Crear un catálogo de Google Cloud Platform
Crear catálogos de máquinas describe los asistentes con los que se crea un catálogo de máquinas. La siguiente información incluye detalles específicos de los entornos de Google Cloud.
Nota:
Antes de crear un catálogo de Google Cloud Platform (GCP), debe terminar de crear una conexión con GCP. Consulte Conexión con entornos de Google Cloud.
Preparar la instancia de una VM maestra y un disco persistente
Sugerencia:
“Disco persistente” es el término de Google Cloud para “disco virtual”.
Para preparar la instancia de una VM maestra, cree y configure una instancia de VM con propiedades que coincidan con la configuración que quiera para las instancias de VDA clonadas en el catálogo de máquinas planificado. La configuración no se aplica solamente al tamaño y al tipo de instancia. También incluye atributos de instancia como metadatos, etiquetas, asignaciones de GPU, etiquetas de red y propiedades de cuenta de servicio.
Como parte del proceso, MCS utiliza la instancia de VM maestra para crear la plantilla de instancias de Google Cloud. A continuación, la plantilla de instancias se utiliza para crear las instancias de VDA clonadas que componen el catálogo de máquinas. Las instancias clonadas heredan las propiedades (excepto las propiedades de VPC, subred y disco persistente) de la instancia de VM maestra a partir de la cual se creó la plantilla de instancias.
Después de configurar las propiedades de la instancia de VM maestra según sus especificaciones, inicie la instancia y, a continuación, prepare el disco persistente para la instancia.
Le recomendamos crear manualmente una instantánea del disco. Esto le permite utilizar una convención de nomenclatura útil para realizar un seguimiento de las versiones, le ofrece más opciones para administrar versiones anteriores de la imagen maestra y le ahorra tiempo en la creación de catálogos de máquinas. Si no crea su propia instantánea, MCS crea una instantánea temporal (que se elimina al final del proceso de aprovisionamiento).
Habilitar selección de zona
Citrix DaaS admite la selección de zonas. Con la selección de zonas, puede especificar las zonas en las que quiere crear máquinas virtuales. Con la selección de zonas, los administradores pueden colocar nodos de arrendatario único en las zonas de su elección. Para configurar el arrendamiento único, debe completar lo siguiente en Google Cloud:
Reservar un nodo de arrendatario único de Google Cloud
Para reservar un nodo de arrendatario único de Google Cloud, consulte la documentación de Google Cloud.
Importante:
Una plantilla de nodos se utiliza para indicar las características de rendimiento del sistema que se reserva al grupo de nodos. Estas características incluyen la cantidad de vGPU, la cantidad de memoria asignada al nodo y el tipo de máquina utilizado para las máquinas creadas en el nodo. Para obtener más información, consulte la documentación de Google Cloud.
Crear la imagen maestra del VDA
Para implementar máquinas en el nodo de arrendatario único, debe realizar pasos adicionales al crear una imagen de máquina virtual maestra. Las instancias de máquina en Google Cloud tienen una propiedad llamada node affinity labels (etiquetas de afinidad de nodos). Las instancias utilizadas como imágenes maestras para catálogos implementados en el nodo de arrendatario único requieren una etiqueta de afinidad de nodos que coincida con el nombre del grupo de nodos de destino. Para lograr esto, tenga en cuenta lo siguiente:
- Establezca la etiqueta en la consola de Google Cloud cuando cree la instancia. Para obtener información detallada, consulte Establecer una etiqueta de afinidad de nodos al crear una instancia.
- En el caso de una instancia existente, establezca la etiqueta desde la línea de comandos de gcloud. Para obtener información detallada, consulte Configurar una etiqueta de afinidad de nodos para una instancia existente.
Nota:
Si quiere utilizar el arrendamiento único con una VPC compartida, consulte Nube privada virtual compartida.
Establecer una etiqueta de afinidad de nodos al crear una instancia
Para configurar la etiqueta de afinidad de nodos:
-
En la consola de Google Cloud, vaya a Compute Engine > VM instances.
-
En la página VM instances, seleccione Create instance.
-
En la página Instance creation, escriba o configure la información necesaria y, a continuación, seleccione management, security, disks, networking, sole tenancy para abrir el panel de parámetros.
-
En la ficha Sole Tenancy, seleccione Browse para ver los grupos de nodos disponibles en el proyecto actual. Aparecerá la página Sole-tenant node, que muestra una lista de los grupos de nodos disponibles.
-
En la página Sole-tenant node, seleccione el grupo de nodos correspondiente de la lista y, a continuación, seleccione Select para volver a la ficha Sole tenancy. El campo de las etiquetas de afinidad de nodos se rellena con la información seleccionada. Esta configuración garantiza que los catálogos de máquinas creados a partir de la instancia se implementarán en el grupo de nodos seleccionado.
-
Seleccione Create para crear la instancia.
Configurar una etiqueta de afinidad de nodos para una instancia existente
Para configurar la etiqueta de afinidad de nodos:
-
En la ventana del terminal de Google Cloud Shell, utilice el comando gcloud compute instances para establecer una etiqueta de afinidad de nodos. Incluya la siguiente información en el comando gcloud:
-
Nombre de la VM. Por ejemplo, utilice una máquina virtual existente denominada
s*2019-vda-base
.* -
Nombre del grupo de nodos. Utilice el nombre de grupo de nodos creado anteriormente. Por ejemplo,
mh-sole-tenant-node-group-1
. -
La zona en la que reside la instancia. Por ejemplo, la máquina virtual reside en
*us-east-1b* zone
.
Por ejemplo, escriba el siguiente comando en la ventana de terminal:
gcloud compute instances set-scheduling "s2019-vda-base" --node-group="mh-sole-tenant-node-group-1" --zone="us-east1-b"
Para obtener más información sobre el comando gcloud compute instances, consulte la documentación de Google Developer Tools en https://cloud.google.com/sdk/gcloud/reference/beta/compute/instances/set-scheduling.
-
Nombre de la VM. Por ejemplo, utilice una máquina virtual existente denominada
-
Vaya a la página VM instance details de la instancia y verifique que el campo Node Affinities se rellenó con la etiqueta.
Creación de un catálogo de máquinas
Nota:
Cree los recursos antes de crear los catálogos de máquinas. Al configurar catálogos de máquinas, utilice las convenciones de nomenclatura establecidas por Google Cloud. Consulte Lineamientos para asignar nombres a buckets para obtener más información.
Puede crear un catálogo de máquinas de dos maneras:
- Studio
- PowerShell. Consulte Administrar Citrix DaaS mediante Remote PowerShell SDK. Para obtener información sobre cómo implementar funciones específicas con PowerShell, consulte Usar PowerShell
Crear un catálogo de máquinas mediante Studio
Siga las instrucciones que se indican en Crear catálogos de máquinas. La siguiente descripción se aplica exclusivamente a los catálogos de Google Cloud.
- En Studio, seleccione Catálogos de máquinas en el panel de la izquierda.
- Seleccione Crear catálogo de máquinas en la barra de acciones.
- En la página Tipo de máquina, seleccione SO multisesión y, a continuación, seleccione Siguiente. Citrix DaaS también admite sistemas operativos de sesión única.
- En la página Administración de máquinas, seleccione las opciones Máquinas con administración de energía y Citrix Machine Creation Services y, a continuación, seleccione Siguiente. Si hay varios recursos, seleccione uno en el menú.
-
En la página Imagen, complete estos pasos según sea necesario y, a continuación, haga clic en Siguiente.
- Seleccione una instantánea o una máquina virtual como imagen maestra. Si quiere utilizar la funcionalidad de arrendamiento único, debe seleccionar una imagen cuya propiedad de grupo de nodos esté configurada correctamente. Consulte Habilitar selección de zona.
-
Para usar una máquina virtual existente como perfil de máquina, seleccione Usar un perfil de máquina y después seleccione la máquina virtual.
