die dem Knoten zugewiesene Speichermenge und der Maschinentyp, der für auf dem Knoten erstellte Maschinen verwendet wird. Weitere Informationen finden Sie in der Google Cloud Dokumentation.

Erstellen des VDA-Masterimages

Um Maschinen erfolgreich auf dem Sole-Tenant-Knoten bereitzustellen, müssen Sie beim Erstellen eines Master-VM-Images zusätzliche Schritte ausführen. Maschineninstanzen in Google Cloud verfügen über eine Eigenschaft namens Knotenaffinitätsbezeichnungen. Instanzen, die als Master-Images für Kataloge verwendet werden, die auf dem Sole-Tenant-Knoten bereitgestellt werden, erfordern eine Knotenaffinitätsbezeichnung, die dem Namen der Zielknotengruppe entspricht. Beachten Sie dazu Folgendes:

• Legen Sie für eine neue Instanz die Bezeichnung in der Google Cloud Console fest, wenn Sie eine Instanz erstellen. Einzelheiten finden Sie unter Festlegen einer Knotenaffinitätsbezeichnung beim Erstellen einer Instanz.
• Legen Sie für eine vorhandene Instanz die Bezeichnung mithilfe der gcloud-Befehlszeile fest. Einzelheiten finden Sie unter Festlegen einer Knotenaffinitätsbezeichnung für eine vorhandene Instanz.

Hinweis:

Wenn Sie die alleinige Mandantenfähigkeit mit einer freigegebenen VPC verwenden möchten, lesen Sie Freigegebene Virtual Private Cloud.

Festlegen einer Knotenaffinitätsbezeichnung beim Erstellen einer Instanz

So legen Sie die Knotenaffinitätsbezeichnung fest:

1. Navigieren Sie in der Google Cloud Console zu Compute Engine > VM-Instanzen.

2. Wählen Sie auf der Seite VM-Instanzen die Option Instanz erstellen.

3. Geben oder konfigurieren Sie auf der Seite Instanzerstellung die erforderlichen Informationen und wählen Sie dann Verwaltung, Sicherheit, Datenträger, Netzwerk, alleinige Mandantenfähigkeit, um das Einstellungsfenster zu öffnen.

4. Wählen Sie auf der Registerkarte Alleinige Mandantenfähigkeit die Option Durchsuchen, um die verfügbaren Knotengruppen im aktuellen Projekt anzuzeigen. Die Seite Sole-Tenant-Knoten wird angezeigt und listet die verfügbaren Knotengruppen auf.

5. Auf der Seite Sole-tenant node wählen Sie die zutreffende Knotengruppe aus der Liste aus und wählen Sie dann Auswählen, um zur Registerkarte Sole tenancy zurückzukehren. Das Feld für Knotenaffinitätsbezeichnungen wird mit den von Ihnen ausgewählten Informationen gefüllt. Diese Einstellung stellt sicher, dass aus der Instanz erstellte Maschinenkataloge in der ausgewählten Knotengruppe bereitgestellt werden.

6. Wählen Sie Erstellen, um die Instanz zu erstellen.

Knotenaffinitätsbezeichnung für eine vorhandene Instanz festlegen

So legen Sie die Knotenaffinitätsbezeichnung fest:

1. Im Terminalfenster von Google Cloud Shell verwenden Sie den Befehl gcloud compute instances, um eine Knotenaffinitätsbezeichnung festzulegen. Fügen Sie die folgenden Informationen in den Befehl gcloud ein:

   • Name der VM. Verwenden Sie beispielsweise eine vorhandene VM mit dem Namen s*2019-vda-base.*
   • Name der Knotengruppe. Verwenden Sie den Namen der Knotengruppe, die Sie zuvor erstellt haben. Zum Beispiel mh-sole-tenant-node-group-1.
   • Die Zone, in der sich die Instanz befindet. Die VM befindet sich beispielsweise in der *us-east-1b* zone.

   Geben Sie beispielsweise den folgenden Befehl im Terminalfenster ein:

   • gcloud compute instances set-scheduling "s2019-vda-base" --node-group="mh-sole-tenant-node-group-1" --zone="us-east1-b"

   Weitere Informationen zum Befehl gcloud compute instances finden Sie in der Google Developer Tools-Dokumentation unter https://cloud.google.com/sdk/gcloud/reference/beta/compute/instances/set-scheduling.

2. Navigieren Sie zur Seite VM-Instanzdetails der Instanz und überprüfen Sie, ob das Feld Knotenaffinitäten mit der Bezeichnung gefüllt ist.

