Documentación de productos
Citrix Virtual Apps and Desktops 7 2203 LTSR
Ver PDF

Entornos de Google Cloud

May 30, 2026
Contribución de: 
C C

Citrix Virtual Apps and Desktops™ le permite aprovisionar y administrar máquinas en Google Cloud. Este artículo le guía a través del uso de Machine Creation Services (MCS) para aprovisionar máquinas virtuales en su implementación de servicio de Citrix Virtual Apps o Citrix Virtual Desktops.

Requisitos

  • Cuenta de Citrix Cloud™. La función descrita en este artículo solo está disponible en Citrix Cloud.
  • Suscripción a Citrix DaaS. Para obtener más información, consulte Primeros pasos.
  • Un proyecto de Google Cloud. El proyecto almacena todos los recursos informáticos asociados al catálogo de máquinas. Puede ser un proyecto existente o uno nuevo.
  • Habilite cuatro API en su proyecto de Google Cloud. Para obtener más información, consulte Habilitar las API de Google Cloud.
  • Cuenta de servicio de Google Cloud. La cuenta de servicio se autentica en Google Cloud para permitir el acceso al proyecto. Para obtener más información, consulte Configurar la cuenta de servicio de Google Cloud.
  • Habilite el acceso privado de Google. Para obtener más información, consulte Habilitar el acceso privado de Google.

Habilitar las API de Google Cloud

Para usar la funcionalidad de Google Cloud a través de Web Studio, habilite estas API en su proyecto de Google Cloud:

  • API de Compute Engine
  • API de Cloud Resource Manager
  • API de Identity and Access Management (IAM)
  • API de Cloud Build

Desde la consola de Google Cloud, complete estos pasos:

  1. En el menú superior izquierdo, seleccione API y servicios > Panel.

    Imagen de selección de Panel de API y servicios

  2. En la pantalla Panel, asegúrese de que la API de Compute Engine esté habilitada. Si no lo está, siga estos pasos:

    1. Vaya a API y servicios > Biblioteca.

      Imagen de Biblioteca de API y servicios

    2. En el cuadro de búsqueda, escriba Compute Engine.

    3. En los resultados de búsqueda, seleccione API de Compute Engine.

    4. En la página API de Compute Engine, seleccione Habilitar.

  3. Habilite la API de Cloud Resource Manager.

    1. Vaya a API y servicios > Biblioteca.

    2. En el cuadro de búsqueda, escriba Cloud Resource Manager.

    3. En los resultados de búsqueda, seleccione API de Cloud Resource Manager.

    4. En la página API de Cloud Resource Manager, seleccione Habilitar. Aparecerá el estado de la API.

  4. Del mismo modo, habilite la API de Identity and Access Management (IAM) y la API de Cloud Build.

También puede usar Google Cloud Shell para habilitar las API. Para ello:

  1. Abra la consola de Google y cargue Cloud Shell.

  2. Ejecute los cuatro comandos siguientes en Cloud Shell:

    • gcloud servicios habilitar compute.googleapis.com
    • gcloud servicios habilitar cloudresourcemanager.googleapis.com
    • gcloud services enable iam.googleapis.com.
    • gcloud services enable cloudbuild.googleapis.com.
  3. Haga clic en Autorizar si Cloud Shell se lo solicita.

Configurar y actualizar cuentas de servicio

Nota:

CP introducirá cambios en el comportamiento predeterminado y el uso de las cuentas de servicio de Cloud Build después del 29 de abril de 2024. Para obtener más información, consulte Cambio en la cuenta de servicio de Cloud Build. Sus proyectos de Google existentes con la API de Cloud Build habilitada antes del 29 de abril de 2024 no se ven afectados por este cambio. Sin embargo, si desea mantener el comportamiento existente del servicio Cloud Build después del 29 de abril, puede crear o aplicar la política de la organización para inhabilitar la aplicación de restricciones antes de habilitar la API de Cloud Build. Como resultado, el siguiente contenido se divide en dos: Antes del 29 de abril de 2024 y Después del 29 de abril de 2024. Si establece la nueva política de la organización, siga la sección Antes del 29 de abril de 2024.

Antes del 29 de abril de 2024

Citrix Cloud utiliza tres cuentas de servicio independientes dentro del proyecto de Google Cloud:

  • Cuenta de servicio de Citrix Cloud: Esta cuenta de servicio permite a Citrix Cloud acceder al proyecto de Google, aprovisionar y administrar máquinas. Esta cuenta de servicio se autentica en Google Cloud mediante una clave generada por Google Cloud.

    Debe crear esta cuenta de servicio manualmente como se describe aquí. Para obtener más información, consulte Crear una cuenta de servicio de Citrix Cloud.

    Puede identificar esta cuenta de servicio con una dirección de correo electrónico. Por ejemplo, <my-service-account>@<project-id>.iam.gserviceaccount.com.

  • Cuenta de servicio de Cloud Build: Esta cuenta de servicio se aprovisiona automáticamente después de habilitar todas las API mencionadas en Habilitar las API de Google Cloud. Para ver todas las cuentas de servicio creadas automáticamente, vaya a IAM y administración > IAM en la consola de Google Cloud y seleccione la casilla de verificación Incluir concesiones de roles proporcionadas por Google.

    Puede identificar esta cuenta de servicio por una dirección de correo electrónico que comienza con el ID del proyecto y la palabra cloudbuild. Por ejemplo, <project-id>@cloudbuild.gserviceaccount.com

    Verifique si a la cuenta de servicio se le han concedido los siguientes roles. Si debe agregar roles, siga los pasos descritos en Agregar roles a la cuenta de servicio de Cloud Build.

    • Cuenta de servicio de Cloud Build
    • Administrador de instancias de Compute
    • Usuario de cuenta de servicio

  • Cuenta de servicio de Cloud Compute: Google Cloud agrega esta cuenta de servicio a las instancias creadas en Google Cloud una vez que se activa la API de Compute. Esta cuenta tiene el rol de editor básico de IAM para realizar las operaciones. Sin embargo, si elimina el permiso predeterminado para tener un control más granular, debe agregar un rol de Administrador de almacenamiento que requiere los siguientes permisos:

    • resourcemanager.projects.get
    • storage.objects.create
    • storage.objects.get
    • storage.objects.list

Puede identificar esta cuenta de servicio por una dirección de correo electrónico que comienza con el ID del proyecto y la palabra compute. Por ejemplo, <project-id>-compute@developer.gserviceaccount.com.

Crear una cuenta de servicio de Citrix Cloud

Para crear una cuenta de servicio de Citrix Cloud, siga estos pasos:

  1. En la consola de Google Cloud, vaya a IAM y administración > Cuentas de servicio.
  2. En la página Cuentas de servicio, seleccione CREAR CUENTA DE SERVICIO.
  3. En la página Crear cuenta de servicio, introduzca la información requerida y, a continuación, seleccione CREAR Y CONTINUAR.

  4. En la página Conceder acceso a este proyecto a la cuenta de servicio, haga clic en el menú desplegable Seleccionar un rol y seleccione los roles requeridos. Haga clic en +AÑADIR OTRO ROL si desea añadir más roles.

    Cada cuenta (personal o de servicio) tiene varios roles que definen la administración del proyecto. Conceda los siguientes roles a esta cuenta de servicio:

    • Administrador de Compute
    • Administrador de Storage
    • Editor de Cloud Build
    • Usuario de cuenta de servicio
    • Usuario de Cloud Datastore
    • Operador criptográfico de Cloud KMS

    El operador criptográfico de Cloud KMS requiere los siguientes permisos:

    • cloudkms.cryptoKeys.get
    • cloudkms.cryptoKeys.list
    • cloudkms.keyRings.get
    • cloudkms.keyRings.list

    Nota:

    Habilite todas las API para obtener la lista completa de roles disponibles al crear una nueva cuenta de servicio.