Nota:
Actualmente, las máquinas virtuales de este catálogo heredan el ID del conjunto de cifrado del disco, el tamaño de la máquina, el tipo de almacenamiento y los parámetros de zona del perfil de máquina.
- Seleccione el nivel funcional mínimo para el catálogo.
-
En la página Almacenamiento, seleccione el tipo de almacenamiento utilizado para contener el sistema operativo con este catálogo de máquinas. Cada una de las siguientes opciones de almacenamiento tiene características de precio y rendimiento únicas. Se crea siempre un disco de identidad con el disco persistente estándar zonal.
- Disco persistente estándar
- Disco persistente equilibrado
- Disco persistente SSD
Para obtener información detallada sobre las opciones de almacenamiento de Google Cloud, consulte Storage options.
- En la página Máquinas virtuales, especifique cuántas máquinas virtuales quiere crear, revise la especificación detallada de dichas máquinas, seleccione el tipo de máquina de Google Cloud y, a continuación, seleccione Siguiente. Si utiliza grupos de nodos de arrendatario único para catálogos de máquinas, deberá seleccionar solo las zonas en las que están disponibles los nodos de arrendatario único reservados. Consulte Habilitar selección de zona.
-
En la página Parámetros del disco, puede configurar los siguientes parámetros:
-
Elija si quiere habilitar la caché de reescritura. Después de habilitar la caché de reescritura, puede hacer lo siguiente:
- Puede configurar la RAM y el tamaño del disco utilizados para almacenar en caché datos temporales. Para obtener más información, consulte Configurar la caché de datos temporales.
- Seleccione el tipo de almacenamiento del disco de caché de reescritura. Están disponibles las siguientes opciones de almacenamiento para uso con el disco de caché de reescritura:
- Disco persistente estándar
- Disco persistente equilibrado
- Disco persistente SSD
Para obtener información detallada sobre las opciones de almacenamiento de Google Cloud, consulte Storage options.
- Seleccione el tipo de disco de caché de reescritura.
- Usar disco no persistente de caché de reescritura. Si se selecciona, el disco de caché con reescritura no persiste en las máquinas virtuales aprovisionadas. El disco se borra durante los ciclos de energía y se pierden todos los datos redirigidos al disco.
- Usar disco persistente de caché de reescritura. Si se selecciona, el disco de caché de reescritura persiste en las máquinas virtuales aprovisionadas. Habilitar esta opción aumenta los costes de almacenamiento.
- Cuando la optimización del almacenamiento de MCS (E/S de MCS) está habilitada, puede realizar una de las siguientes acciones:
- Elija si quiere conservar los discos del sistema para los VDA durante los ciclos de energía. Para obtener más información, consulte Habilitar actualizaciones de optimización del almacenamiento de MCS.
- Actualice los tamaños de la memoria y la caché de disco.
-
Elija si quiere usar su propia clave para proteger el contenido del disco. Para usar esta función, primero debe crear sus propias claves de cifrado administradas por el cliente (CMEK). Para obtener más información, consulte Usar claves de cifrado administradas por el cliente (CMEK).
Nota:
Solo está disponible en la interfaz de Studio.
Después de crear las claves, puede seleccionar una de esas claves de la lista. No se puede cambiar la clave después de crear el catálogo. Google Cloud no admite claves de rotación en discos o imágenes persistentes existentes. Por lo tanto, después de aprovisionar un catálogo, el catálogo está asociado a una versión específica de la clave. Si esa clave se inhabilita o destruye, las instancias y los discos cifrados con ella quedan inutilizables hasta que la clave se rehabilita o restaura.
-
-
En la página Identidades de las máquinas, seleccione una cuenta de Active Directory y, a continuación, seleccione Siguiente.
- Si selecciona Crear nuevas cuentas de Active Directory, seleccione un dominio y, a continuación, introduzca la secuencia de caracteres que representa el esquema de nomenclatura para las cuentas de equipo de VM aprovisionadas creadas en Active Directory. El esquema de nomenclatura de cuentas puede contener de 1 a 64 caracteres y no puede contener espacios en blanco, ni caracteres no ASCII o especiales.
- Si selecciona Usar cuentas de Active Directory existentes, seleccione Examinar para desplazarse a las cuentas de equipo de Active Directory existentes de las máquinas seleccionadas.
-
En la página Credenciales de dominio, seleccione Introducir credenciales, escriba el nombre de usuario y la contraseña, seleccione Guardar y, a continuación, seleccione Siguiente.
- Las credenciales que escriba deben tener permisos para realizar operaciones en cuentas de Active Directory.
-
En la página Ámbitos, seleccione ámbitos para el catálogo de máquinas y, a continuación, seleccione Siguiente.
- Puede seleccionar ámbitos opcionales o seleccione Ámbito personalizado para personalizarlos según sea necesario.
-
En la página Resumen, confirme la información, especifique un nombre para el catálogo y seleccione Finalizar.
Nota:
El nombre del catálogo puede contener entre 1 y 39 caracteres, y no puede contener solo espacios en blanco o los caracteres
\ / ; : # . * ? = < > | [ ] { } " ' ( ) ' )
.
La creación del catálogo de máquinas puede tardar mucho tiempo en completarse. Una vez finalizada, aparece el catálogo. Desde la consola de Google Cloud, puede comprobar que las máquinas se hayan creado en los grupos de nodos de destino.
Importar máquinas de Google Cloud creadas manualmente
Con esta función, puede:
- Importar máquinas con sistema operativo multisesión de Google Cloud creadas manualmente en un catálogo de Citrix DaaS.
- Eliminar las máquinas con sistema operativo multisesión de Google Cloud creadas manualmente de un catálogo de Citrix DaaS.
- Utilizar las prestaciones de administración de energía existentes en Citrix DaaS para administrar la energía de las máquinas con SO multisesión Windows en Google Cloud. Por ejemplo, establecer una programación de reinicio para dichas máquinas.
Esta funcionalidad no requiere cambios en el flujo de aprovisionamiento de Citrix DaaS; tampoco se necesita eliminar ninguna función existente.
Se recomienda usar MCS para aprovisionar máquinas en Studio en lugar de importar máquinas de Google Cloud creadas manualmente.
Nube privada virtual compartida
Las nubes VPC compartidas constan de un proyecto host (desde el que están disponibles las subredes compartidas) y uno o varios proyectos de servicios que utilizan el recurso. Las nubes VPC compartidas son las opciones idóneas para instalaciones grandes, ya que ofrecen control, uso y administración centralizados de los recursos de empresa compartidos de Google Cloud. Para obtener más información, consulte el sitio de documentación de Google.
Con esta función, Machine Creation Services (MCS) admite el aprovisionamiento y la administración de catálogos de máquinas implementados en las nubes VPC compartidas. Esta compatibilidad, equivalente en funcionalidad a la compatibilidad que se ofrece en nubes VPC locales, difiere en dos áreas:
- Debe conceder permisos adicionales a la cuenta de servicio utilizada para crear la conexión de host. Este proceso permite a MCS acceder a los recursos de VPC compartida y utilizarlos. Consulte Se necesitan nuevos permisos.
- Debe crear dos reglas de firewall, una para la entrada y otra para la salida. Estas reglas de firewall se utilizan durante el proceso de creación de imágenes maestras. Consulte Reglas de firewall.
Para obtener información sobre cómo configurar una nube privada virtual compartida, consulte Configurar la nube VPC compartida.
Se necesitan nuevos permisos
Se requiere una cuenta de servicio de Google Cloud con permisos específicos cuando se crea la conexión de host. Estos permisos adicionales se deben conceder a todas las cuentas de servicio utilizadas para crear conexiones de host basadas en VPC compartidas.
Sugerencia:
Estos permisos adicionales no son nuevos en Citrix DaaS. Se utilizan para facilitar la implementación de VPC locales. Con las VPC compartidas, estos permisos adicionales permiten el acceso a otros recursos de VPC compartidas.