Maschinenkatalog erstellen

Nachdem Sie die Knotenaffinitätsbezeichnung festgelegt haben, konfigurieren Sie den Maschinenkatalog.

Vorschau: Verwenden von kundenverwalteten Verschlüsselungsschlüsseln (CMEK)

Sie können kundenverwaltete Verschlüsselungsschlüssel (CMEK) für MCS-Kataloge verwenden. Wenn Sie diese Funktionalität verwenden, weisen Sie dem Compute Engine Service Agent die Rolle Google Cloud Key Management Service CryptoKey Encrypter/Decrypter zu. Das Citrix DaaS-Konto muss die richtigen Berechtigungen in dem Projekt haben, in dem der Schlüssel gespeichert ist. Weitere Informationen finden Sie unter Helping to protect resources by using Cloud KMS keys.

Ihr Compute Engine Service Agent hat das folgende Format: service-<Project _Number>@compute-system.iam.gserviceaccount.com. Dieses Format unterscheidet sich vom standardmäßigen Compute Engine Service Account.

Hinweis:

Dieses Compute Engine Service Account wird möglicherweise nicht in der Anzeige IAM-Berechtigungen der Google Console angezeigt. Verwenden Sie in solchen Fällen den Befehl gcloud, wie unter Helping to protect resources by using Cloud KMS keys beschrieben.

Berechtigungen für Citrix DaaS-Konto zuweisen

Google Cloud KMS-Berechtigungen können auf verschiedene Arten konfiguriert werden. Sie können entweder projektbezogene KMS-Berechtigungen oder ressourcenbezogene KMS-Berechtigungen bereitstellen. Weitere Informationen finden Sie unter Permissions and roles.

Projektbezogene Berechtigungen

Eine Möglichkeit besteht darin, dem Citrix DaaS-Konto projektbezogene Berechtigungen zum Durchsuchen von Cloud KMS-Ressourcen zu erteilen. Erstellen Sie dazu eine benutzerdefinierte Rolle und fügen Sie die folgenden Berechtigungen hinzu:

• cloudkms.keyRings.list
• cloudkms.keyRings.get
• cloudkms.cryptokeys.list
• cloudkms.cryptokeys.get

Weisen Sie diese benutzerdefinierte Rolle Ihrem Citrix DaaS-Konto zu. Dadurch können Sie regionale Schlüssel im entsprechenden Projekt im Inventar durchsuchen.

Ressourcenbezogene Berechtigungen

Für die andere Option, ressourcenbezogene Berechtigungen, navigieren Sie in der Google Cloud Console zu cryptoKey, die Sie für die MCS-Bereitstellung verwenden. Fügen Sie das Citrix DaaS-Konto einem Schlüsselbund oder einem Schlüssel hinzu, den Sie für die Katalogbereitstellung verwenden.

Tipp:

Mit dieser Option können Sie keine regionalen Schlüssel für Ihr Projekt im Inventar durchsuchen, da das Citrix DaaS-Konto keine projektweiten Listberechtigungen für die Cloud KMS-Ressourcen besitzt. Sie können jedoch weiterhin einen Katalog mit CMEK bereitstellen, indem Sie den korrekten cryptoKeyId in den ProvScheme benutzerdefinierten Eigenschaften angeben, wie unten beschrieben.

Bereitstellung mit CMEK mithilfe benutzerdefinierter Eigenschaften

Beim Erstellen Ihres Bereitstellungsschemas über PowerShell geben Sie eine CryptoKeyId-Eigenschaft in ProvScheme CustomProperties an. Zum Beispiel:

'<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
    <Property xsi:type="StringProperty" Name="CryptoKeyId" Value="<yourCryptoKeyId>" />
</CustomProperties>'
<!--NeedCopy-->

Der cryptoKeyId muss im folgenden Format angegeben werden:

projectId:location:keyRingName:cryptoKeyName

Wenn Sie beispielsweise den Schlüssel my-example-key im Schlüsselbund my-example-key-ring in der Region us-east1 und im Projekt mit der ID my-example-project-1 verwenden möchten, würden Ihre ProvScheme benutzerdefinierten Einstellungen wie folgt aussehen:

'<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
    <Property xsi:type="StringProperty" Name="CryptoKeyId" Value="my-example-project-1:us-east1:my-example-key-ring:my-example-key" />
</CustomProperties>'
<!--NeedCopy-->

Alle von MCS bereitgestellten Datenträger und Images, die zu diesem Bereitstellungsschema gehören, verwenden diesen kundenverwalteten Verschlüsselungsschlüssel.

