Citrix DaaS

Environnements de virtualisation Google Cloud

Citrix DaaS (anciennement Citrix Virtual Apps and Desktops Service) vous permet de provisionner et de gérer des machines sur Google Cloud.

Logiciels requis

Avant de commencer à provisionner les machines virtuelles sur Google Cloud Platform (GCP), vous devez vous assurer d’avoir installé les logiciels requis suivants.

  1. L’abonnement Citrix doit inclure la prise en charge des charges de travail multicloud hybrides. Pour plus d’informations, consultez Comparer les fonctionnalités des abonnements Citrix.
  2. Le compte administrateur doit disposer d’autorisations suffisantes pour créer des connexions hôtes, des catalogues de machines et des groupes de mise à disposition. Pour plus d’informations, consultez Configurer l’administration déléguée.
  3. Identifiez un projet Google Cloud dans lequel toutes les ressources de calcul associées au catalogue de machines sont stockées. Il peut s’agir d’un projet existant ou d’un nouveau. Pour plus d’informations, consultez Projets Google Cloud.
  4. Activez les API Google Cloud requises pour l’intégration à Citrix DaaS. Pour plus d’informations, consultez Activer les API Google Cloud.
  5. Créez les comptes de service dans Google Cloud et accordez les autorisations appropriées. Pour plus d’informations, consultez Configurer et mettre à jour des comptes de service.
  6. Téléchargez le fichier de clé du compte de service Citrix Cloud. Pour plus d’informations, consultez Clé de compte du service Citrix Cloud.
  7. Les machines virtuelles doivent pouvoir accéder aux API Google sans adresse IP publique. Pour plus d’informations, consultez Activer l’accès privé à Google.

Projets Google Cloud

Il existe essentiellement deux types de projets Google Cloud :

  • Projet de provisioning : dans ce cas, le compte administrateur actuel est propriétaire des machines provisionnées du projet. Ce projet est également appelé projet local.
  • Projet VPC partagé : projet dans lequel les machines créées dans le projet de provisioning utilisent le VPC du projet VPC partagé. Le compte administrateur utilisé pour le projet de provisioning dispose d’autorisations limitées dans ce projet, à savoir des autorisations d’utilisation du VPC uniquement.

URL du point de terminaison de service

Vous devez avoir accès aux URL suivantes :

  • https://oauth2.googleapis.com
  • https://cloudresourcemanager.googleapis.com
  • https://compute.googleapis.com
  • https://storage.googleapis.com
  • https://cloudbuild.googleapis.com

Activer les API Google Cloud

Pour utiliser la fonctionnalité Google Cloud via Studio, activez ces API dans votre projet Google Cloud :

  • API Compute Engine
  • API Cloud Resource Manager
  • API IAM (Identity and Access Management)
  • API Cloud Build

À partir de la console Google Cloud, procédez comme suit :

  1. Dans le menu supérieur gauche, sélectionnez API et services > API et services activés.
  2. Sur l’écran API et services activés, vérifiez que l’API Compute Engine est activée. Si ce n’est pas le cas, procédez comme suit :

    1. Accédez à API et Services > Bibliothèque.
    2. Dans la zone de recherche, tapez Compute Engine.
    3. Dans les résultats de la recherche, sélectionnez API Compute Engine.
    4. Sur la page API Compute Engine, sélectionnez Activer.
  3. Activez l’API Cloud Resource Manager.
    1. Accédez à API et Services > Bibliothèque.
    2. Dans le champ de recherche, tapez Cloud Resource Manager.
    3. Dans les résultats de la recherche, sélectionnez Cloud Resource Manager API.
    4. Sur la page API Cloud Resource Manager, sélectionnez Activer. L’état de l’API s’affiche.
  4. De même, activez les API Identity and Access Management (IAM), Cloud Build et Cloud Key Management Service (KMS).

Vous pouvez également utiliser Google Cloud Shell pour activer les API. Pour ce faire :

  1. Ouvrez la console Google et chargez Cloud Shell.
  2. Exécutez les quatre commandes suivantes dans Cloud Shell :

    • gcloud services enable compute.googleapis.com
    • gcloud services enable cloudresourcemanager.googleapis.com
    • gcloud services enable iam.googleapis.com
    • gcloud services enable cloudbuild.googleapis.com
    • gcloud services enable cloudkms.googleapis.com
  3. Cliquez sur Authorize si Cloud Shell vous y invite.