Se debe conceder un máximo de cuatro permisos adicionales a la cuenta de servicio asociada a la conexión de host para admitir una nube VPC compartida:
- compute.firewalls.list: Este permiso es obligatorio. Permite a MCS recuperar la lista de reglas de firewall presentes en la nube VPC compartida.
- compute.networks.list: Este permiso es obligatorio. Permite a MCS identificar las redes de nubes VPC compartidas disponibles para la cuenta de servicio.
- compute.subnetworks.list: Este permiso es opcional, en función de cómo utilice las nubes VPC. Permite a MCS identificar las subredes dentro de las nubles VPC compartidas que sean visibles. Este permiso ya es necesario para utilizar nubes VPC locales, pero también debe asignarse en el proyecto host de nubes VPC compartidas.
- compute.subnetworks.use: Este permiso es opcional, en función de cómo utilice las nubes VPC. Es necesario utilizar recursos de subred en los catálogos de máquinas aprovisionadas. Este permiso ya es necesario para utilizar nubes VPC locales, pero también debe asignarse en el proyecto host de nubes VPC compartidas.
Al utilizar estos permisos, tenga en cuenta que existen diferentes enfoques basados en el tipo de permiso utilizado para crear el catálogo de máquinas:
- Permiso a nivel de proyecto:
- Permite el acceso a todas las nubes VPC compartidas dentro del proyecto host.
- Requiere que se asignen los permisos
compute.subnetworks.list
ycompute.subnetworks.use
a la cuenta de servicio.
- Permiso a nivel de subred:
- Permite el acceso a subredes específicas dentro de la nube VPC compartida.
- Los permisos
compute.subnetworks.list
ycompute.subnetworks.use
son intrínsecos a la asignación a nivel de subred y, por lo tanto, no es necesario asignarlos directamente a la cuenta de servicio.
Seleccione el enfoque que se adapte a las necesidades y los estándares de seguridad de su organización.
Sugerencia:
Para obtener más información sobre las diferencias entre los permisos a nivel de proyecto y a nivel de subred, consulte Service Project Admins.
Reglas de firewall
Durante la preparación de un catálogo de máquinas, se prepara una imagen de máquina para que sirva como disco del sistema de la imagen maestra del catálogo. Cuando se produce este proceso, el disco se conecta temporalmente a una máquina virtual. Esta máquina virtual debe ejecutarse en un entorno aislado que impida todo el tráfico de red entrante y saliente. Este aislamiento se logra gracias a un par de reglas de firewall “deny-all” (denegar todo): una para el tráfico de entrada y otra para el tráfico de salida. Al utilizar nubes VPC locales de Google Cloud, MCS crea este firewall en la red local y lo aplica a la máquina para la creación de imagen maestra. Una vez finalizada la creación de la imagen maestra, la regla de firewall se elimina de la imagen.
Se recomienda mantener al mínimo la cantidad de nuevos permisos necesarios para usar nubes VPC compartidas. Las nubes VPC compartidas son recursos de empresa de alto nivel y suelen tener protocolos de seguridad más rígidos. Por este motivo, cree un par de reglas de firewall en el proyecto host en los recursos de VPC compartida, una para la entrada y otra para la salida. Asígneles la máxima prioridad. Aplique una nueva etiqueta de destino a cada una de estas reglas, con el siguiente valor:
citrix-provisioning-quarantine-firewall
Cuando MCS crea o actualiza un catálogo de máquinas, busca reglas de firewall que contengan esta etiqueta de destino. A continuación, comprueba que las reglas sean correctas y las aplica a la máquina utilizada para preparar la imagen maestra del catálogo. Si no se encuentran reglas de firewall o se encuentran, pero son incorrectas o ellas o sus prioridades, aparecerá un mensaje similar al siguiente:
"Unable to find valid INGRESS and EGRESS quarantine firewall rules for VPC <name> in project <project>. " Please ensure you have created 'deny all' firewall rules with the network tag ‘citrix-provisioning-quarantine-firewall' and proper priority." "Refer to Citrix Documentation for details."
Configurar la nube VPC compartida
Antes de agregar la VPC compartida como conexión de host en Studio de Citrix DaaS, lleve a cabo los siguientes pasos para agregar cuentas de servicio desde el proyecto que aprovisionará:
- Crear un rol de IAM.
- Agregar una cuenta de servicio al rol de IAM del proyecto host.
- Agregar la cuenta de servicio de Cloud Build a la VPC compartida.
- Crear reglas de firewall.
Crear un rol de IAM
Determine el nivel de acceso del rol:
- Acceso a nivel de proyecto o
- Un modelo más restringido que utiliza el acceso a nivel de subred.
Acceso a nivel de proyecto para el rol de IAM. Para el rol de IAM a nivel de proyecto, incluya los siguientes permisos:
- compute.firewalls.list
- compute.networks.list
- compute.subnetworks.list
- compute.subnetworks.use
Para crear un rol de IAM a nivel de proyecto:
- En la consola de Google Cloud, vaya a IAM & Admin > Roles.
- En la página Roles, seleccione CREATE ROLE.
- En la página Create Role, especifique el nombre del rol. Seleccione ADD PERMISSIONS.
- En la página Add permissions, agregue permisos al rol de forma individual. Para agregar un permiso, escriba el nombre del permiso en el campo Filter table. Seleccione el permiso y, a continuación, seleccione ADD.
- Seleccione CREATE.
Subnet-level IAM role. Este rol omite la adición de los permisos compute.subnetworks.list
y compute.subnetworks.use
después de seleccionar CREATE ROLE. Para este nivel de acceso de IAM, los permisos compute.firewalls.list
y compute.networks.list
deben aplicarse al nuevo rol.
Para crear un rol de IAM a nivel de subred:
- En la consola de Google Cloud, vaya a VPC network > Shared VPC. Aparecerá la página Shared VPC, que muestra las subredes de las redes de VPC compartidas que contiene el proyecto host.
- En la página Shared VPC, seleccione la subred a la que quiere acceder.
- En la esquina superior derecha, seleccione ADD MEMBER para agregar una cuenta de servicio.
- En la página Add members, siga estos pasos:
- En el campo New members, escriba el nombre de su cuenta de servicio y, a continuación, selecciónela en el menú.
- Seleccione el campo Select a role y, a continuación, Compute Network User.
- Seleccione SAVE.
- En la consola de Google Cloud, vaya a IAM & Admin > Roles.
- En la página Roles, seleccione CREATE ROLE.
- En la página Create Role, especifique el nombre del rol. Seleccione ADD PERMISSIONS.
- En la página Add permissions, agregue permisos al rol de forma individual. Para agregar un permiso, escriba el nombre del permiso en el campo Filter table. Seleccione el permiso y, a continuación, seleccione ADD.
- Seleccione CREATE.
Agregar una cuenta de servicio al rol de IAM del proyecto host
Después de crear un rol de IAM, siga estos pasos para agregar una cuenta de servicio para el proyecto host:
- En la consola de Google Cloud, vaya al proyecto host y, a continuación, a IAM & Admin > IAM.
- En la página IAM, seleccione ADD para agregar una cuenta de servicio.
- En la página Add members:
- En el campo New members, escriba el nombre de su cuenta de servicio y, a continuación, selecciónela en el menú.
- En el campo Select a role, introduzca el rol de IAM que creó y, a continuación, seleccione el rol en el menú.
- Seleccione SAVE.
Ahora la cuenta de servicio está configurada para el proyecto host.
Agregar la cuenta de servicio de Cloud Build a la VPC compartida
Cada suscripción a Google Cloud tiene una cuenta de servicio que tiene, como nombre, el número de identificación del proyecto, seguido de cloudbuild.gserviceaccount
. Por ejemplo: 705794712345@cloudbuild.gserviceaccount
.