  5. Haga clic en CONTINUAR
  6. En la página Conceder acceso a los usuarios a esta cuenta de servicio, agregue usuarios o grupos para concederles acceso para realizar acciones en esta cuenta de servicio.
  7. Haga clic en LISTO.
  8. Vaya a la consola principal de IAM.
  9. Identifique la cuenta de servicio creada.
  10. Valide que los roles se hayan asignado correctamente.

Consideraciones:

Al crear la cuenta de servicio, tenga en cuenta lo siguiente:

  • Los pasos Conceder acceso a esta cuenta de servicio al proyecto y Conceder acceso a los usuarios a esta cuenta de servicio son opcionales. Si decide omitir estos pasos de configuración opcionales, la cuenta de servicio recién creada no se mostrará en la página IAM y administración > IAM.
  • Para mostrar los roles asociados a una cuenta de servicio, agregue los roles sin omitir los pasos opcionales. Este proceso garantiza que los roles aparezcan para la cuenta de servicio configurada.

Clave de la cuenta de servicio de Citrix Cloud

La clave de la cuenta de servicio de Citrix Cloud es necesaria para crear una conexión en Citrix DaaS. La clave está contenida en un archivo de credenciales (.json). El archivo se descarga y se guarda automáticamente en la carpeta Descargas después de crear la clave. Al crear la clave, asegúrese de establecer el tipo de clave en JSON. De lo contrario, Web Studio no podrá analizarla.

Para crear una clave de cuenta de servicio, vaya a IAM y administración > Cuentas de servicio y haga clic en la dirección de correo electrónico de la cuenta de servicio de Citrix Cloud. Cambie a la pestaña Claves y seleccione Añadir clave > Crear nueva clave. Asegúrese de seleccionar JSON como tipo de clave.

Sugerencia:

Cree claves mediante la página Cuentas de servicio de la consola de Google Cloud. Le recomendamos que cambie las claves con regularidad por motivos de seguridad. Puede proporcionar nuevas claves a la aplicación Citrix Virtual Apps and Desktops editando una conexión de Google Cloud existente.

Añadir roles a la cuenta de servicio de Citrix Cloud

Para añadir roles a la cuenta de servicio de Citrix Cloud:

  1. En la consola de Google Cloud, vaya a IAM y administración > IAM.

  2. En la página IAM > PERMISOS, localice la cuenta de servicio que creó, identificable con una dirección de correo electrónico.

    Por ejemplo, <my-service-account>@<project-id>.iam.gserviceaccount.com

  3. Seleccione el icono del lápiz para editar el acceso al principal de la cuenta de servicio.
  4. En la página Editar acceso a “ID de proyecto” de la opción principal seleccionada, seleccione AÑADIR OTRO ROL para añadir los roles necesarios a su cuenta de servicio uno por uno y, a continuación, seleccione GUARDAR.

Añadir roles a la cuenta de servicio de Cloud Build

Para añadir roles a la cuenta de servicio de Cloud Build:

  1. En la consola de Google Cloud, vaya a IAM y administración > IAM.

  2. En la página IAM, localice la cuenta de servicio de Cloud Build, identificable con una dirección de correo electrónico que comienza con el ID del proyecto y la palabra cloudbuild.

    Por ejemplo, <project-id>@cloudbuild.gserviceaccount.com

  3. Seleccione el icono del lápiz para editar los roles de la cuenta de Cloud Build.

  4. En la página Editar acceso a “project-id” para la opción de principal seleccionada, seleccione AÑADIR OTRO ROL para añadir los roles necesarios a su cuenta de servicio de Cloud Build uno por uno y, a continuación, seleccione GUARDAR.

    Nota:

    Habilite todas las API para obtener la lista completa de roles.

Después del 29 de abril de 2024

Citrix Cloud utiliza dos cuentas de servicio independientes dentro del proyecto de Google Cloud:

  • Cuenta de servicio de Citrix Cloud: Esta cuenta de servicio permite a Citrix Cloud acceder al proyecto de Google, aprovisionar y administrar máquinas. Esta cuenta de servicio se autentica en Google Cloud mediante una clave generada por Google Cloud.

    Debe crear esta cuenta de servicio manualmente.

    Puede identificar esta cuenta de servicio con una dirección de correo electrónico. Por ejemplo, <my-service-account>@<project-id>.iam.gserviceaccount.com.

  • Cuenta de servicio de Cloud Compute: Esta cuenta de servicio se aprovisiona automáticamente después de habilitar todas las API mencionadas en Habilitar las API de Google Cloud. Para ver todas las cuentas de servicio creadas automáticamente, vaya a IAM y administración > IAM en la consola de Google Cloud y marque la casilla Incluir concesiones de roles proporcionadas por Google. Esta cuenta tiene el rol de editor básico de IAM para realizar las operaciones. Sin embargo, si elimina el permiso predeterminado para tener un control más granular, debe agregar el rol de Administrador de almacenamiento que requiere los siguientes permisos:

    • resourcemanager.projects.get
    • storage.objects.create
    • storage.objects.get
    • storage.objects.list

    Puede identificar esta cuenta de servicio por una dirección de correo electrónico que comienza con el ID del proyecto y la palabra compute. Por ejemplo, <project-id>-compute@developer.gserviceaccount.com.

    Verifique si a la cuenta de servicio se le han concedido los siguientes roles.

    • Cuenta de servicio de Cloud Build
    • Administrador de instancias de Compute
    • Usuario de cuenta de servicio

Crear una cuenta de servicio de Citrix Cloud

Para crear una cuenta de servicio de Citrix Cloud, siga estos pasos:

  1. En la consola de Google Cloud, vaya a IAM y administración > Cuentas de servicio.
  2. En la página Cuentas de servicio, seleccione CREAR CUENTA DE SERVICIO.
  3. En la página Crear cuenta de servicio, introduzca la información necesaria y, a continuación, seleccione CREAR Y CONTINUAR.

  4. En la página Conceder acceso a esta cuenta de servicio al proyecto, haga clic en el menú desplegable Seleccionar un rol y seleccione los roles necesarios. Haga clic en +AÑADIR OTRO ROL si desea añadir más roles.

    Cada cuenta (personal o de servicio) tiene varios roles que definen la administración del proyecto. Conceda los siguientes roles a esta cuenta de servicio:

    • Administrador de Compute
    • Administrador de Storage
    • Editor de Cloud Build
    • Usuario de cuenta de servicio
    • Usuario de Cloud Datastore
    • Operador criptográfico de Cloud KMS

    El operador criptográfico de Cloud KMS requiere los siguientes permisos:

    • cloudkms.cryptoKeys.get
    • cloudkms.cryptoKeys.list
    • cloudkms.keyRings.get
    • cloudkms.keyRings.list

    Nota:

    Habilite todas las API para obtener la lista completa de roles disponibles al crear una nueva cuenta de servicio.

  5. Haga clic en CONTINUAR
  6. En la página Conceder acceso de usuario a esta cuenta de servicio, agregue usuarios o grupos para concederles acceso para realizar acciones en esta cuenta de servicio.
  7. Haga clic en LISTO.
  8. Vaya a la consola principal de IAM.
  9. Identifique la cuenta de servicio creada.
  10. Valide que los roles se hayan asignado correctamente.

Consideraciones:

Al crear la cuenta de servicio, tenga en cuenta lo siguiente:

  • Los pasos Conceder a esta cuenta de servicio acceso al proyecto y Conceder a los usuarios acceso a esta cuenta de servicio son opcionales. Si decide omitir estos pasos de configuración opcionales, la cuenta de servicio recién creada no se mostrará en la página IAM y administración > IAM.
  • Para mostrar los roles asociados a una cuenta de servicio, agregue los roles sin omitir los pasos opcionales. Este proceso garantiza que los roles aparezcan para la cuenta de servicio configurada.

Clave de la cuenta de servicio de Citrix Cloud

La clave de la cuenta de servicio de Citrix Cloud es necesaria para crear una conexión en Citrix DaaS. La clave está contenida en un archivo de credenciales (.json). El archivo se descarga y se guarda automáticamente en la carpeta Descargas después de crear la clave. Al crear la clave, asegúrese de establecer el tipo de clave en JSON. De lo contrario, Web Studio no podrá analizarla.