Configuration et mise à jour des comptes de service

Remarque :

GCP apporte des modifications au comportement par défaut du service Cloud Build et à l’utilisation des comptes de service après le 29 avril 2024. Pour plus d’informations, consultez la page Modification d’un compte de service Cloud Build. Vos projets Google existants pour lesquels l’API Cloud Build a été activée avant le 29 avril 2024 ne sont pas concernés par cette modification. Toutefois, si vous souhaitez conserver le comportement existant du service Cloud Build après le 29 avril, vous pouvez créer ou appliquer la stratégie de l’organisation pour désactiver l’application des contraintes avant d’activer l’API Cloud Build. Par conséquent, le contenu suivant est divisé en deux : avant le 29 avril 2024 et après le 29 avril 2024. Si vous définissez la nouvelle stratégie de l’organisation, suivez la section Avant le 29 avril 2024.

Avant le 29 avril 2024

Citrix Cloud utilise trois comptes de service distincts dans le cadre du projet Google Cloud :

  • Compte de service Citrix Cloud : ce compte de service permet à Citrix Cloud d’accéder au projet Google, de provisionner et de gérer des machines. Ce compte de service s’authentifie auprès de Google Cloud à l’aide d’une clé générée par Google Cloud.

    Vous devez créer ce compte de service manuellement comme indiqué ici. Pour plus d’informations, consultez Créer un compte Citrix Cloud Service.

    Vous pouvez identifier ce compte de service à l’aide d’une adresse e-mail. Par exemple, <my-service-account>@<project-id>.iam.gserviceaccount.com.

  • Compte de service Cloud Build : ce compte de service est automatiquement provisionné une fois que vous avez activé toutes les API mentionnées dans Activer les API Google Cloud. Pour afficher tous les comptes de service créés automatiquement, accédez à IAM & Admin > IAM dans la console Google Cloud et cochez la case Include Google-provided role grants.

    Vous pouvez identifier ce compte de service par une adresse e-mail commençant par l’ID du projet et le mot cloudbuild. Par exemple, <project-id>@cloudbuild.gserviceaccount.com

    Vérifiez si les rôles suivants ont été attribués au compte de service. Si vous devez ajouter des rôles, suivez les étapes décrites dans la section Ajouter des rôles au compte de service Cloud Build.

    • Compte de service Cloud Build
    • Administrateur d’instances Compute
    • Utilisateur du compte de service
  • Compte de service Cloud Compute : ce compte de service est ajouté par Google Cloud aux instances créées dans Google Cloud une fois l’API Compute activée. Ce compte possède le rôle d’éditeur de base IAM pour effectuer les opérations. Toutefois, si vous supprimez l’autorisation par défaut pour bénéficier d’un contrôle plus précis, vous devez ajouter le rôle Administrateur de l’espace de stockage qui requiert les autorisations suivantes :

    • resourcemanager.projects.get
    • storage.objects.create
    • storage.objects.get
    • storage.objects.list

Vous pouvez identifier ce compte de service par une adresse e-mail commençant par l’ID du projet et le mot compute. Par exemple, <project-id>-compute@developer.gserviceaccount.com.

Créer un compte Citrix Cloud Service

Pour créer un compte Citrix Cloud Service, procédez comme suit :

  1. Dans la console Google Cloud, accédez à IAM et administration > Comptes de service.
  2. Sur la page Comptes de service, sélectionnez CRÉER UN COMPTE DE SERVICE.
  3. Sur la page Créer un compte de service, entrez les informations requises, puis sélectionnez CRÉER ET CONTINUER.
  4. Sur la page Autoriser ce compte de service à accéder au projet, cliquez sur le menu déroulant Sélectionner un rôle et sélectionnez les rôles requis. Cliquez sur +AJOUTER UN AUTRE RÔLE si vous souhaitez ajouter d’autres rôles.

    Chaque compte (personnel ou service) a différents rôles définissant la gestion du projet. Attribuez les rôles suivants à ce compte de service :

    • Administrateur informatique
    • Administrateur de l’espace de stockage
    • Éditeur Cloud Build
    • Utilisateur du compte de service
    • Utilisateur de Cloud Datastore
    • Opérateur de cryptage Cloud KMS

    L’opérateur de cryptage Cloud KMS a besoin des autorisations suivantes :

    • cloudkms.cryptoKeys.get
    • cloudkms.cryptoKeys.list
    • cloudkms.keyRings.get
    • cloudkms.keyRings.list

    Remarque :

    Activez toutes les API pour obtenir la liste complète des rôles disponibles lors de la création d’un nouveau compte de service.