Para determinar el número de ID del proyecto, vaya a Cloud overview > Dashboard en la consola de Google Cloud. El ID y el número de proyecto se muestran en la tarjeta de información Dashboard Project del proyecto:
Siga estos pasos para agregar la cuenta de servicio de Cloud Build a la VPC compartida:
- En la consola de Google Cloud, vaya al proyecto host y, a continuación, a IAM & Admin > IAM.
- En la página Permissions, seleccione ADD para agregar una cuenta.
- En la página Add members, siga estos pasos:
- En el campo New members, escriba el nombre de la cuenta de servicio de Cloud Build y, a continuación, selecciónela en el menú.
- Seleccione el campo Select a role, escriba
Computer Network User
y, a continuación, seleccione el rol en el menú. - Seleccione SAVE.
Crear reglas de firewall
Como parte del proceso de masterización, MCS copia la imagen de máquina seleccionada y la utiliza para preparar el disco del sistema de la imagen maestra para el catálogo. Durante la masterización, MCS conecta el disco a una máquina virtual temporal, que luego ejecuta scripts de preparación. Esta máquina virtual debe ejecutarse en un entorno aislado que prohíba todo el tráfico de red entrante y saliente.
Para crear un entorno aislado, MCS requiere dos reglas “deny all” en el firewall (una regla de entrada y una regla de salida). Por lo tanto, cree dos reglas de firewall (entrada y salida) en el proyecto host de la siguiente manera:
- En la consola de Google Cloud, vaya al proyecto host y, a continuación, a VPC Network > Firewall.
- En la página Firewall, seleccione CREATE FIREWALL RULE.
- En la página Create a firewall rule, complete lo siguiente:
- Nombre. Escriba el nombre de la regla.
- Network. Seleccione la red de VPC compartida a la que se aplica la regla de firewall de entrada.
- Priority. Cuanto menor sea el valor, mayor será la prioridad de la regla. Recomendamos un valor pequeño (por ejemplo, 10).
- Direction of traffic. Seleccione Ingress.
- Action on match. Seleccione Deny.
- Targets. Utilice el valor predeterminado, Specified target tags.
-
Target tags. Escriba
citrix-provisioning-quarantine-firewall
. - Source filter. Utilice el valor predeterminado, IP ranges.
-
Source IP ranges. Escriba un intervalo que tenga en cuenta todo el tráfico. Escriba
0.0.0.0/0
. - Protocols and ports. Seleccione Deny all.
- Seleccione CREATE para crear la regla.
- Repita los pasos para crear otra regla. En Direction of traffic, seleccione Egress.
Usar claves de cifrado administradas por el cliente (CMEK)
Puede utilizar claves de cifrado administradas por el cliente (CMEK) para catálogos de MCS. Al utilizar esta funcionalidad, asigna el rol CryptoKey Encrypter/Decrypter
del servicio Key Management Service (KMS) de Google Cloud al agente de servicio de Compute Engine. La cuenta de Citrix DaaS debe tener los permisos correctos en el proyecto en el que se almacena la clave. Consulte Asignar permisos a la cuenta de Citrix DaaS. Consulte Ayuda a proteger los recursos con claves de Cloud KMS para obtener más información.
El agente de servicio de Compute Engine tiene el siguiente formato: service-<Project _Number>@compute-system.iam.gserviceaccount.com
. Este formato es distinto de la cuenta de servicio predeterminada de Compute Engine.
Nota:
Puede que esta cuenta de servicio de Compute Engine no aparezca en la pantalla IAM Permissions de Google Console. En tales casos, use el comando
gcloud
como se describe en Ayuda a proteger los recursos con claves de Cloud KMS.
Asignar permisos a la cuenta de Citrix DaaS
Los permisos de Google Cloud KMS se pueden configurar de varias formas. Puede proporcionar permisos de KMS a nivel de proyecto o a nivel de recursos. Consulte Permisos y funciones para obtener más información.
Permisos de KMS a nivel de proyecto
Una opción es proporcionar a la cuenta de Citrix DaaS permisos a nivel de proyecto para explorar los recursos de Cloud KMS. Para ello, cree un rol personalizado y agregue los siguientes permisos:
cloudkms.keyRings.list
cloudkms.keyRings.get
cloudkms.cryptokeys.list
cloudkms.cryptokeys.get
Asigne este rol personalizado a su cuenta de Citrix DaaS. Esto le permite examinar las claves regionales del proyecto correspondiente del inventario.
Permisos de KMS a nivel de recursos
Para la otra opción, los permisos a nivel de recursos, en la consola de Google Cloud, vaya a la cryptoKey
que utiliza para aprovisionamiento de MCS. Agregue la cuenta de Citrix DaaS a un llavero o a una clave que utilice para aprovisionamiento de catálogos.
Sugerencia:
Con esta opción, no puede examinar las claves regionales de su proyecto en el inventario, puesto que la cuenta de Citrix DaaS no tiene permisos de lista a nivel de proyecto sobre los recursos de Cloud KMS. Sin embargo, aún podrá aprovisionar un catálogo con CMEK especificando el
cryptoKeyId
correcto en las propiedades personalizadas deProvScheme
. Consulte Crear un catálogo con CMEK mediante propiedades personalizadas.
Rotar claves administradas por el cliente
Google Cloud no admite claves de rotación en discos o imágenes persistentes existentes. Una vez que se aprovisiona una máquina, se asocia a la versión de clave en uso en el momento de su creación. Sin embargo, se puede crear una nueva versión de la clave y esa nueva clave se utilizará con las máquinas o recursos recién aprovisionados creados al actualizar un catálogo con una nueva imagen maestra.
Consideraciones importantes acerca de los llaveros
Los llaveros no se pueden cambiar de nombre ni eliminar. Además, podría incurrir en cargos imprevistos al configurarlos. Al eliminar o quitar un llavero, Google Cloud muestra un mensaje de error:
Sorry, you can't delete or rename keys or key rings. We were concerned about the security implications of allowing multiple keys or key versions over time to have the same resource name, so we decided to make names immutable. (And you can't delete them, because we wouldn't be able to do a true deletion--there would still have to be a tombstone tracking that this name had been used and couldn't be reused).
We're aware that this can make things untidy, but we have no immediate plans to change this.
If you want to avoid getting billed for a key or otherwise make it unavailable, you can do so by deleting all the key versions; neither keys nor key rings are billed for, just the active key versions within the keys.
<!--NeedCopy-->
Sugerencia:
Para obtener más información, consulte Editing or deleting a key ring from the console.
Compatibilidad con “Acceso uniforme a nivel de bucket”
Citrix DaaS es compatible con la directiva de acceso uniforme a nivel de depósito de Google Cloud. Esta funcionalidad amplía el uso de la directiva de IAM que concede permisos a una cuenta de servicio para permitir la manipulación de recursos, incluidos los depósitos de almacenamiento. Con control de acceso uniforme a nivel de depósito, Citrix DaaS le permite utilizar una lista de control de acceso (ACL) para controlar el acceso a los depósitos de almacenamiento o a los objetos almacenados en ellos. Para obtener información general acerca del acceso uniforme a nivel de depósito de Google Cloud, consulte Acceso uniforme a nivel de bucket. Para obtener información sobre la configuración, consulte Requerir acceso uniforme a nivel de bucket.
Usar PowerShell
En esta sección se detalla cómo realizar las siguientes tareas con PowerShell:
- Crear un catálogo con un disco persistente de caché de reescritura
- Mejorar el rendimiento del arranque con E/S de MCS
- Crear un catálogo con CMEK mediante propiedades personalizadas
- Crear un catálogo de máquinas mediante un perfil de máquina
- Crear un catálogo de máquinas con el perfil de máquina como plantilla de instancias
- Crear un catálogo con máquinas virtuales blindadas
- Crear máquinas virtuales de Windows 11 en el nodo de arrendatario único
- Máquinas virtuales y discos con etiquetas heredadas
Crear un catálogo con un disco persistente de caché de reescritura
Para configurar un catálogo con un disco persistente de caché con reescritura, use el comando New-ProvScheme CustomProperties
de PowerShell.