Tipp:

Wenn Sie globale Schlüssel verwenden, muss der Speicherort der Kundeneigenschaften global lauten und nicht der Regionsname, der im obigen Beispiel us-east1 ist. Zum Beispiel: <Property xsi:type="StringProperty" Name="CryptoKeyId" Value="my-example-project-1:global:my-example-key-ring:my-example-key" />.

Rotieren von kundenverwalteten Schlüsseln

Google Cloud unterstützt das Rotieren von Schlüsseln auf vorhandenen persistenten Datenträgern oder Images nicht. Sobald eine Maschine bereitgestellt wird, ist sie an die zum Zeitpunkt ihrer Erstellung verwendete Schlüsselversion gebunden. Es kann jedoch eine neue Version des Schlüssels erstellt werden, und dieser neue Schlüssel wird für neu bereitgestellte Maschinen oder Ressourcen verwendet, die erstellt werden, wenn ein Katalog mit einem neuen Master-Image aktualisiert wird.

Wichtige Überlegungen zu Schlüsselbunden

Schlüsselbunde können nicht umbenannt oder gelöscht werden. Außerdem können bei der Konfiguration unvorhergesehene Kosten entstehen. Beim Löschen oder Entfernen eines Schlüsselbunds zeigt Google Cloud eine Fehlermeldung an:

Sorry, you can't delete or rename keys or key rings. We were concerned about the security implications of allowing multiple keys or key versions over time to have the same resource name, so we decided to make names immutable. (And you can't delete them, because we wouldn't be able to do a true deletion--there would still have to be a tombstone tracking that this name had been used and couldn't be reused).
We're aware that this can make things untidy, but we have no immediate plans to change this.
If you want to avoid getting billed for a key or otherwise make it unavailable, you can do so by deleting all the key versions; neither keys nor key rings are billed for, just the active key versions within the keys.
<!--NeedCopy-->

Tipp:

Weitere Informationen finden Sie unter Bearbeiten oder Löschen eines Schlüsselrings über die Konsole.

Kompatibilität mit einheitlichem Bucket-Level-Zugriff

Citrix DaaS ist mit der Richtlinie für den einheitlichen Bucket-Level-Zugriff (Uniform Bucket-Level Access Control Policy) in Google Cloud kompatibel. Diese Funktionalität erweitert die Verwendung der IAM-Richtlinie, die einem Dienstkonto Berechtigungen zur Bearbeitung von Ressourcen, einschließlich Speicher-Buckets, erteilt. Mit dem einheitlichen Bucket-Level-Zugriff ermöglicht Citrix DaaS die Verwendung einer Zugriffssteuerungsliste (ACL), um den Zugriff auf Speicher-Buckets oder darin gespeicherte Objekte zu steuern. Eine Übersicht über den einheitlichen Bucket-Level-Zugriff in Google Cloud finden Sie unter Einheitlicher Bucket-Level-Zugriff. Konfigurationsinformationen finden Sie unter Einheitlichen Bucket-Level-Zugriff anfordern.

Service-Endpunkt-URLs

Sie müssen Zugriff auf die folgenden URLs haben:

• https://oauth2.googleapis.com
• https://cloudresourcemanager.googleapis.com
• https://compute.googleapis.com
• https://storage.googleapis.com
• https://cloudbuild.googleapis.com

Google Cloud-Projekte

Es gibt grundsätzlich zwei Arten von Google Cloud-Projekten:

• Bereitstellungsprojekt: In diesem Fall ist das aktuelle Administratorkonto der Eigentümer der bereitgestellten Maschinen im Projekt. Dieses Projekt wird auch als lokales Projekt bezeichnet.
• Shared VPC-Projekt: Projekt, in dem in dem Bereitstellungsprojekt erstellte Maschinen die VPC aus dem Shared VPC-Projekt verwenden. Das für das Bereitstellungsprojekt verwendete Administratorkonto hat in diesem Projekt eingeschränkte Berechtigungen, insbesondere nur Berechtigungen zur Nutzung der VPC.

Erforderliche GCP-Berechtigungen

Dieser Abschnitt enthält die vollständige Liste der GCP-Berechtigungen. Verwenden Sie den vollständigen Satz von Berechtigungen, wie er in diesem Abschnitt angegeben ist, damit die Funktionalität korrekt funktioniert.