Para crear una clave de cuenta de servicio, vaya a IAM y administración > Cuentas de servicio y haga clic en la dirección de correo electrónico de la cuenta de servicio de Citrix Cloud. Cambie a la ficha Claves y seleccione Agregar clave > Crear clave nueva. Asegúrese de seleccionar JSON como tipo de clave.

Sugerencia:

Cree claves mediante la página Cuentas de servicio en la consola de Google Cloud. Le recomendamos que cambie las claves con regularidad por motivos de seguridad. Puede proporcionar nuevas claves a la aplicación Citrix Virtual Apps and Desktops editando una conexión de Google Cloud existente.

Agregar roles a la cuenta de servicio de Citrix Cloud

Para agregar roles a la cuenta de servicio de Citrix Cloud:

  1. En la consola de Google Cloud, vaya a IAM y administración > IAM.

  2. En la página IAM > PERMISOS, busque la cuenta de servicio que creó, identificable con una dirección de correo electrónico.

    Por ejemplo, <my-service-account>@<project-id>.iam.gserviceaccount.com

  3. Seleccione el icono del lápiz para editar el acceso a la entidad principal de la cuenta de servicio.
  4. En la página Editar acceso a “project-id” para la opción de principal seleccionada, seleccione AÑADIR OTRO ROL para añadir los roles necesarios a su cuenta de servicio uno por uno y, a continuación, seleccione GUARDAR.

Añadir roles a la cuenta de servicio de Cloud Compute

Para añadir roles a la cuenta de servicio de Cloud Compute:

  1. En la consola de Google Cloud, vaya a IAM y administración > IAM.

  2. En la página IAM, localice la cuenta de servicio de Cloud Compute, identificable con una dirección de correo electrónico que comienza con el ID del proyecto y la palabra compute.

    Por ejemplo, <project-id>-compute@developer.gserviceaccount.com

  3. Seleccione el icono del lápiz para editar los roles de la cuenta de Cloud Build.

  4. En la página Editar acceso a “project-id” para la opción de principal seleccionada, seleccione AÑADIR OTRO ROL para añadir los roles necesarios a su cuenta de servicio de Cloud Build uno por uno y, a continuación, seleccione GUARDAR.

    Nota:

    Habilite todas las API para obtener la lista completa de roles.

Permisos de almacenamiento y administración de depósitos

Citrix DaaS mejora el proceso de notificación de errores de compilación en la nube para el servicio de Google Cloud. Este servicio ejecuta compilaciones en Google Cloud. Citrix DaaS crea un depósito de almacenamiento llamado citrix-mcs-cloud-build-logs-{region}-{5 random characters} donde los servicios de Google Cloud capturan la información de los registros de compilación. Se establece una opción en este depósito que elimina el contenido después de un período de 30 días. Este proceso requiere que la cuenta de servicio utilizada para la conexión tenga los permisos de Google Cloud establecidos en storage.buckets.update. Si la cuenta de servicio no tiene este permiso, Citrix DaaS ignora los errores y continúa con el proceso de creación del catálogo. Sin este permiso, el tamaño de los registros de compilación aumenta y requiere una limpieza manual.

Habilitar el acceso privado de Google

Cuando una VM carece de una dirección IP externa asignada a su interfaz de red, los paquetes solo se envían a otros destinos de direcciones IP internas. Cuando habilita el acceso privado, la VM se conecta al conjunto de direcciones IP externas utilizadas por la API de Google y los servicios asociados.

Nota:

Ya sea que el acceso privado de Google esté habilitado, todas las VM con y sin direcciones IP públicas deben poder acceder a las API públicas de Google, especialmente si se han instalado dispositivos de red de terceros en el entorno.

Para asegurarse de que una VM en su subred pueda acceder a las API de Google sin una dirección IP pública para el aprovisionamiento de MCS:

  1. En Google Cloud, acceda a la configuración de red de VPC.
  2. En la pantalla de detalles de la subred, active el acceso privado de Google.

Acceso privado de Google

Para obtener más información, consulte Configuración del acceso privado de Google.

Importante:

Si su red está configurada para evitar el acceso de las VM a Internet, asegúrese de que su organización asuma los riesgos asociados con la habilitación del acceso privado de Google para la subred a la que está conectada la VM.

Agregar una conexión

Siga las instrucciones en Crear una conexión y recursos. La siguiente descripción le guiará a través de la configuración de una conexión de alojamiento:

  1. Desde Administrar > Configuración, seleccione Alojamiento en el panel izquierdo.

  2. Seleccione Agregar conexión y recursos en la barra de acciones.

  3. En la página Conexión, seleccione Crear una nueva conexión y Herramientas de aprovisionamiento de Citrix™, y luego seleccione Siguiente.

    • Tipo de conexión. Seleccione Google Cloud en el menú.
    • Nombre de la conexión. Escriba un nombre para la conexión.

  4. En la página Región, seleccione un nombre de proyecto del menú, seleccione una región que contenga los recursos que desea usar y, a continuación, seleccione Siguiente.

  5. En la página Red, escriba un nombre para los recursos, seleccione una red virtual del menú, seleccione un subconjunto y, a continuación, seleccione Siguiente. El nombre del recurso ayuda a identificar la combinación de región y red. Las redes virtuales con el sufijo (Compartida) añadido a su nombre representan VPC compartidas. Si configura un rol de IAM a nivel de subred para una VPC compartida, solo las subredes específicas de la VPC compartida aparecerán en la lista de subredes.

    Nota:

    • El nombre del recurso puede contener entre 1 y 64 caracteres, y no puede contener solo espacios en blanco ni los caracteres \ / ; : # . * ? = < > | [ ] { } " ' ( ) ' ).

  6. En la página Resumen, confirme la información y, a continuación, seleccione Finalizar para salir de la ventana Agregar conexión y recursos.

Después de crear la conexión y los recursos, la conexión y los recursos que creó aparecen en la lista. Para configurar la conexión, selecciónela y, a continuación, seleccione la opción aplicable en la barra de acciones.

Del mismo modo, puede eliminar, renombrar o probar los recursos creados bajo la conexión. Para ello, seleccione el recurso bajo la conexión y, a continuación, seleccione la opción aplicable en la barra de acciones.

Preparar una instancia de VM maestra y un disco persistente

Sugerencia:

Disco persistente es el término de Google Cloud para disco virtual.

Para preparar su instancia de VM maestra, cree y configure una instancia de VM con propiedades que coincidan con la configuración que desea para las instancias VDA clonadas en su catálogo de máquinas planificado. La configuración no se aplica solo al tamaño y tipo de la instancia. También incluye atributos de instancia como metadatos, etiquetas, asignaciones de GPU, etiquetas de red y propiedades de la cuenta de servicio.

Como parte del proceso de creación de la imagen maestra, MCS utiliza su instancia de VM maestra para crear la plantilla de instancia de Google Cloud. La plantilla de instancia se utiliza luego para crear las instancias VDA clonadas que componen el catálogo de máquinas. Las instancias clonadas heredan las propiedades (excepto las propiedades de VPC, subred y disco persistente) de la instancia de VM maestra a partir de la cual se creó la plantilla de instancia.

Después de configurar las propiedades de la instancia de VM maestra según sus especificaciones, inicie la instancia y, a continuación, prepare el disco persistente para la instancia.

Recomendamos que cree manualmente una instantánea del disco. Esto le permite usar una convención de nomenclatura significativa para rastrear versiones, le brinda más opciones para administrar versiones anteriores de su imagen maestra y ahorra tiempo en la creación del catálogo de máquinas. Si no crea su propia instantánea, MCS crea una instantánea temporal para usted (que se elimina al final del proceso de aprovisionamiento).