Sugerencia:
Use el parámetro de PowerShell
New-ProvScheme CustomProperties
solo para conexiones de alojamiento basadas en la nube. Si quiere aprovisionar máquinas con un disco persistente de caché de reescritura para una solución local (por ejemplo, XenServer), PowerShell no es necesario porque el disco conserva automáticamente los datos.
Este comando ofrece una propiedad adicional, PersistWBC
, que se utiliza para determinar cómo el disco de caché con reescritura persiste en máquinas aprovisionadas con MCS. La propiedad PersistWBC
solo se utiliza cuando se especifica el parámetro UseWriteBackCache
y cuando se establece el parámetro WriteBackCacheDiskSize
para indicar que se ha creado un disco.
Nota:
Este comportamiento se aplica tanto a Azure como a GCP, donde los datos del disco de caché de reescritura predeterminado de E/S de MCS se eliminan y se vuelven a crear cuando se apaga o se enciende la máquina. Puede optar por conservar los datos del disco para evitar la eliminación y la recreación de los datos del disco caché de reescritura de E/S de MCS.
He aquí unos cuantos ejemplos de propiedades que se encuentran en el parámetro CustomProperties
antes de optar por la propiedad PersistWBC
:
<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<Property xsi:type="StringProperty" Name="UseManagedDisks" Value="true" />
<Property xsi:type="StringProperty" Name="StorageAccountType" Value="Premium_LRS" />
<Property xsi:type="StringProperty" Name="ResourceGroups" Value="benvaldev5RG3" />
</CustomProperties>
<!--NeedCopy-->
Nota:
Este ejemplo solo se aplica a Azure. Las propiedades son diferentes en el entorno de GCP.
Al utilizar estas propiedades, tenga en cuenta que contienen valores predeterminados si las propiedades se omiten del parámetro CustomProperties
. La propiedad PersistWBC
tiene dos valores posibles: true o false.
Cuando la propiedad PersistWBC
es true, el disco de caché con reescritura no se elimina cuando el administrador de Citrix DaaS apaga la máquina desde la interfaz de administración.
Cuando la propiedad PersistWBC
es false, el disco de caché con reescritura se elimina cuando el administrador de Citrix DaaS apaga la máquina desde la interfaz de administración.
Nota:
Si se omite la propiedad
PersistWBC
, su valor predeterminado es false, y la memoria caché de reescritura se elimina cuando la máquina se apaga desde la interfaz de administración.
Por ejemplo, así se usa el parámetro CustomProperties
para configurar PersistWBC
en “true”:
<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<Property xsi:type="StringProperty" Name="UseManagedDisks" Value="true" />
<Property xsi:type="StringProperty" Name="StorageAccountType" Value="Premium_LRS" />
<Property xsi:type="StringProperty" Name="ResourceGroups" Value="benvaldev5RG3" />
<Property xsi:type="StringProperty" Name="PersistWBC" Value="true" />
</CustomProperties>
<!--NeedCopy-->
Importante:
La propiedad
PersistWBC
solo se puede configurar mediante el cmdlet de PowerShellNew-ProvScheme
. Si se intenta modificarCustomProperties
de un esquema de aprovisionamiento después de la creación, esto no afecta al catálogo de máquinas ni a la persistencia del disco de caché de reescritura cuando se apaga una máquina.
Por ejemplo, configure New-ProvScheme
para utilizar la memoria caché de reescritura mientras configura la propiedad PersistWBC
en “true”:
New-ProvScheme
-CleanOnBoot
-CustomProperties "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`"><Property xsi:type=`"StringProperty`" Name=`"UseManagedDisks`" Value=`"true`" /><Property xsi:type=`"StringProperty`" Name=`"StorageAccountType`" Value=`"Premium_LRS`" /><Property xsi:type=`"StringProperty`" Name=`"ResourceGroups`" Value=`"benvaldev5RG3`" /><Property xsi:type=`"StringProperty`" Name=`"PersistWBC`" Value=`"true`" /></CustomProperties>"
-HostingUnitName "adSubnetScale1"
-IdentityPoolName "BV-WBC1-CAT1"
-MasterImageVM "XDHyp:\HostingUnits\adSubnetScale1\image.folder\GoldImages.resourcegroup\W10MCSIO-01_OsDisk_1_a940e6f5bab349019d57ccef65d2c7e3.manageddisk"
-NetworkMapping @{"0"="XDHyp:\HostingUnits\adSubnetScale1\virtualprivatecloud.folder\CloudScale02.resourcegroup\adVNET.virtualprivatecloud\adSubnetScale1.network"}
-ProvisioningSchemeName "BV-WBC1-CAT1"
-ServiceOffering "XDHyp:\HostingUnits\adSubnetScale1\serviceoffering.folder\Standard_D2s_v3.serviceoffering"
-UseWriteBackCache
-WriteBackCacheDiskSize 127
-WriteBackCacheMemorySize 256
<!--NeedCopy-->
Mejorar el rendimiento del arranque con E/S de MCS
Puede mejorar el rendimiento de arranque de los discos administrados de Azure y GCP cuando E/S de MCS está habilitada. Utilice la propiedad personalizada PersistOSDisk
de PowerShell en el comando New-ProvScheme
para configurar esta función. Las opciones asociadas a New-ProvScheme
son:
<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<Property xsi:type="StringProperty" Name="UseManagedDisks" Value="true" />
<Property xsi:type="StringProperty" Name="StorageAccountType" Value="Premium_LRS" />
<Property xsi:type="StringProperty" Name="Resource<!--NeedCopy-->
``````<!--NeedCopy-->
````````Groups" Value="benvaldev5RG3" />
<Property xsi:type="StringProperty" Name="PersistOsDisk" Value="true" />
</CustomProperties>
<!--NeedCopy-->
Para habilitar esta función, establezca la propiedad personalizada PersistOSDisk
en true. Por ejemplo:
New-ProvScheme
-CleanOnBoot
-CustomProperties "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`"><Property xsi:type=`"StringProperty`" Name=`"UseManagedDisks`" Value=`"true`" /><Property xsi:type=`"StringProperty`" Name=`"StorageAccountType`" Value=`"Premium_LRS`" /><Property xsi:type=`"StringProperty`" Name=`"ResourceGroups`" Value=`"benvaldev5RG3`" /><Property xsi:type=`"StringProperty`" Name=`"PersistOsDisk`" Value=`"true`" /></CustomProperties>"
-HostingUnitName "adSubnetScale1"
-IdentityPoolName "BV-WBC1-CAT1"
-MasterImageVM "XDHyp:\HostingUnits\adSubnetScale1\image.folder\GoldImages.resourcegroup\W10MCSIO-01_OsDisk_1_a940e6f5bab349019d57ccef65d2c7e3.manageddisk"
-NetworkMapping @{"0"="XDHyp:\HostingUnits\adSubnetScale1\virtualprivatecloud.folder\CloudScale02.resourcegroup\adVNET.virtualprivatecloud\adSubnetScale1.network"}
-ProvisioningSchemeName "BV-WBC1-CAT1"
-ServiceOffering "XDHyp:\HostingUnits\adSubnetScale1\serviceoffering.folder\Standard_D2s_v3.serviceoffering"
-UseWriteBackCache
-WriteBackCacheDiskSize 127
-WriteBackCacheMemorySize 256
<!--NeedCopy-->
Crear un catálogo con CMEK mediante propiedades personalizadas
Al crear el esquema de aprovisionamiento a través de PowerShell, especifique una propiedad CryptoKeyId
en ProvScheme CustomProperties
. Por ejemplo:
'<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<Property xsi:type="StringProperty" Name="CryptoKeyId" Value="<yourCryptoKeyId>" />
</CustomProperties>'
<!--NeedCopy-->
cryptoKeyId
debe especificarse en el siguiente formato:
projectId:location:keyRingName:cryptoKeyName
Por ejemplo, si quiere usar la clave my-example-key
en el llavero my-example-key-ring
de la región us-east1
y el proyecto con ID my-example-project-1
, su configuración personalizada de ProvScheme
se asemejaría a:
'<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<Property xsi:type="StringProperty" Name="CryptoKeyId" Value="my-example-project-1:us-east1:my-example-key-ring:my-example-key" />
</CustomProperties>'
<!--NeedCopy-->
Todas las imágenes y discos aprovisionados de MCS relacionados con este esquema de aprovisionamiento utilizan esta clave de cifrado administrada por el cliente.