  5. Cliquez sur CONTINUER
  6. Sur la page Autoriser les utilisateurs à accéder à ce compte de service, ajoutez des utilisateurs ou des groupes pour leur permettre d’effectuer des actions dans ce compte de service.
  7. Cliquez sur OK.
  8. Accédez à la console principale IAM.
  9. Identifiez le compte de service créé.
  10. Vérifiez que les rôles sont correctement assignés.

Considérations :

Lors de la création du compte de service, tenez compte des éléments suivants :

  • Les étapes Autoriser ce compte de service à accéder au projet et Autoriser les utilisateurs à accéder à ce compte de service sont facultatives. Si vous choisissez d’ignorer ces étapes de configuration facultatives, le compte de service nouvellement créé ne s’affiche pas dans la page IAM et administration > IAM.
  • Pour afficher les rôles associés à un compte de service, ajoutez les rôles sans ignorer les étapes facultatives. Ce processus garantit que les rôles apparaissent pour le compte de service configuré.

Clé de compte Citrix Cloud Service

La clé de compte Citrix Cloud Service est requise pour créer une connexion dans Citrix DaaS. La clé est contenue dans un fichier d’informations d’identification (.json). Une fois la clé créée, le fichier est automatiquement téléchargé et enregistré dans le dossier Téléchargements. Lorsque vous créez la clé, assurez-vous de définir le type de clé sur JSON. Sinon, Studio ne peut pas l’analyser.

Pour créer une clé de compte de service, accédez à IAM & Admin > Service accounts, puis cliquez sur l’adresse e-mail du compte de service Citrix Cloud. Passez à l’onglet Keys et sélectionnez Add Key > Create new key. Assurez-vous de sélectionner JSON comme type de clé.

Conseil :

Créez des clés à l’aide de la page Comptes de service de la console Google Cloud. Nous vous recommandons de modifier régulièrement les clés pour des raisons de sécurité. Pour fournir de nouvelles clés à l’application Citrix Virtual Apps and Desktops, modifiez une connexion Google Cloud existante.

Ajouter des rôles au compte Citrix Cloud Service

Pour ajouter des rôles au compte Citrix Cloud Service, procédez comme suit :

  1. Dans la console Google Cloud, accédez à IAM et administration > IAM.
  2. Sur la page IAM > AUTORISATIONS, recherchez le compte de service que vous avez créé, identifiable grâce à une adresse e-mail.

    Par exemple, <my-service-account>@<project-id>.iam.gserviceaccount.com

  3. Sélectionnez l’icône en forme de crayon pour modifier l’accès au compte principal du compte de service.
  4. Sur la page Modifier l’accès à « identifiant du projet » pour l’option de compte principal sélectionnée, sélectionnez AJOUTER UN AUTRE RÔLE pour ajouter les rôles requis à votre compte de service un par un, puis sélectionnez ENREGISTRER.

Ajouter des rôles au compte de service Cloud Build

Pour ajouter des rôles au compte de service Cloud Build :

  1. Dans la console Google Cloud, accédez à IAM et administration > IAM.
  2. Sur la page IAM, recherchez le compte de service Cloud Build, identifiable par une adresse e-mail commençant par l’ID du projet et le mot cloudbuild.

    Par exemple, <project-id>@cloudbuild.gserviceaccount.com

  3. Sélectionnez l’icône en forme de crayon pour modifier les rôles du compte Cloud Build.
  4. Sur la page Modifier l’accès à « identifiant du projet » pour l’option de compte principal sélectionnée, sélectionnez AJOUTER UN AUTRE RÔLE pour ajouter les rôles requis à votre compte de service Cloud Build un par un, puis sélectionnez ENREGISTRER.

    Remarque :

    Activez toutes les API pour obtenir la liste complète des rôles.

Après le 29 avril 2024

Citrix Cloud utilise deux comptes de service distincts dans le cadre du projet Google Cloud :

  • Compte de service Citrix Cloud : ce compte de service permet à Citrix Cloud d’accéder au projet Google, de provisionner et de gérer des machines. Ce compte de service s’authentifie auprès de Google Cloud à l’aide d’une clé générée par Google Cloud.

    Vous devez créer ce compte de service manuellement.