Hinweis:

GCP führt nach dem 29. April 2024 Änderungen am Standardverhalten und der Verwendung von Dienstkonten von Cloud Build Services ein. Weitere Informationen finden Sie unter Änderung des Cloud Build-Dienstkontos. Ihre bestehenden Google-Projekte, bei denen die Cloud Build API vor dem 29. April 2024 aktiviert wurde, sind von dieser Änderung nicht betroffen. Wenn Sie jedoch das bestehende Verhalten des Cloud Build-Dienstes nach dem 29. April beibehalten möchten, können Sie die Organisationsrichtlinie erstellen oder anwenden, um die Erzwingung der Einschränkung zu deaktivieren, bevor Sie die API aktivieren. Wenn Sie die neue Organisationsrichtlinie festlegen, können Sie weiterhin die bestehenden Berechtigungen in diesem Abschnitt und die Elemente befolgen, die als Vor der Änderung des Cloud Build-Dienstkontos gekennzeichnet sind. Andernfalls befolgen Sie die bestehenden Berechtigungen und Elemente, die als Nach der Änderung des Cloud Build-Dienstkontos gekennzeichnet sind.

Eine Hostverbindung erstellen

• Mindestberechtigungen, die für das Citrix Cloud-Dienstkonto im Bereitstellungsprojekt erforderlich sind:

   compute.instanceTemplates.list
   compute.instances.list
   compute.networks.list
   compute.projects.get
   compute.regions.list
   compute.subnetworks.list
   compute.zones.list
   resourcemanager.projects.get
   <!--NeedCopy-->
  

  Die folgenden von Google definierten Rollen verfügen über die oben aufgeführten Berechtigungen:

  • Compute Admin
  • Cloud Datastore User

• Zusätzliche Berechtigungen, die für Shared VPC für das Citrix Cloud-Dienstkonto im Shared VPC-Projekt erforderlich sind:

   compute.networks.list
   compute.subnetworks.list
   resourcemanager.projects.get
   <!--NeedCopy-->
  

  Die folgenden von Google definierten Rollen verfügen über die oben aufgeführten Berechtigungen:

  • Compute Network User

Energieverwaltung von VMs

Mindestberechtigungen, die für das Citrix Cloud-Dienstkonto im Bereitstellungsprojekt im Falle von nur energieverwalteten Katalogen erforderlich sind:

compute.instanceTemplates.list
compute.instances.list
compute.instances.get
compute.instances.reset
compute.instances.resume
compute.instances.start
compute.instances.stop
compute.instances.suspend
compute.networks.list
compute.projects.get
compute.regions.list
compute.subnetworks.list
compute.zones.list
resourcemanager.projects.get
compute.zoneOperations.get
<!--NeedCopy-->

Die folgenden von Google definierten Rollen verfügen über die oben aufgeführten Berechtigungen:

• Compute Admin
• Cloud Datastore-Benutzer

Erstellen, Aktualisieren oder Löschen von VMs

• Mindestberechtigungen, die für das Citrix Cloud-Dienstkonto im Bereitstellungsprojekt erforderlich sind:

   cloudbuild.builds.create
   cloudbuild.builds.get
   cloudbuild.builds.list
   compute.acceleratorTypes.list
   compute.diskTypes.get
   compute.diskTypes.list
   compute.disks.create
   compute.disks.createSnapshot
   compute.disks.delete
   compute.disks.get
   compute.disks.list
   compute.disks.setLabels
   compute.disks.use
   compute.disks.useReadOnly
   compute.firewalls.create
   compute.firewalls.delete
   compute.firewalls.list
   compute.globalOperations.get
   compute.images.create
   compute.images.delete
   compute.images.get
   compute.images.list
   compute.images.setLabels
   compute.images.useReadOnly
   compute.instanceTemplates.create
   compute.instanceTemplates.delete
   compute.instanceTemplates.get
   compute.instanceTemplates.list
   compute.instanceTemplates.useReadOnly
   compute.instances.attachDisk
   compute.instances.create
   compute.instances.delete
   compute.instances.detachDisk
   compute.instances.get
   compute.instances.list
   compute.instances.reset
   compute.instances.resume
   compute.instances.setDeletionProtection
   compute.instances.setLabels
   compute.instances.setMetadata
   compute.instances.setServiceAccount
   compute.instances.setTags
   compute.instances.start
   compute.instances.stop
   compute.instances.suspend
   compute.machineTypes.get
   compute.machineTypes.list
   compute.networks.list
   compute.networks.updatePolicy
   compute.nodeGroups.list
   compute.nodeTemplates.get
   compute.projects.get
   compute.regions.list
   compute.snapshots.create
   compute.snapshots.delete
   compute.snapshots.list
   compute.snapshots.get
   compute.snapshots.setLabels
   compute.snapshots.useReadOnly
   compute.subnetworks.get
   compute.subnetworks.list
   compute.subnetworks.use
   compute.zoneOperations.get
   compute.zoneOperations.list
   compute.zones.get
   compute.zones.list
   iam.serviceAccounts.actAs
   resourcemanager.projects.get
   storage.buckets.create
   storage.buckets.delete
   storage.buckets.get
   storage.buckets.list
   storage.buckets.update
   storage.objects.create
   storage.objects.delete
   storage.objects.get
   storage.objects.list
   compute.networks.get
   compute.resourcePolicies.use
  