Sugerencia:
Si utiliza claves globales, la ubicación de las propiedades del cliente debe indicar
global
, y no el nombre de la región, que en el ejemplo anterior es us-east1. Por ejemplo:<Property xsi:type="StringProperty" Name="CryptoKeyId" Value="my-example-project-1:global:my-example-key-ring:my-example-key" />
.
Crear un catálogo de máquinas mediante un perfil de máquina
Al crear un catálogo para aprovisionar máquinas mediante Machine Creation Services (MCS), puede usar un perfil de máquina para capturar las propiedades del hardware de una máquina virtual y aplicarlas a las máquinas virtuales recién aprovisionadas del catálogo. Cuando no se utiliza el parámetro MachineProfile
, las propiedades del hardware se obtienen de la instantánea o la VM de la imagen maestra.
Algunas propiedades se definen de forma explícita; por ejemplo StorageType
, CatalogZones
y CryptoKeyId
se omiten en el perfil de la máquina.
- Para crear un catálogo con un perfil de máquina, utilice el comando
New-ProvScheme
. Por ejemplo,New-ProvScheme –MachineProfile “path to VM”
. Si no especifica el parámetroMachineProfile
, las propiedades del hardware se capturan de la máquina virtual de la imagen maestra. - Para actualizar un catálogo con un nuevo perfil de máquina, utilice el comando
Set-ProvScheme
. Por ejemplo,Set-ProvScheme –MachineProfile “path to new VM”
. Este comando no cambia el perfil de máquina de las máquinas virtuales existentes del catálogo. Solo las nuevas máquinas virtuales que se agregan al catálogo tienen el nuevo perfil de máquina. -
También puede actualizar la imagen maestra; sin embargo, al actualizar la imagen maestra, las propiedades del hardware no se actualizan. Si quiere actualizar las propiedades del hardware, debe actualizar el perfil de la máquina con el comando
Set-ProvScheme
. Estos cambios solo se aplicarán a las nuevas máquinas del catálogo. Para actualizar las propiedades de hardware de una máquina existente, puede utilizar el comandoSet-ProvVMUpdateTimeWindow
mediante los parámetros-StartsNow
y-DurationInMinutes -1
.Nota:
-
StartsNow
indica que la hora de inicio programada es la hora actual. -
DurationInMinutes
con un número negativo (por ejemplo, -1) indica que no hay ningún límite superior en la ventana de tiempo de la programación.
-
Crear un catálogo de máquinas con el perfil de máquina como plantilla de instancias
Puede seleccionar una plantilla de instancias de GCP como entrada para el perfil de la máquina. Las plantillas de instancias son recursos ligeros de GCP y, por lo tanto, muy rentables.
Crear un nuevo catálogo de máquinas con el perfil de máquina como plantilla de instancias
- Abra una ventana de PowerShell.
- Ejecute
asnp citrix*
para cargar los módulos de PowerShell específicos de Citrix. -
Utilice el siguiente comando para encontrar una plantilla de instancias en su proyecto de GCP:
cd XDHyp:\HostingUnits<HostingUnitName>\instanceTemplates.folder <!--NeedCopy-->
-
Cree un nuevo catálogo de máquinas con el perfil de máquina como plantilla de instancias mediante el comando NewProvScheme:
New-ProvScheme -ProvisioningSchemeName <CatalogName> -HostingUnitName <HostingUnitName> -IdentityPoolName <identity pool name> -MasterImageVM XDHyp:\HostingUnits<HostingUnitName>\Base.vm\Base.snapshot -MachineProfile XDHyp:\HostingUnits<HostingUnitName>\instanceTemplates.folder\mytemplate.template <!--NeedCopy-->
Para obtener más información sobre el comando New-ProvScheme, consulte https://developer-docs.citrix.com/projects/citrix-daas-sdk/en/latest/MachineCreation/New-ProvScheme/.
- Utilice los comandos de PowerShell para terminar de crear el catálogo de máquinas.
Actualizar un catálogo de máquinas para tener una plantilla de instancias como perfil de máquina
- Abra una ventana de PowerShell.
- Ejecute
asnp citrix*
para cargar los módulos de PowerShell específicos de Citrix. -
Ejecute este comando:
Set-ProvScheme -ProvisioningSchemeName <CatalogName> -MachineProfile XDHyp:\HostingUnits<HostingUnitName>\instanceTemplates.folder<TemplateName>.template <!--NeedCopy-->
Para obtener información sobre el comando Set-ProvScheme, consulte https://developer-docs.citrix.com/projects/citrix-daas-sdk/en/latest/MachineCreation/Set-ProvScheme/.
Crear un catálogo con máquinas virtuales blindadas
Puede crear un catálogo de máquinas de MCS con propiedades de VM blindada. Una máquina virtual blindada se ve reforzada por un conjunto de controles de seguridad que proporcionan integridad verificable de sus instancias de Compute Engine, con prestaciones avanzadas de seguridad de plataforma como el arranque seguro, un módulo de plataforma virtual de confianza, firmware UEFI y la supervisión de la integridad.
MCS admite la creación del catálogo mediante el flujo de trabajo del perfil de máquina. Si utiliza un flujo de trabajo de perfil de máquina, debe habilitar las propiedades de máquina virtual blindad de una instancia de máquina virtual. A continuación, puede utilizar esta instancia de máquina virtual como entrada del perfil de máquina.
Crear un catálogo de máquinas de MCS con máquinas virtuales blindadas
- Habilite las opciones de máquina virtual blindada de una instancia de máquina virtual en la consola de Google Cloud. Consulte Quickstart: Enable Shielded VM options.
- Cree un catálogo de máquinas de MCS con un flujo de trabajo de perfil de máquina mediante la instancia de máquina virtual.
- Abra una ventana de PowerShell.
- Ejecute
asnp citrix*
para cargar los módulos de PowerShell específicos de Citrix. - Cree un grupo de identidades si aún no se ha creado.
-
Ejecute el comando
New-ProvScheme
. Por ejemplo:New-ProvScheme -ProvisioningSchemeName <catalog-name> -HostingUnitName gcp-hostint-unit -MasterImageVM XDHyp:\HostingUnits\gcp-hostint-unit\catalog-vda.vm -MachineProfile XDHyp:\HostingUnits\gcp-hostint-unit\catalog-machine.vm <!--NeedCopy-->
- Termine de crear el catálogo de máquinas.
Actualizar un catálogo de máquinas con un nuevo perfil de máquina
-
Ejecute el comando
Set-ProvScheme
. Por ejemplo:Set-ProvScheme -ProvisioningSchemeName <catalog-name> -MasterImageVM XDHyp:\HostingUnits<hostin-unit>\catalog-vda.vm -MachineProfile "DHyp:\HostingUnits<hostin-unit>\catalog-machine.vm <!--NeedCopy-->
Para aplicar el cambio realizado en Set-ProvScheme
a las máquinas virtuales existentes, ejecute el comando Set-ProvVMUpdateTimeWindow
.
-
Ejecute el comando
Set-ProvVMUpdateTimeWindow
. Por ejemplo:Set-ProvVMUpdateTimeWindow -ProvisioningSchemeName my-catalog -VMName <List-Of-Vm-Names> -StartsNow -DurationInMinutes -1 <!--NeedCopy-->
-
Reinicie las máquinas virtuales.