Crear un catálogo de máquinas

Nota:

Cree sus recursos antes de crear un catálogo de máquinas. Utilice las convenciones de nomenclatura establecidas por Google Cloud al configurar catálogos de máquinas. Consulte Directrices de nomenclatura de depósitos y objetos para obtener más información.

Siga las directrices de Crear catálogos de máquinas. Actualmente, Studio no admite la creación de catálogos de Google Cloud. Utilice PowerShell en su lugar.

Administrar catálogo de máquinas

Para agregar máquinas a un catálogo, actualizar máquinas y revertir una actualización, consulte Administrar catálogos de máquinas.

Administración de energía

Citrix DaaS permite la administración de energía de las máquinas de Google Cloud. Utilice el nodo Buscar del panel de navegación para localizar la máquina cuya energía quiere administrar. Las siguientes acciones de energía están disponibles:

  • Eliminar
  • Iniciar
  • Reiniciar
  • Forzar reinicio
  • Apagar
  • Forzar apagado
  • Agregar a grupo de entrega
  • Administrar etiquetas
  • Activar el modo de mantenimiento

También puede administrar la energía de las máquinas de Google Cloud mediante Autoscale. Para ello, agregue las máquinas de Google Cloud a un grupo de entrega y, a continuación, habilite Autoscale para ese grupo de entrega. Para obtener más información sobre Autoscale, consulte Autoscale.

Proteger la eliminación accidental de máquinas

Citrix DaaS le permite proteger los recursos de MCS en Google Cloud para evitar la eliminación accidental. Configure la VM aprovisionada estableciendo el indicador deletionProtection en TRUE.

De forma predeterminada, las VM aprovisionadas a través de MCS o el complemento de Google Cloud se crean con InstanceProtection habilitado. La implementación es aplicable tanto a catálogos persistentes como no persistentes. Los catálogos no persistentes se actualizan cuando las instancias se vuelven a crear a partir de la plantilla. Para las máquinas persistentes existentes, puede establecer el indicador en la consola de Google Cloud. Para obtener más información sobre cómo establecer el indicador, consulte el sitio de documentación de Google. Las nuevas máquinas añadidas a los catálogos persistentes se crean con deletionProtection habilitado.

Si intenta eliminar una instancia de VM para la que ha establecido el indicador deletionProtection, la solicitud falla. Sin embargo, si se le concede el permiso compute.instances.setDeletionProtection o se le asigna el rol de IAM Administrador de Compute, puede restablecer el indicador para permitir la eliminación del recurso.

Importar máquinas de Google Cloud creadas manualmente

Puede crear una conexión a Google Cloud y, a continuación, crear un catálogo que contenga máquinas de Google Cloud. Después, puede encender y apagar manualmente las máquinas de Google Cloud a través de Citrix DaaS. Con esta función, puede:

  • Importar máquinas de SO multisecuencia de Google Cloud creadas manualmente a un catálogo de máquinas de Citrix Virtual Apps and Desktops.
  • Eliminar máquinas de SO multisecuencia de Google Cloud creadas manualmente de un catálogo de Citrix Virtual Apps and Desktops.
  • Utilizar las capacidades de administración de energía existentes de Citrix Virtual Apps and Desktops para administrar la energía de las máquinas de SO multisecuencia de Google Cloud Windows. Por ejemplo, establecer una programación de reinicio para esas máquinas.

Esta funcionalidad no requiere cambios en un flujo de trabajo de aprovisionamiento de Citrix Virtual Apps and Desktops existente, ni la eliminación de ninguna función existente. Recomendamos que utilice MCS para aprovisionar máquinas en Web Studio en lugar de importar máquinas de Google Cloud creadas manualmente.

Nube privada virtual compartida

Las nubes privadas virtuales (VPC) compartidas comprenden un proyecto host, desde el cual se ponen a disposición las subredes compartidas, y uno o más proyectos de servicio que utilizan el recurso. Las VPC compartidas son opciones deseables para instalaciones más grandes porque proporcionan control, uso y administración centralizados de los recursos corporativos compartidos de Google Cloud. Para obtener más información, consulte el sitio de documentación de Google.

Con esta función, Machine Creation Services™ (MCS) admite el aprovisionamiento y la administración de catálogos de máquinas implementados en VPC compartidas. Este soporte, que es funcionalmente equivalente al soporte proporcionado actualmente en las VPC locales, difiere en dos áreas:

  1. Debe conceder permisos adicionales a la cuenta de servicio utilizada para crear la conexión de host. Este proceso permite a MCS acceder y utilizar los recursos de VPC compartida.
  2. Debe crear dos reglas de firewall, una para el tráfico de entrada y otra para el de salida. Estas reglas de firewall se utilizan durante el proceso de masterización de la imagen.

Nuevos permisos necesarios

Se requiere una cuenta de servicio de Google Cloud con permisos específicos al crear la conexión de host. Estos permisos adicionales deben concederse a cualquier cuenta de servicio utilizada para crear conexiones de host basadas en VPC compartida.

Sugerencia:

Estos permisos adicionales no son nuevos en Citrix DaaS. Se utilizan para facilitar la implementación de VPC locales. Con las VPC compartidas, estos permisos adicionales permiten el acceso a otros recursos de VPC compartida.

Se deben conceder un máximo de cuatro permisos adicionales a la cuenta de servicio asociada a la conexión de host para admitir la VPC compartida:

  1. compute.firewalls.list: Este permiso es obligatorio. Permite a MCS recuperar la lista de reglas de firewall presentes en la VPC compartida.
  2. compute.networks.list: Este permiso es obligatorio. Permite a MCS identificar las redes de VPC compartida disponibles para la cuenta de servicio.
  3. compute.subnetworks.list: Este permiso es opcional, según cómo utilice las VPC. Permite a MCS identificar las subredes dentro de las VPC compartidas visibles. Este permiso ya es necesario cuando se utilizan VPC locales, pero también debe asignarse en el proyecto de host de la VPC compartida.
  4. compute.subnetworks.use: Este permiso es opcional, según cómo utilice las VPC. Es necesario para usar recursos de subred en los catálogos de máquinas aprovisionados. Este permiso ya es necesario para usar VPC locales, pero también debe asignarse en el proyecto de host de la VPC compartida.

Al utilizar estos permisos, tenga en cuenta que existen diferentes enfoques según el tipo de permiso utilizado para crear el catálogo de máquinas:

  • Permiso a nivel de proyecto:
    • Permite el acceso a todas las VPC compartidas dentro del proyecto de host.
    • Requiere que los permisos n.º 3 y n.º 4 se asignen a la cuenta de servicio.
  • Permiso a nivel de subred:
    • Permite el acceso a subredes específicas dentro de la VPC compartida.
    • Los permisos n.º 3 y n.º 4 son intrínsecos a la asignación a nivel de subred y, por lo tanto, no es necesario asignarlos directamente a la cuenta de servicio.

Seleccione el enfoque que mejor se adapte a las necesidades de su organización y a sus estándares de seguridad.

Consejo:

Para obtener más información sobre las diferencias entre los permisos a nivel de proyecto y a nivel de subred, consulte la documentación de Google Cloud.

Reglas de firewall

Durante la preparación de un catálogo de máquinas, se prepara una imagen de máquina para que sirva como disco del sistema de la imagen maestra para el catálogo. Cuando se produce este proceso, el disco se conecta temporalmente a una máquina virtual. Esta máquina virtual debe ejecutarse en un entorno aislado que impida todo el tráfico de red entrante y saliente. Esto se logra mediante un par de reglas de firewall de denegación total; una para el tráfico de entrada y otra para el de salida. Cuando se utilizan VCP locales de Google Cloud, MCS crea este firewall en la red local y lo aplica a la máquina para la creación de la imagen maestra. Una vez finalizada la creación de la imagen maestra, la regla de firewall se elimina de la imagen.