   <!--NeedCopy-->
  

  Die folgenden von Google definierten Rollen verfügen über die oben aufgeführten Berechtigungen:

  • Compute-Administrator
  • Speicheradministrator
  • Cloud Build-Editor
  • Dienstkontobenutzer
  • Cloud Datastore-Benutzer

• Zusätzliche Berechtigungen, die für Shared VPC für das Citrix Cloud-Dienstkonto im Shared VPC-Projekt erforderlich sind, um eine Hosting-Einheit unter Verwendung von VPC und Subnetzwerk aus dem Shared VPC-Projekt zu erstellen:

   compute.firewalls.list
   compute.networks.list
   compute.projects.get
   compute.regions.list
   compute.subnetworks.get
   compute.subnetworks.list
   compute.subnetworks.use
   compute.zones.list
   resourcemanager.projects.get
   <!--NeedCopy-->
  

  Die folgenden von Google definierten Rollen verfügen über die oben aufgeführten Berechtigungen:

  • Compute Network-Benutzer
  • Cloud Datastore-Benutzer

• (Vor der Änderung des Cloud Build-Dienstkontos): Mindestberechtigungen, die für das Cloud Build-Dienstkonto im Bereitstellungsprojekt erforderlich sind, die vom Google Cloud Build-Dienst beim Herunterladen der Vorbereitungsanweisungsdisk auf MCS benötigt werden:

• (Nach der Änderung des Cloud Build-Dienstkontos): Mindestberechtigungen, die für das Cloud Compute-Dienstkonto im Bereitstellungsprojekt erforderlich sind, die vom Google Cloud Compute-Dienst beim Herunterladen der Vorbereitungsanweisungsdisk auf MCS benötigt werden:

   compute.disks.create
   compute.disks.delete
   compute.disks.get
   compute.disks.list
   compute.disks.setLabels
   compute.disks.use
   compute.disks.useReadOnly
   compute.images.get
   compute.images.list
   compute.images.useReadOnly
   compute.instances.create
   compute.instances.delete
   compute.instances.get
   compute.instances.getSerialPortOutput
   compute.instances.list
   compute.instances.setLabels
   compute.instances.setMetadata
   compute.instances.setServiceAccount
   compute.machineTypes.list
   compute.networks.get
   compute.networks.list
   compute.projects.get
   compute.subnetworks.list
   compute.subnetworks.use
   compute.subnetworks.useExternalIp
   compute.zoneOperations.get
   compute.zones.list
   iam.serviceAccounts.actAs
   logging.logEntries.create
   pubsub.topics.publish
   resourcemanager.projects.get
   source.repos.get
   source.repos.list
   storage.buckets.create
   storage.buckets.get
   storage.buckets.list
   storage.objects.create
   storage.objects.delete
   storage.objects.get
   storage.objects.list
   <!--NeedCopy-->
  

  Die folgenden von Google definierten Rollen verfügen über die oben aufgeführten Berechtigungen:

  • Cloud Build Service Account (Nach der Änderung des Cloud Build Service Account ist es der Cloud Compute Service Account)
  • Compute Instance Admin
  • Service Account User

• Mindestberechtigungen, die für den Cloud Compute Service Account im Bereitstellungsprojekt erforderlich sind, die vom Google Cloud Build-Dienst beim Herunterladen des Vorbereitungsanweisungsdatenträgers auf MCS benötigt werden:

   resourcemanager.projects.get
   storage.objects.create
   storage.objects.get
   storage.objects.list
   <!--NeedCopy-->
  

  Die folgenden von Google definierten Rollen verfügen über die oben aufgeführten Berechtigungen:

  • Compute Network User
  • Storage Account User
  • Cloud Datastore User
• (Vor der Änderung des Cloud Build Service Account): Zusätzliche Berechtigungen, die für Shared VPC für den Cloud Build Service Account im Bereitstellungsprojekt erforderlich sind, die vom Google Cloud Build-Dienst beim Herunterladen des Vorbereitungsanweisungsdatenträgers auf MCS benötigt werden:

• (Nach der Änderung des Cloud Build Service Account): Zusätzliche Berechtigungen, die für Shared VPC für den Cloud Compute Service Account im Bereitstellungsprojekt erforderlich sind, die vom Google Cloud Compute-Dienst beim Herunterladen des Vorbereitungsanweisungsdatenträgers auf MCS benötigt werden:

   compute.firewalls.list
   compute.networks.list
   compute.subnetworks.list
   compute.subnetworks.use
   resourcemanager.projects.get
   <!--NeedCopy-->
  

  Die folgenden von Google definierten Rollen verfügen über die oben aufgeführten Berechtigungen:

  • Compute Network User
  • Storage Account User
  • Cloud Datastore User

• Zusätzliche Berechtigungen, die für den Cloud Key Management Service (KMS) für das Citrix Cloud-Dienstkonto im Bereitstellungsprojekt erforderlich sind:

   cloudkms.cryptoKeys.get
   cloudkms.cryptoKeys.list
   cloudkms.keyRings.get
   cloudkms.keyRings.list
   <!--NeedCopy-->
  

  Die folgenden von Google definierten Rollen verfügen über die oben aufgeführten Berechtigungen:

  • Compute KMS Viewer

Allgemeine Berechtigungen

Im Folgenden sind die Berechtigungen für das Citrix Cloud-Dienstkonto im Bereitstellungsprojekt für alle in MCS unterstützten Funktionen aufgeführt. Diese Berechtigungen bieten die beste zukünftige Kompatibilität:

resourcemanager.projects.get
cloudbuild.builds.create
cloudbuild.builds.get
cloudbuild.builds.list
compute.acceleratorTypes.list
compute.diskTypes.get
compute.diskTypes.list
compute.disks.create
compute.disks.createSnapshot
compute.disks.delete
compute.disks.get
compute.disks.setLabels
compute.disks.use
compute.disks.useReadOnly
compute.firewalls.create
compute.firewalls.delete
compute.firewalls.list
compute.globalOperations.get
compute.images.create
compute.images.delete
compute.images.get
compute.images.list
compute.images.setLabels
compute.images.useReadOnly
compute.instanceTemplates.create
compute.instanceTemplates.delete
compute.instanceTemplates.get
compute.instanceTemplates.list
compute.instanceTemplates.useReadOnly
compute.instances.attachDisk
compute.instances.create
compute.instances.delete
compute.instances.detachDisk
compute.instances.get
compute.instances.list
compute.instances.reset
compute.instances.resume
compute.instances.setDeletionProtection
compute.instances.setLabels
compute.instances.setMetadata
compute.instances.setTags
compute.instances.start
compute.instances.stop
compute.instances.suspend
compute.instances.update
compute.instances.updateAccessConfig
compute.instances.updateDisplayDevice
compute.instances.updateSecurity
compute.instances.updateShieldedInstanceConfig
compute.instances.updateShieldedVmConfig
compute.machineTypes.get
compute.machineTypes.list
compute.networks.list
compute.networks.updatePolicy
compute.nodeGroups.list
compute.nodeTemplates.get
compute.projects.get
compute.regions.list
compute.snapshots.create
compute.snapshots.delete
compute.snapshots.list
compute.snapshots.get
compute.snapshots.setLabels
compute.snapshots.useReadOnly
compute.subnetworks.get
compute.subnetworks.list
compute.subnetworks.use
compute.subnetworks.useExternalIp
compute.zoneOperations.get
compute.zoneOperations.list
compute.zones.get
compute.zones.list
resourcemanager.projects.get
storage.buckets.create
storage.buckets.delete
storage.buckets.get
storage.buckets.list
storage.buckets.update
storage.objects.create
storage.objects.delete
storage.objects.get
storage.objects.list
cloudkms.cryptoKeys.get
cloudkms.cryptoKeys.list
cloudkms.keyRings.get
cloudkms.keyRings.list
compute.disks.list
compute.instances.setServiceAccount
compute.networks.get
compute.networks.use
compute.networks.useExternalIp
iam.serviceAccounts.actAs
compute.resourcePolicies.use
<!--NeedCopy-->

Weitere Informationen

• Verbindungen und Ressourcen
• Maschinenkataloge erstellen