Crear máquinas virtuales de Windows 11 en el nodo de arrendatario único
Puede crear máquinas virtuales de Windows 11 en GCP. Sin embargo, si instala Windows 11 en la imagen maestra, debe habilitar vTPM durante el proceso de creación de la imagen maestra. Además, debe habilitar vTPM en el origen del perfil de máquina (plantilla de instancia o máquina virtual).
Los pasos clave para crear máquinas virtuales de Windows 11 en el nodo de arrendatario único son:
- Configurar los entornos de virtualización de Google Cloud. Para obtener información, consulte Entornos de Google Cloud.
- Instalar un VDA. Consulte Instalar VDA.
- Crear una conexión con entornos de Google Cloud. Para obtener más información, consulte Conexión con entornos de nube de Google.
- Crear una imagen maestra de Bring Your Own License (BYOL) de Windows 11 e importarla en Google Cloud. Consulte Crear una imagen maestra de BYOL para Windows 11.
- Crear el origen del perfil de la máquina: aprovisione la máquina virtual en el nodo de arrendatario único y habilite el vTPM del perfil de máquina de origen. Consulte Aprovisionar una máquina virtual en un nodo de arrendatario único.
- Crear un catálogo de máquinas de MCS con el origen del perfil de máquina de Windows 11 habilitado con vTPM. El origen del perfil de máquina debe tener el mismo tipo de instancia que se describe en el nodo de arrendatario único. Consulte Crear un catálogo de máquinas de MCS con el origen del perfil de máquina de Windows 11.
Crear una imagen maestra de BYOL para Windows 11
Hay dos opciones para crear una imagen maestra de BYOL para Windows 11 e importar la imagen maestra en Google Cloud:
- Usar las herramientas de Cloud Build de Google Cloud
- Crear la imagen maestra en cualquier otro hipervisor
Usar las herramientas de Cloud Build de Google Cloud
- Cargue los archivos de instalación ISO de Windows 11, SDK de GCP, .NET Framework y PowerShell en el depósito de almacenamiento de GCP.
- Proporcione la ubicación del archivo en el archivo
.yaml
de Cloud Build como parámetro. -
Ejecute el siguiente Cloud Build desde la línea de comandos para compilar la imagen final de Windows 11. GCP arranca y crea la imagen maestra en el proyecto seleccionado mediante un flujo de trabajo de Daisy en GCP, y la imagen maestra se importa a GCP.
gcloud compute instances import INSTANCE-NAME--source-uri=gs://BUCKET/IMAGE-OVF-FILE.ovf --guest-os-features=UEFI_COMPATIBLE --byol --machine-type=MACHINE-TYPE --zone=ZONE <!--NeedCopy-->
Nota:
Sustituya todo el texto en mayúscula por los detalles reales del recurso.
Para obtener la información completa, consulte Crear imágenes de BYOL de Windows personalizadas.
Crear la imagen maestra en cualquier otro hipervisor
- Cree la imagen maestra de Windows 11 con cualquier otro hipervisor.
- Exporte la imagen maestra en formato OVF a la máquina local.
-
Cargue los archivos OVF en el depósito de almacenamiento de GCP mediante la CLI de gcloud local.
gsutil cp LOCAL_IMAGE_PATH_OVF_FILES gs://BUCKET_NAME/ <!--NeedCopy-->
-
Ejecute el siguiente Cloud Build desde la línea de comandos para compilar la imagen final de Windows 11. GCP arranca y crea la imagen maestra en el proyecto seleccionado mediante un flujo de trabajo de Daisy en GCP, y la imagen maestra se importa a GCP.
gcloud compute instances import INSTANCE-NAME --source-uri=gs://BUCKET/IMAGE-OVF-FILE.ovf --guest-os-features=UEFI_COMPATIBLE --byol --machine-type=MACHINE-TYPE --zone=ZONE <!--NeedCopy-->
Nota:
Sustituya todo el texto en mayúscula por los detalles reales del recurso.
Aprovisionar una máquina virtual en un nodo de arrendatario único
Use los nodos de arrendatario único para mantener sus máquinas virtuales separadas físicamente de las máquinas virtuales de otros proyectos, o para agruparlas en el mismo hardware de host. Para obtener información sobre el nodo de arrendatario único, consulte el documento de GCP Descripción general de los usuarios únicos.
Para aprovisionar una máquina virtual (origen del perfil de máquina) en el nodo de arrendatario único, consulte el documento de GCP Aprovisionar VM en nodos de usuario único.
Nota:
- Seleccione el mismo tipo de instancia y región que el grupo de nodos.
- Habilite vTPM en la sección de VM protegida. Para obtener más información, consulte Guía de inicio rápido: Habilita las opciones de VM protegida.
- Inhabilite Bitlocker en la máquina virtual de origen.
Crear un catálogo de máquinas de MCS con el origen del perfil de máquina de Windows 11
Puede crear un catálogo de máquinas de MCS para crear máquinas virtuales de Windows 11 mediante Studio o los comandos de PowerShell.
Nota:
- Para la imagen maestra, seleccione instantánea o VM de Windows 11.
- Para el origen del perfil de la máquina, seleccione VM de Windows 11 como perfil de máquina. El origen del perfil de máquina debe tener el mismo tipo de instancia que se describe en el nodo de arrendatario único.
Para obtener información sobre el uso de Studio, consulte Crear un catálogo de máquinas mediante Studio.
Para obtener información sobre los comandos de PowerShell, consulte Crear un catálogo de máquinas mediante un perfil de máquina.
Después de crear el catálogo y encender las máquinas virtuales, puede ver las máquinas virtuales de Windows 11 que se ejecutan en el nodo de arrendatario único en la consola de Google Cloud.
Máquinas virtuales y discos con etiquetas heredadas
Las máquinas virtuales y los discos del catálogo de máquinas de MCS (disco de identidad, disco con caché de escritura y disco del sistema operativo) pueden heredar las etiquetas de un origen de perfil de máquina (plantilla de instancia o instancia de máquina virtual de GCP). Puede usar las etiquetas para distinguir las instancias pertenecientes a diferentes equipos (por ejemplo, team:research y team:analytics) y usarlas para la contabilidad de costes o la elaboración de presupuestos. Para obtener más información sobre las etiquetas, consulte el documento de GCP Organize resources using labels.
Puede crear o actualizar un catálogo y actualizar las máquinas virtuales existentes para que hereden las etiquetas a través del origen de perfil de máquina.
Esta función se aplica a catálogos de máquinas de MCS persistentes y no persistentes.
Puede realizar lo siguiente:
- Crear un catálogo con etiquetas heredadas
- Actualizar un catálogo existente con etiquetas heredadas
- Actualizar las máquinas virtuales existentes con etiquetas heredadas
- Obtener información para las etiquetas de VM y discos de arranque
- Quitar una máquina virtual
Crear un catálogo con etiquetas heredadas
Para crear un catálogo de máquinas de MCS en el que las máquinas virtuales y el disco hereden las etiquetas del origen del perfil de máquina, haga lo siguiente:
- Cree un origen de perfil de máquina (instancia de VM o plantilla de instancia) con etiquetas. Para obtener información sobre la creación de máquinas virtuales con etiquetas, consulte el documento de GCP Create resources with labels. Se crea una plantilla de instancia a partir de la VM y toma las etiquetas definidas en la VM.
- Cree un catálogo de MCS con Studio o los comandos de PowerShell.
- Si usa Studio, en la página Imagen, seleccione Usar un perfil de máquina y, a continuación, seleccione la máquina virtual o la plantilla.
-
Si usa comandos de PowerShell, haga lo siguiente:
- Abra la ventana de PowerShell.
- Ejecute asnp citrix*.
- Crear un grupo de identidades. El grupo de identidades es un contenedor para las cuentas de Active Directory (AD) de las máquinas virtuales que se crearán.
- Cree las cuentas de equipo de AD necesarias en Active Directory.