    Vous pouvez identifier ce compte de service à l’aide d’une adresse e-mail. Par exemple, <my-service-account>@<project-id>.iam.gserviceaccount.com.

  • Compte de service Cloud Compute : ce compte de service est automatiquement provisionné une fois que vous avez activé toutes les API mentionnées dans Activer les API Google Cloud. Pour afficher tous les comptes de service créés automatiquement, accédez à IAM & Admin > IAM dans la console Google Cloud et cochez la case Include Google-provided role grants. Ce compte possède le rôle d’éditeur de base IAM pour effectuer les opérations. Toutefois, si vous supprimez l’autorisation par défaut pour bénéficier d’un contrôle plus précis, vous devez ajouter le rôle Administrateur de l’espace de stockage qui requiert les autorisations suivantes :

    • resourcemanager.projects.get
    • storage.objects.create
    • storage.objects.get
    • storage.objects.list

    Vous pouvez identifier ce compte de service par une adresse e-mail commençant par l’ID du projet et le mot compute. Par exemple, <project-id>-compute@developer.gserviceaccount.com.

    Vérifiez si les rôles suivants ont été attribués au compte de service.

    • Compte de service Cloud Build
    • Administrateur d’instances Compute
    • Utilisateur du compte de service

Créer un compte Citrix Cloud Service

Pour créer un compte Citrix Cloud Service, procédez comme suit :

  1. Dans la console Google Cloud, accédez à IAM et administration > Comptes de service.
  2. Sur la page Comptes de service, sélectionnez CRÉER UN COMPTE DE SERVICE.
  3. Sur la page Créer un compte de service, entrez les informations requises, puis sélectionnez CRÉER ET CONTINUER.
  4. Sur la page Autoriser ce compte de service à accéder au projet, cliquez sur le menu déroulant Sélectionner un rôle et sélectionnez les rôles requis. Cliquez sur +AJOUTER UN AUTRE RÔLE si vous souhaitez ajouter d’autres rôles.

    Chaque compte (personnel ou service) a différents rôles définissant la gestion du projet. Attribuez les rôles suivants à ce compte de service :

    • Administrateur informatique
    • Administrateur de l’espace de stockage
    • Éditeur Cloud Build
    • Utilisateur du compte de service
    • Utilisateur de Cloud Datastore
    • Opérateur de cryptage Cloud KMS

    L’opérateur de cryptage Cloud KMS a besoin des autorisations suivantes :

    • cloudkms.cryptoKeys.get
    • cloudkms.cryptoKeys.list
    • cloudkms.keyRings.get
    • cloudkms.keyRings.list

    Remarque :

    Activez toutes les API pour obtenir la liste complète des rôles disponibles lors de la création d’un nouveau compte de service.

  5. Cliquez sur CONTINUER
  6. Sur la page Autoriser les utilisateurs à accéder à ce compte de service, ajoutez des utilisateurs ou des groupes pour leur permettre d’effectuer des actions dans ce compte de service.
  7. Cliquez sur OK.
  8. Accédez à la console principale IAM.
  9. Identifiez le compte de service créé.
  10. Vérifiez que les rôles sont correctement assignés.

Considérations :

Lors de la création du compte de service, tenez compte des éléments suivants :

  • Les étapes Autoriser ce compte de service à accéder au projet et Autoriser les utilisateurs à accéder à ce compte de service sont facultatives. Si vous choisissez d’ignorer ces étapes de configuration facultatives, le compte de service nouvellement créé ne s’affiche pas dans la page IAM et administration > IAM.
  • Pour afficher les rôles associés à un compte de service, ajoutez les rôles sans ignorer les étapes facultatives. Ce processus garantit que les rôles apparaissent pour le compte de service configuré.

Clé de compte Citrix Cloud Service

La clé de compte Citrix Cloud Service est requise pour créer une connexion dans Citrix DaaS. La clé est contenue dans un fichier d’informations d’identification (.json). Une fois la clé créée, le fichier est automatiquement téléchargé et enregistré dans le dossier Téléchargements. Lorsque vous créez la clé, assurez-vous de définir le type de clé sur JSON. Sinon, Studio ne peut pas l’analyser.

Pour créer une clé de compte de service, accédez à IAM & Admin > Service accounts, puis cliquez sur l’adresse e-mail du compte de service Citrix Cloud. Passez à l’onglet Keys et sélectionnez Add Key > Create new key. Assurez-vous de sélectionner JSON comme type de clé.