Recomendamos mantener al mínimo el número de nuevos permisos necesarios para usar las VPC compartidas. Las VPC compartidas son recursos corporativos de nivel superior y, por lo general, tienen protocolos de seguridad más rígidos. Por esta razón, cree un par de reglas de firewall en el proyecto host de los recursos de VPC compartida, una para la entrada y otra para la salida. Asígneles la máxima prioridad. Aplique una nueva etiqueta de destino a cada una de estas reglas, utilizando el siguiente valor:

citrix-provisioning-quarantine-firewall

Cuando MCS crea o actualiza un catálogo de máquinas, busca reglas de firewall que contengan esta etiqueta de destino. A continuación, examina las reglas para verificar su corrección y las aplica a la máquina utilizada para preparar la imagen maestra para el catálogo. Si no se encuentran las reglas de firewall, o si se encuentran pero las reglas o sus prioridades son incorrectas, aparece un mensaje similar al siguiente:

"Unable to find valid INGRESS and EGRESS quarantine firewall rules for VPC <name> in project <project>. " Please ensure you have created 'deny all' firewall rules with the network tag 'citrix-provisioning-quarantine-firewall' and proper priority." "Refer to Citrix Documentation for details."

Configuración de la VPC compartida

Antes de agregar la VPC compartida como conexión de host en Web Studio, complete los siguientes pasos para agregar cuentas de servicio del proyecto en el que tiene previsto aprovisionar:

  1. Cree un rol de IAM.
  2. Añada la cuenta de servicio utilizada para crear una conexión de host de CVAD al rol de IAM del proyecto host de VPC compartida.
  3. Añada la cuenta de servicio de Cloud Build del proyecto en el que desea aprovisionar al rol de IAM del proyecto host de VPC compartida.
  4. Cree reglas de firewall.

Crear un rol de IAM

Determine el nivel de acceso del rol — acceso a nivel de proyecto o un modelo más restringido mediante acceso a nivel de subred.

Acceso a nivel de proyecto para el rol de IAM. Para el rol de IAM a nivel de proyecto, incluya los siguientes permisos:

  • compute.firewalls.list
  • compute.networks.list
  • compute.subnetworks.list
  • compute.subnetworks.use

Para crear un rol de IAM a nivel de proyecto:

  1. En la consola de Google Cloud, vaya a IAM y administración > Roles.
  2. En la página Roles, seleccione CREAR ROL.
  3. En la página Crear rol, especifique el nombre del rol. Seleccione AÑADIR PERMISOS.
    1. En la página Añadir permisos, añada permisos al rol, individualmente. Para añadir un permiso, escriba el nombre del permiso en el campo Filtrar tabla. Seleccione el permiso y, a continuación, seleccione AÑADIR.
    2. Seleccione CREAR.

Rol de IAM a nivel de subred. Este rol omite la adición de los permisos compute.subnetworks.list y compute.subnetworks.use después de seleccionar CREAR ROL. Para este nivel de acceso de IAM, los permisos compute.firewalls.list y compute.networks.list deben aplicarse al nuevo rol.

Para crear un rol de IAM a nivel de subred:

  1. En la consola de Google Cloud, vaya a Red de VPC > VPC compartida. Aparece la página VPC compartida, que muestra las subredes de las redes de VPC compartida que contiene el proyecto host.
  2. En la página VPC compartida, seleccione la subred a la que desea acceder.
  3. En la esquina superior derecha, seleccione AÑADIR MIEMBRO para añadir una cuenta de servicio.
  4. En la página Añadir miembros, complete estos pasos:
    1. En el campo Nuevos miembros, escriba el nombre de su cuenta de servicio y, a continuación, seleccione su cuenta de servicio en el menú.
    2. Seleccione el campo Seleccionar un rol y, a continuación, Usuario de red de Compute.
    3. Seleccione GUARDAR.
  5. En la consola de Google Cloud, vaya a IAM y administración > Roles.
  6. En la página Roles, seleccione CREAR ROL.
  7. En la página Crear rol, especifique el nombre del rol. Seleccione AÑADIR PERMISOS.
    1. En la página Añadir permisos, añada permisos al rol, individualmente. Para añadir un permiso, escriba el nombre del permiso en el campo Filtrar tabla. Seleccione el permiso y, a continuación, seleccione AÑADIR.
    2. Seleccione CREAR.

Añadir una cuenta de servicio a la función IAM del proyecto host

Después de crear una función IAM, siga estos pasos para añadir una cuenta de servicio para el proyecto host:

  1. En la consola de Google Cloud, vaya al proyecto host y, a continuación, a IAM y administración > IAM.
  2. En la página IAM, seleccione AÑADIR para añadir una cuenta de servicio.
  3. En la página Añadir miembros:
    1. En el campo Nuevos miembros, escriba el nombre de su cuenta de servicio y, a continuación, seleccione su cuenta de servicio en el menú.
    2. Seleccione un campo de función, escriba la función IAM que creó y, a continuación, seleccione la función en el menú.
    3. Seleccione GUARDAR.

La cuenta de servicio ya está configurada para el proyecto host.

Añadir la cuenta de servicio de Cloud Build a la VPC compartida

Cada suscripción de Google Cloud tiene una cuenta de servicio que lleva el nombre del número de ID del proyecto, seguido de cloudbuild.gserviceaccount. Por ejemplo: 705794712345@cloudbuild.gserviceaccount.

Puede determinar cuál es el número de ID de su proyecto seleccionando Inicio y Panel de control en la consola de Google Cloud:

Panel de navegación de la consola de Google Cloud

Busque el Número de proyecto debajo del área Información del proyecto de la pantalla.

Realice los siguientes pasos para añadir la cuenta de servicio de Cloud Build a la VPC compartida:

  1. En la consola de Google Cloud, vaya al proyecto host y, a continuación, a IAM y administración > IAM.
  2. En la página Permisos, seleccione AÑADIR para agregar una cuenta.
  3. En la página Añadir miembros, complete estos pasos:
    1. En el campo Nuevos miembros, escriba el nombre de la cuenta de servicio de Cloud Build y, a continuación, seleccione su cuenta de servicio en el menú.
    2. Seleccione el campo Seleccionar un rol, escriba Computer Network User y, a continuación, seleccione el rol en el menú.
    3. Seleccione GUARDAR.

Crear reglas de firewall

Como parte del proceso de creación de la imagen maestra, MCS copia la imagen de máquina seleccionada y la utiliza para preparar el disco del sistema de la imagen maestra para el catálogo. Durante la creación de la imagen maestra, MCS conecta el disco a una máquina virtual temporal, que luego ejecuta scripts de preparación. Esta VM debe ejecutarse en un entorno aislado que prohíba todo el tráfico de red entrante y saliente. Para crear un entorno aislado, MCS requiere dos reglas de firewall de denegar todo (una regla de entrada y una regla de salida). Por lo tanto, cree dos reglas de firewall en el Proyecto host de la siguiente manera:

  1. En la consola de Google Cloud, vaya al proyecto host y, a continuación, a Red de VPC > Firewall.
  2. En la página Firewall, seleccione CREAR REGLA DE FIREWALL.
  3. En la página Crear una regla de firewall, complete lo siguiente:
    • Nombre. Escriba un nombre para la regla.
    • Red. Seleccione la red de VPC compartida a la que se aplica la regla de firewall de entrada.
    • Prioridad. Cuanto menor sea el valor, mayor será la prioridad de la regla. Recomendamos un valor pequeño (por ejemplo, 10).
    • Dirección del tráfico. Seleccione Entrada.
    • Acción al coincidir. Seleccione Denegar.
    • Destinos. Utilice la opción predeterminada, Etiquetas de destino especificadas.
    • Etiquetas de destino. Escriba citrix-provisioning-quarantine-firewall.
    • Filtro de origen. Utilice la opción predeterminada, Rangos de IP.
    • Rangos de IP de origen. Escriba un rango que coincida con todo el tráfico. Escriba 0.0.0.0/0.
    • Protocolos y puertos. Seleccione Denegar todo.
  4. Seleccione CREAR para crear la regla.
  5. Repita los pasos 1 a 4 para crear otra regla. En Dirección del tráfico, seleccione Salida.