-
Ejecute el comando
New-ProvScheme
para crear un catálogo. Por ejemplo:New-ProvScheme con plantilla como entrada de perfil de máquina (catálogo persistente):
New-ProvScheme ` -ProvisioningSchemeName "catalog-name" ` -HostingUnitUid "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" ` -IdentityPoolUid "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" ` -MasterImageVM "XDHyp:\HostingUnits\hosting-unit-name\vm-name.vm" ` -MachineProfile "XDHyp:\HostingUnits\hosting-unit-name\instanceTemplates.folder\instance-template-name.template" ` <!--NeedCopy-->
New-ProvScheme con plantilla de instancia como entrada de perfil de máquina (catálogo no persistente):
New-ProvScheme ` -ProvisioningSchemeName "catalog-name" ` -HostingUnitUid "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" ` -IdentityPoolUid "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" ` -MasterImageVM "XDHyp:\HostingUnits\hosting-unit-name\vm-name.vm" ` -MachineProfile "XDHyp:\HostingUnits\hosting-unit-name\instanceTemplates.folder\instance-template-name.template" ` -CleanOnBoot <!--NeedCopy-->
New-ProvScheme con instancia de VM como entrada de perfil de máquina (catálogo persistente):
New-ProvScheme ` -ProvisioningSchemeName "catalog-name" ` -HostingUnitUid "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" ` -IdentityPoolUid "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" ` -MasterImageVM "XDHyp:\HostingUnits\hosting-unit-name\vm-name.vm" ` -MachineProfile "XDHyp:\HostingUnits\hosting-unit-name\vm-name.vm" ` <!--NeedCopy-->
New-ProvScheme con instancia de VM como entrada de perfil de máquina (catálogo no persistente):
New-ProvScheme ` -ProvisioningSchemeName "catalog-name" ` -HostingUnitUid "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" ` -IdentityPoolUid "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" ` -MasterImageVM "XDHyp:\HostingUnits\hosting-unit-name\vm-name.vm" ` -MachineProfile "XDHyp:\HostingUnits\hosting-unit-name\vm-name.vm" ` -CleanOnBoot <!--NeedCopy-->
- Registre el esquema de aprovisionamiento como un catálogo de broker.
- Agregue las VM al catálogo.
Actualizar un catálogo existente con etiquetas heredadas
Para actualizar un catálogo para que tenga un nuevo perfil de máquina, ejecute el comando Set-ProvScheme. Después de ejecutar el comando, las nuevas máquinas virtuales que se agreguen al catálogo tendrán las etiquetas del nuevo origen de perfil de máquina. El catálogo no persistente se actualiza en el siguiente encendido.
Por ejemplo:
Set-ProvScheme con plantilla de instancia como entrada de perfil de máquina:
Set-ProvScheme `
-ProvisioningSchemeName "catalog-name" `
-MachineProfile "XDHyp:\HostingUnits\hosting-unit-name\instanceTemplates.folder\instance-template-name.template" `
<!--NeedCopy-->
Set-ProvScheme con instancia de VM como entrada de perfil de máquina:
Set-ProvScheme `
-ProvisioningSchemeName "catalog-name" `
-MachineProfile "XDHyp:\HostingUnits\hosting-unit-name\vm-name.vm" `
<!--NeedCopy-->
Actualizar las máquinas virtuales existentes con etiquetas heredadas
Para actualizar las máquinas virtuales existentes con el origen de perfil de máquina actualizado, ejecute los siguientes comandos:
Set-ProvScheme
-
Set-ProvVMUpdateTimeWindow
. Por ejemplo:Set-ProvVMUpdateTimeWindow -ProvisioningSchemeName my-catalog -VMName <List-Of-Vm-Names> -StartsNow -DurationInMinutes -1 <!--NeedCopy-->
- Reinicie las máquinas virtuales.
Obtener información para las etiquetas de VM y discos de arranque
Después de crear las máquinas virtuales, puede obtener la información de las etiquetas de VM y del disco de arranque mediante el comando Get-Item
con el parámetro AdditionalData
.
Para obtener la información de etiqueta de VM, ejecute el siguiente comando:
(Get-Item XDHyp:\HostingUnits\hosting-unit-name\vm_name.vm).AdditionalData.Tags
<!--NeedCopy-->
Para obtener la información de etiqueta del disco de arranque, ejecute el siguiente comando:
(Get-Item XDHyp:\HostingUnits\hosting-unit-name\vm_name.vm\bootdisk-name.attacheddisk).AdditionalData.Tags
<!--NeedCopy-->
Nota:
Para mantener la coherencia entre los distintos hipervisores, hemos usado el término Etiquetas para mostrar las etiquetas de GCP.
Quitar una máquina virtual
Puede optar por quitar una máquina virtual de un catálogo, pero no puede eliminarla de GCP. En este caso, las etiquetas de Citrix solo se quitan de la VM. Todas las demás etiquetas agregadas no se eliminan de la VM. Puede quitar una máquina virtual de Studio o usar los comandos de PowerShell.
Uso de Studio
- Seleccione y haga clic con el botón secundario en la máquina virtual.
- Haga clic en Eliminar.
- Seleccione Quitar las máquinas virtuales del catálogo pero no eliminarlas.
Mediante los comandos de PowerShell
Ejecute Remove-ProvVM
con el parámetro ForgetVM
. Para obtener más información, consulte el documento del SDK Remove-ProvVM.
Google Cloud Marketplace
Puede buscar y seleccionar imágenes que ofrece Citrix en Google Cloud Marketplace para crear catálogos de máquinas. Actualmente, MCS solo admite el flujo de trabajo de perfiles de máquina para esta función.
Para buscar el producto de VM Citrix VDA en Google Cloud Marketplace, vaya a https://console.cloud.google.com/marketplace/.
Puede usar una imagen personalizada o una imagen preparada por Citrix en Google Cloud Marketplace para actualizar una imagen de un catálogo de máquinas.
Nota:
Si el perfil de la máquina no contiene información sobre el tipo de almacenamiento, el valor se deriva de las propiedades personalizadas.
Las imágenes compatibles de Google Cloud Marketplace son:
- Windows 2019 de sesión única
- Windows 2019 multisesión
- Ubuntu
Ejemplo de uso de una imagen preparada por Citrix como origen para crear un catálogo de máquinas:
New-ProvScheme -ProvisioningSchemeName GCPCatalog \
-HostingUnitName GcpHu -IdentityPoolName gcpPool -CleanOnBoot \
-MasterImageVM XDHyp:\HostingUnits\GcpHu\images.folder\citrix-daas-win2019-single-vda-v20220819.publicimage \
-MachineProfile XDHyp:\HostingUnits\GcpHu\Base.vm
<!--NeedCopy-->
Qué hacer a continuación
- Si este es el primer catálogo creado, Studio le guiará para crear un grupo de entrega.
- Para revisar todo el proceso de configuración, consulte Planificar y crear una implementación.
- Para administrar catálogos, consulte Administrar catálogos de máquinas y Administrar un catálogo de Google Cloud Platform.
Más información
En este artículo
- Preparar la instancia de una VM maestra y un disco persistente
- Habilitar selección de zona
- Creación de un catálogo de máquinas
- Importar máquinas de Google Cloud creadas manualmente
- Nube privada virtual compartida
- Usar claves de cifrado administradas por el cliente (CMEK)
- Compatibilidad con “Acceso uniforme a nivel de bucket”
- Usar PowerShell
- Crear un catálogo con un disco persistente de caché de reescritura
- Crear un catálogo de máquinas mediante un perfil de máquina
- Crear un catálogo de máquinas con el perfil de máquina como plantilla de instancias
- Crear un catálogo con máquinas virtuales blindadas
- Crear máquinas virtuales de Windows 11 en el nodo de arrendatario único
- Máquinas virtuales y discos con etiquetas heredadas
- Google Cloud Marketplace
- Qué hacer a continuación
- Más información