Conseil :

Créez des clés à l’aide de la page Comptes de service de la console Google Cloud. Nous vous recommandons de modifier régulièrement les clés pour des raisons de sécurité. Pour fournir de nouvelles clés à l’application Citrix Virtual Apps and Desktops, modifiez une connexion Google Cloud existante.

Ajouter des rôles au compte Citrix Cloud Service

Pour ajouter des rôles au compte Citrix Cloud Service, procédez comme suit :

  1. Dans la console Google Cloud, accédez à IAM et administration > IAM.
  2. Sur la page IAM > AUTORISATIONS, recherchez le compte de service que vous avez créé, identifiable grâce à une adresse e-mail.

    Par exemple, <my-service-account>@<project-id>.iam.gserviceaccount.com

  3. Sélectionnez l’icône en forme de crayon pour modifier l’accès au compte principal du compte de service.
  4. Sur la page Modifier l’accès à « identifiant du projet » pour l’option de compte principal sélectionnée, sélectionnez AJOUTER UN AUTRE RÔLE pour ajouter les rôles requis à votre compte de service un par un, puis sélectionnez ENREGISTRER.

Ajouter des rôles au compte de service Cloud Compute

Pour ajouter des rôles au compte de service Cloud Compute :

  1. Dans la console Google Cloud, accédez à IAM et administration > IAM.
  2. Sur la page IAM, recherchez le compte de service Cloud Build, identifiable par une adresse e-mail commençant par l’ID du projet et le mot cloudbuild.

    Par exemple, <project-id>-compute@developer.gserviceaccount.com

  3. Sélectionnez l’icône en forme de crayon pour modifier les rôles du compte Cloud Build.
  4. Sur la page Modifier l’accès à « identifiant du projet » pour l’option de compte principal sélectionnée, sélectionnez AJOUTER UN AUTRE RÔLE pour ajouter les rôles requis à votre compte de service Cloud Build un par un, puis sélectionnez ENREGISTRER.

    Remarque :

    Activez toutes les API pour obtenir la liste complète des rôles.

Autorisations de stockage et gestion des buckets

Citrix DaaS améliore le processus de signalement d’échecs Cloud Build pour le service Google Cloud. Ce service exécute des builds sur Google Cloud. Citrix DaaS crée un bucket de stockage nommé citrix-mcs-cloud-build-logs-{region}-{5 random characters} dans lequel les services Google Cloud capturent les informations de journal de build. Une option qui supprime le contenu après une période de 30 jours est définie sur ce bucket. Ce processus nécessite que les autorisations Google Cloud du compte de service utilisé pour la connexion soient définies sur storage.buckets.update. Si le compte de service ne dispose pas de cette autorisation, Citrix DaaS ignore les erreurs et poursuit le processus de création du catalogue. Sans cette autorisation, la taille des journaux de build augmente et nécessite un nettoyage manuel.

Activer l’accès privé à Google

Lorsqu’une machine virtuelle ne dispose pas d’une adresse IP externe affectée à son interface réseau, les paquets ne sont envoyés qu’à d’autres destinations d’adresses IP internes. Lorsque vous activez l’accès privé, la machine virtuelle se connecte à l’ensemble d’adresses IP externes utilisées par l’API Google et les services associés.

Remarque :

Que l’accès privé à Google soit activé ou non, toutes les machines virtuelles dotées ou non d’adresses IP publiques doivent pouvoir accéder aux API publiques de Google, en particulier si des appliances réseau tiers ont été installés dans l’environnement.

Pour vous assurer qu’une machine virtuelle de votre sous-réseau peut accéder aux API Google sans adresse IP publique pour le provisioning MCS :

  1. Dans Google Cloud, accédez à la configuration du réseau VPC.
  2. Identifiez les sous-réseaux utilisés pour l’environnement Citrix dans l’onglet Subnets in current project.
  3. Cliquez sur le nom des sous-réseaux et activez l’accès privé à Google.

Pour plus d’informations, consultez Configuration de l’accès privé à Google.

Important :

Si votre réseau est configuré pour empêcher l’accès des machines virtuelles à Internet, assurez-vous que votre organisation assume les risques associés à l’activation de l’accès privé à Google pour le sous-réseau auquel la machine virtuelle est connectée.

Autres ressources

Informations supplémentaires

Environnements de virtualisation Google Cloud