Agregar una conexión

Agregue una conexión a los entornos de Google Cloud. Consulte Agregar una conexión.

Habilitar la selección de zonas

Citrix Virtual Apps and Desktops admite la selección de zonas. Con la selección de zonas, se especifican las zonas donde se quieren crear las máquinas virtuales. Con la selección de zonas, los administradores pueden colocar nodos de inquilino único en las zonas que elijan. Para configurar la tenencia única, debe completar lo siguiente en Google Cloud:

  • Reservar un nodo de inquilino único de Google Cloud
  • Crear la imagen maestra de VDA

Reservar un nodo de inquilino único de Google Cloud

Para reservar un nodo de un solo inquilino, consulte la documentación de Google Cloud.

Importante:

Una plantilla de nodo se utiliza para indicar las características de rendimiento del sistema que se reserva en el grupo de nodos. Esas características incluyen el número de vGPU, la cantidad de memoria asignada al nodo y el tipo de máquina utilizado para las máquinas creadas en el nodo. Para obtener más información, consulte la documentación de Google Cloud.

Crear la imagen maestra de VDA

Para implementar máquinas correctamente en el nodo de un solo inquilino, debe seguir pasos adicionales al crear una imagen maestra de VM. Las instancias de máquina en Google Cloud tienen una propiedad llamada etiquetas de afinidad de nodo. Las instancias utilizadas como imágenes maestras para catálogos implementados en el nodo de un solo inquilino requieren una etiqueta de afinidad de nodo que coincida con el nombre del grupo de nodos de destino. Para lograr esto, tenga en cuenta lo siguiente:

Nota:

Si tiene la intención de usar la tenencia única con una VPC compartida, consulte Nube privada virtual compartida.

Establecer una etiqueta de afinidad de nodo al crear una instancia

Para establecer la etiqueta de afinidad de nodo:

  1. En la consola de Google Cloud, vaya a Compute Engine > Instancias de VM.

  2. En la página Instancias de VM, seleccione Crear instancia.

  3. En la página Creación de instancia, escriba o configure la información requerida y, a continuación, seleccione administración, seguridad, discos, redes, tenencia única para abrir el panel de configuración.

  4. En la ficha Tenencia única, seleccione Examinar para ver los grupos de nodos disponibles en el proyecto actual. Aparece la página Nodo de un solo inquilino, que muestra una lista de los grupos de nodos disponibles.

  5. En la página Nodo de un solo inquilino, seleccione el grupo de nodos aplicable de la lista y, a continuación, seleccione Seleccionar para volver a la ficha Tenencia única. El campo de etiquetas de afinidad de nodo se rellena con la información que ha seleccionado. Esta configuración garantiza que los catálogos de máquinas creados a partir de la instancia se implementen en el grupo de nodos seleccionado.

  6. Seleccione Crear para crear la instancia.

Establecer una etiqueta de afinidad de nodo para una instancia existente

Para establecer la etiqueta de afinidad de nodo:

  1. En la ventana del terminal de Google Cloud Shell, utilice el comando gcloud compute instances para establecer una etiqueta de afinidad de nodo. Incluya la siguiente información en el comando gcloud:

    • Nombre de la VM. Por ejemplo, utilice una VM existente llamada s*2019-vda-base.*
    • Nombre del grupo de nodos. Utilice el nombre del grupo de nodos que creó anteriormente. Por ejemplo, mh-sole-tenant-node-group-1.
    • La zona donde reside la instancia. Por ejemplo, la VM reside en *us-east-1b* zone.

    Por ejemplo, escriba el siguiente comando en la ventana del terminal:

    • gcloud compute instances set-scheduling "s2019-vda-base" --node-group="mh-sole-tenant-node-group-1" --zone="us-east1-b"

    Para obtener más información sobre el comando gcloud compute instances, consulte la documentación de Google Developer Tools en https://cloud.google.com/sdk/gcloud/reference/beta/compute/instances/set-scheduling.

  2. Vaya a la página Detalles de la instancia de VM de la instancia y compruebe que el campo Afinidades de nodo se rellena con la etiqueta.

Crear un catálogo de máquinas

Después de establecer la etiqueta de afinidad de nodo, configure el catálogo de máquinas.

Vista previa: Uso de claves de cifrado gestionadas por el cliente (CMEK)

Puede utilizar Claves de cifrado gestionadas por el cliente (CMEK) para los catálogos de MCS. Al utilizar esta funcionalidad, asigna el rol CryptoKey Encrypter/Decrypter del Servicio de administración de claves de Google Cloud al Agente de servicio de Compute Engine. La cuenta de Citrix DaaS debe tener los permisos correctos en el proyecto donde se almacena la clave. Consulte Ayudar a proteger los recursos mediante claves de Cloud KMS para obtener más información.

Su Agente de servicio de Compute Engine tiene el siguiente formato: service-<Project _Number>@compute-system.iam.gserviceaccount.com. Este formato es diferente al de la cuenta de servicio predeterminada de Compute Engine.

Nota:

Es posible que esta cuenta de servicio de Compute Engine no aparezca en la pantalla Permisos de IAM de Google Console. En tales casos, utilice el comando gcloud como se describe en Ayudar a proteger los recursos mediante claves de Cloud KMS.

Asignar permisos a la cuenta de Citrix DaaS

Los permisos de Google Cloud KMS se pueden configurar de varias maneras. Puede proporcionar permisos de KMS a nivel de proyecto o permisos de KMS a nivel de recurso. Consulte Permisos y roles para obtener más información.

Permisos a nivel de proyecto

Una opción es proporcionar a la cuenta de Citrix DaaS permisos a nivel de proyecto para explorar los recursos de Cloud KMS. Para ello, cree un rol personalizado y agregue los siguientes permisos:

  • cloudkms.keyRings.list
  • cloudkms.keyRings.get
  • cloudkms.cryptokeys.list
  • cloudkms.cryptokeys.get

Asigne este rol personalizado a su cuenta de Citrix DaaS. Esto le permite explorar las claves regionales en el proyecto correspondiente del inventario.

Permisos a nivel de recurso

Para la otra opción, permisos a nivel de recurso, en la consola de Google Cloud, vaya a cryptoKey que utiliza para el aprovisionamiento de MCS. Agregue la cuenta de Citrix DaaS a un llavero de claves o a una clave que utilice para el aprovisionamiento de catálogos.

Consejo:

Con esta opción, no puede examinar las claves regionales de su proyecto en el inventario porque la cuenta de Citrix DaaS no tiene permisos de lista a nivel de proyecto en los recursos de Cloud KMS. Sin embargo, aún puede aprovisionar un catálogo mediante CMEK especificando la cryptoKeyId correcta en las propiedades personalizadas de ProvScheme, que se describen a continuación.

Aprovisionamiento con CMEK mediante propiedades personalizadas

Al crear su esquema de aprovisionamiento mediante PowerShell, especifique una propiedad CryptoKeyId en ProvScheme CustomProperties. Por ejemplo:

'<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
    <Property xsi:type="StringProperty" Name="CryptoKeyId" Value="<yourCryptoKeyId>" />
</CustomProperties>'
<!--NeedCopy-->

La cryptoKeyId debe especificarse en el siguiente formato:

projectId:location:keyRingName:cryptoKeyName

Por ejemplo, si desea utilizar la clave my-example-key en el llavero de claves my-example-key-ring en la región us-east1 y el proyecto con ID my-example-project-1, la configuración personalizada de ProvScheme sería similar a:

'<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
    <Property xsi:type="StringProperty" Name="CryptoKeyId" Value="my-example-project-1:us-east1:my-example-key-ring:my-example-key" />
</CustomProperties>'
<!--NeedCopy-->

Todos los discos e imágenes aprovisionados por MCS relacionados con este esquema de aprovisionamiento utilizan esta clave de cifrado administrada por el cliente.

Consejo:

Si utiliza claves globales, la ubicación de las propiedades del cliente debe indicar global y no el nombre de la región, que en el ejemplo anterior es us-east1. Por ejemplo: <Property xsi:type="StringProperty" Name="CryptoKeyId" Value="my-example-project-1:global:my-example-key-ring:my-example-key" />.

Rotación de claves administradas por el cliente

Google Cloud no admite la rotación de claves en discos persistentes o imágenes existentes. Una vez que se aprovisiona una máquina, esta queda vinculada a la versión de la clave en uso en el momento de su creación. Sin embargo, se puede crear una nueva versión de la clave y esa nueva clave se utiliza para las máquinas recién aprovisionadas o los recursos creados cuando un catálogo se actualiza con una nueva imagen maestra.

Consideraciones importantes sobre los llaveros de claves

Los llaveros de claves no se pueden renombrar ni eliminar. Además, podría incurrir en cargos imprevistos al configurarlos. Al eliminar o quitar un llavero de claves, Google Cloud muestra un mensaje de error:

Sorry, you can't delete or rename keys or key rings. We were concerned about the security implications of allowing multiple keys or key versions over time to have the same resource name, so we decided to make names immutable. (And you can't delete them, because we wouldn't be able to do a true deletion--there would still have to be a tombstone tracking that this name had been used and couldn't be reused).
We're aware that this can make things untidy, but we have no immediate plans to change this.
If you want to avoid getting billed for a key or otherwise make it unavailable, you can do so by deleting all the key versions; neither keys nor key rings are billed for, just the active key versions within the keys.
<!--NeedCopy-->

Consejo:

Para obtener más información, consulte Editar o eliminar un llavero de claves desde la consola.

Compatibilidad con el acceso uniforme a nivel de bucket

Citrix DaaS es compatible con la política de control de acceso uniforme a nivel de bucket en Google Cloud. Esta funcionalidad aumenta el uso de la política de IAM que concede permisos a una cuenta de servicio para permitir la manipulación de recursos, incluidos los buckets de almacenamiento. Con el control de acceso uniforme a nivel de bucket, Citrix DaaS le permite usar una lista de control de acceso (ACL) para controlar el acceso a los buckets de almacenamiento o a los objetos almacenados en ellos. Consulte Acceso uniforme a nivel de bucket para obtener información general sobre el acceso uniforme a nivel de bucket de Google Cloud. Para obtener información sobre la configuración, consulte Requerir acceso uniforme a nivel de bucket.

URL de puntos finales de servicio

Debe tener acceso a las siguientes URL:

  • https://oauth2.googleapis.com
  • https://cloudresourcemanager.googleapis.com
  • https://compute.googleapis.com
  • https://storage.googleapis.com
  • https://cloudbuild.googleapis.com

Proyectos de Google Cloud

Básicamente, hay dos tipos de proyectos de Google Cloud:

  • Proyecto de aprovisionamiento: En este caso, la cuenta de administrador actual es propietaria de las máquinas aprovisionadas en el proyecto. Este proyecto también se conoce como proyecto local.
  • Proyecto de VPC compartida: Proyecto en el que las máquinas creadas en el proyecto de aprovisionamiento utilizan la VPC del proyecto de VPC compartida. La cuenta de administrador utilizada para el proyecto de aprovisionamiento tiene permisos limitados en este proyecto, específicamente, solo permisos para usar la VPC.

Permisos de GCP necesarios

Esta sección contiene la lista completa de permisos de GCP. Utilice el conjunto completo de permisos que se indica en la sección para que la funcionalidad funcione correctamente.

Nota:

GCP introducirá cambios en el comportamiento predeterminado y el uso de las cuentas de servicio de Cloud Build Services después del 29 de abril de 2024. Para obtener más información, consulte Cambio de la cuenta de servicio de Cloud Build. Sus proyectos de Google existentes con la API de Cloud Build habilitada antes del 29 de abril de 2024 no se verán afectados por este cambio. Sin embargo, si desea mantener el comportamiento existente del servicio Cloud Build después del 29 de abril, puede crear o aplicar la política de la organización para inhabilitar la aplicación de restricciones antes de habilitar la API. Si establece la nueva política de la organización, aún puede seguir los permisos existentes en esta sección y los elementos marcados como Antes del cambio de la cuenta de servicio de Cloud Build. Si no, siga los permisos existentes y los elementos marcados como Después del cambio de la cuenta de servicio de Cloud Build.

Creación de una conexión de host

  • Permisos mínimos necesarios para la cuenta de servicio de Citrix Cloud en el proyecto de aprovisionamiento:

     compute.instanceTemplates.list
 compute.instances.list
 compute.networks.list
 compute.projects.get
 compute.regions.list
 compute.subnetworks.list
 compute.zones.list
 resourcemanager.projects.get
 <!--NeedCopy-->

    Los siguientes roles definidos por Google tienen los permisos enumerados anteriormente:

    • Administrador de Compute
    • Usuario de Cloud Datastore

  • Permisos adicionales necesarios para la VPC compartida para la cuenta de servicio de Citrix Cloud en el proyecto de VPC compartida:

     compute.networks.list
 compute.subnetworks.list
 resourcemanager.projects.get
 <!--NeedCopy-->

    Los siguientes roles definidos por Google tienen los permisos enumerados anteriormente:

    • Usuario de red de Compute

Administración de energía de las máquinas virtuales

Permisos mínimos necesarios para la cuenta de servicio de Citrix Cloud en el proyecto de aprovisionamiento en el caso de catálogos solo con administración de energía:

compute.instanceTemplates.list
compute.instances.list
compute.instances.get
compute.instances.reset
compute.instances.resume
compute.instances.start
compute.instances.stop
compute.instances.suspend
compute.networks.list
compute.projects.get
compute.regions.list
compute.subnetworks.list
compute.zones.list
resourcemanager.projects.get
compute.zoneOperations.get
<!--NeedCopy-->

Los siguientes roles definidos por Google tienen los permisos enumerados anteriormente:

  • Administrador de Compute
  • Usuario de Cloud Datastore

Creación, actualización o eliminación de máquinas virtuales

  • Permisos mínimos necesarios para la cuenta de servicio de Citrix Cloud en el proyecto de aprovisionamiento:

     cloudbuild.builds.create
 cloudbuild.builds.get
 cloudbuild.builds.list
 compute.acceleratorTypes.list
 compute.diskTypes.get
 compute.diskTypes.list
 compute.disks.create
 compute.disks.createSnapshot
 compute.disks.delete
 compute.disks.get
 compute.disks.list
 compute.disks.setLabels
 compute.disks.use
 compute.disks.useReadOnly
 compute.firewalls.create
 compute.firewalls.delete
 compute.firewalls.list
 compute.globalOperations.get
 compute.images.create
 compute.images.delete
 compute.images.get
 compute.images.list
 compute.images.setLabels
 compute.images.useReadOnly
 compute.instanceTemplates.create
 compute.instanceTemplates.delete
 compute.instanceTemplates.get
 compute.instanceTemplates.list
 compute.instanceTemplates.useReadOnly
 compute.instances.attachDisk
 compute.instances.create
 compute.instances.delete
 compute.instances.detachDisk
 compute.instances.get
 compute.instances.list
 compute.instances.reset
 compute.instances.resume
 compute.instances.setDeletionProtection
 compute.instances.setLabels
 compute.instances.setMetadata
 compute.instances.setServiceAccount
 compute.instances.setTags
 compute.instances.start
 compute.instances.stop
 compute.instances.suspend
 compute.machineTypes.get
 compute.machineTypes.list
 compute.networks.list
 compute.networks.updatePolicy
 compute.nodeGroups.list
 compute.nodeTemplates.get
 compute.projects.get
 compute.regions.list
 compute.snapshots.create
 compute.snapshots.delete
 compute.snapshots.list
 compute.snapshots.get
 compute.snapshots.setLabels
 compute.snapshots.useReadOnly
 compute.subnetworks.get
 compute.subnetworks.list
 compute.subnetworks.use
 compute.zoneOperations.get
 compute.zoneOperations.list
 compute.zones.get
 compute.zones.list
 iam.serviceAccounts.actAs
 resourcemanager.projects.get
 storage.buckets.create
 storage.buckets.delete
 storage.buckets.get
 storage.buckets.list
 storage.buckets.update
 storage.objects.create
 storage.objects.delete
 storage.objects.get
 storage.objects.list
 compute.networks.get
 compute.resourcePolicies.use

 <!--NeedCopy-->

    Los siguientes roles definidos por Google tienen los permisos enumerados anteriormente:

    • Administrador de Compute
    • Administrador de Storage
    • Editor de Cloud Build
    • Usuario de cuenta de servicio
    • Usuario de Cloud Datastore

  • Permisos adicionales necesarios para la VPC compartida para la cuenta de servicio de Citrix Cloud en el proyecto de VPC compartida para crear una unidad de alojamiento mediante VPC y subred del proyecto de VPC compartida:

     compute.firewalls.list
 compute.networks.list
 compute.projects.get
 compute.regions.list
 compute.subnetworks.get
 compute.subnetworks.list
 compute.subnetworks.use
 compute.zones.list
 resourcemanager.projects.get
 <!--NeedCopy-->

    Los siguientes roles definidos por Google tienen los permisos enumerados anteriormente:

    • Usuario de red de Compute
    • Usuario de Cloud Datastore

  • (Antes del cambio de cuenta de servicio de Cloud Build): Permisos mínimos necesarios para la cuenta de servicio de Cloud Build en el proyecto de aprovisionamiento requeridos por el servicio Google Cloud Build al descargar el disco de instrucciones de preparación a MCS:

  • (Después del cambio de cuenta de servicio de Cloud Build): Permisos mínimos necesarios para la cuenta de servicio de Cloud Compute en el proyecto de aprovisionamiento requeridos por el servicio Google Cloud Compute al descargar el disco de instrucciones de preparación a MCS:

     compute.disks.create
 compute.disks.delete
 compute.disks.get
 compute.disks.list
 compute.disks.setLabels
 compute.disks.use
 compute.disks.useReadOnly
 compute.images.get
 compute.images.list
 compute.images.useReadOnly
 compute.instances.create
 compute.instances.delete
 compute.instances.get
 compute.instances.getSerialPortOutput
 compute.instances.list
 compute.instances.setLabels
 compute.instances.setMetadata
 compute.instances.setServiceAccount
 compute.machineTypes.list
 compute.networks.get
 compute.networks.list
 compute.projects.get
 compute.subnetworks.list
 compute.subnetworks.use
 compute.subnetworks.useExternalIp
 compute.zoneOperations.get
 compute.zones.list
 iam.serviceAccounts.actAs
 logging.logEntries.create
 pubsub.topics.publish
 resourcemanager.projects.get
 source.repos.get
 source.repos.list
 storage.buckets.create
 storage.buckets.get
 storage.buckets.list
 storage.objects.create
 storage.objects.delete
 storage.objects.get
 storage.objects.list
 <!--NeedCopy-->

    Los siguientes roles definidos por Google tienen los permisos enumerados anteriormente:

    • Cloud Build Service Account (después del cambio de Cloud Build Service Account, es Cloud Compute Service Account)
    • Compute Instance Admin
    • Service Account User

  • Permisos mínimos necesarios para Cloud Compute Service Account en el proyecto de aprovisionamiento requeridos por el servicio Google Cloud Build al descargar el disco de instrucciones de preparación a MCS:

     resourcemanager.projects.get
 storage.objects.create
 storage.objects.get
 storage.objects.list
 <!--NeedCopy-->

    Los siguientes roles definidos por Google tienen los permisos enumerados anteriormente:

    • Compute Network User
    • Storage Account User
    • Cloud Datastore User
  • (Antes del cambio de Cloud Build Service Account): Permisos adicionales necesarios para Shared VPC para Cloud Build Service Account en el proyecto de aprovisionamiento requeridos por el servicio Google Cloud Build al descargar el disco de instrucciones de preparación a MCS:

  • (Después del cambio de Cloud Build Service Account): Permisos adicionales necesarios para Shared VPC para Cloud Compute Service Account en el proyecto de aprovisionamiento requeridos por el servicio Google Cloud Compute al descargar el disco de instrucciones de preparación a MCS:

     compute.firewalls.list
 compute.networks.list
 compute.subnetworks.list
 compute.subnetworks.use
 resourcemanager.projects.get
 <!--NeedCopy-->

    Los siguientes roles definidos por Google tienen los permisos enumerados anteriormente:

    • Compute Network User
    • Storage Account User
    • Cloud Datastore User

  • Permisos adicionales necesarios para Cloud Key Management Service (KMS) para la cuenta de servicio de Citrix Cloud en el proyecto de aprovisionamiento:

     cloudkms.cryptoKeys.get
 cloudkms.cryptoKeys.list
 cloudkms.keyRings.get
 cloudkms.keyRings.list
 <!--NeedCopy-->

    Los siguientes roles definidos por Google tienen los permisos enumerados anteriormente:

    • Visor de KMS de Compute

Permisos generales

A continuación, se muestran los permisos para la cuenta de servicio de Citrix Cloud en el proyecto de aprovisionamiento para todas las funciones admitidas en MCS. Estos permisos proporcionan la mejor compatibilidad en el futuro:

resourcemanager.projects.get
cloudbuild.builds.create
cloudbuild.builds.get
cloudbuild.builds.list
compute.acceleratorTypes.list
compute.diskTypes.get
compute.diskTypes.list
compute.disks.create
compute.disks.createSnapshot
compute.disks.delete
compute.disks.get
compute.disks.setLabels
compute.disks.use
compute.disks.useReadOnly
compute.firewalls.create
compute.firewalls.delete
compute.firewalls.list
compute.globalOperations.get
compute.images.create
compute.images.delete
compute.images.get
compute.images.list
compute.images.setLabels
compute.images.useReadOnly
compute.instanceTemplates.create
compute.instanceTemplates.delete
compute.instanceTemplates.get
compute.instanceTemplates.list
compute.instanceTemplates.useReadOnly
compute.instances.attachDisk
compute.instances.create
compute.instances.delete
compute.instances.detachDisk
compute.instances.get
compute.instances.list
compute.instances.reset
compute.instances.resume
compute.instances.setDeletionProtection
compute.instances.setLabels
compute.instances.setMetadata
compute.instances.setTags
compute.instances.start
compute.instances.stop
compute.instances.suspend
compute.instances.update
compute.instances.updateAccessConfig
compute.instances.updateDisplayDevice
compute.instances.updateSecurity
compute.instances.updateShieldedInstanceConfig
compute.instances.updateShieldedVmConfig
compute.machineTypes.get
compute.machineTypes.list
compute.networks.list
compute.networks.updatePolicy
compute.nodeGroups.list
compute.nodeTemplates.get
compute.projects.get
compute.regions.list
compute.snapshots.create
compute.snapshots.delete
compute.snapshots.list
compute.snapshots.get
compute.snapshots.setLabels
compute.snapshots.useReadOnly
compute.subnetworks.get
compute.subnetworks.list
compute.subnetworks.use
compute.subnetworks.useExternalIp
compute.zoneOperations.get
compute.zoneOperations.list
compute.zones.get
compute.zones.list
resourcemanager.projects.get
storage.buckets.create
storage.buckets.delete
storage.buckets.get
storage.buckets.list
storage.buckets.update
storage.objects.create
storage.objects.delete
storage.objects.get
storage.objects.list
cloudkms.cryptoKeys.get
cloudkms.cryptoKeys.list
cloudkms.keyRings.get
cloudkms.keyRings.list
compute.disks.list
compute.instances.setServiceAccount
compute.networks.get
compute.networks.use
compute.networks.useExternalIp
iam.serviceAccounts.actAs
compute.resourcePolicies.use
<!--NeedCopy-->

Más información

Entornos de Google Cloud
May 30, 2026
Contribución de: 
C C
May 30, 2026
Contribución de: 
C C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.