Documentation produit
Citrix Virtual Apps and Desktops 7 2203 LTSR
Voir PDF

Environnements Google Cloud

May 31, 2026
Contributeur: 
C C

Citrix Virtual Apps and Desktops™ vous permet de provisionner et de gérer des machines sur Google Cloud. Cet article vous guide dans l’utilisation de Machine Creation Services (MCS) pour provisionner des machines virtuelles dans votre déploiement de service Citrix Virtual Apps ou Citrix Virtual Desktops.

Prérequis

  • Compte Citrix Cloud™. La fonctionnalité décrite dans cet article est disponible uniquement dans Citrix Cloud.
  • Abonnement Citrix DaaS. Pour plus de détails, consultez Démarrer.
  • Un projet Google Cloud. Le projet stocke toutes les ressources de calcul associées au catalogue de machines. Il peut s’agir d’un projet existant ou d’un nouveau projet.
  • Activez quatre API dans votre projet Google Cloud. Pour plus de détails, consultez Activer les API Google Cloud.
  • Compte de service Google Cloud. Le compte de service s’authentifie auprès de Google Cloud pour permettre l’accès au projet. Pour plus de détails, consultez Configurer le compte de service Google Cloud.
  • Activez l’accès privé Google. Pour plus de détails, consultez Activer l’accès privé Google.

Activer les API Google Cloud

Pour utiliser les fonctionnalités de Google Cloud via Web Studio, activez ces API dans votre projet Google Cloud :

  • API Compute Engine
  • API Cloud Resource Manager
  • API Identity and Access Management (IAM)
  • API Cloud Build

Depuis la console Google Cloud, effectuez les étapes suivantes :

  1. Dans le menu supérieur gauche, sélectionnez API et services > Tableau de bord.

    Image de sélection du tableau de bord API et services

  2. Sur l’écran Tableau de bord, assurez-vous que l’API Compute Engine est activée. Si ce n’est pas le cas, suivez ces étapes :

    1. Accédez à API et services > Bibliothèque.

      Image de la bibliothèque API et services

    2. Dans la zone de recherche, tapez Compute Engine.

    3. Dans les résultats de recherche, sélectionnez API Compute Engine.

    4. Sur la page API Compute Engine, sélectionnez Activer.

  3. Activez l’API Cloud Resource Manager.

    1. Accédez à API et services > Bibliothèque.

    2. Dans la zone de recherche, tapez Cloud Resource Manager.

    3. Dans les résultats de recherche, sélectionnez API Cloud Resource Manager.

    4. Sur la page API Cloud Resource Manager, sélectionnez Activer. L’état de l’API s’affiche.

  4. De même, activez l’API Identity and Access Management (IAM) et l’API Cloud Build.

Vous pouvez également utiliser Google Cloud Shell pour activer les API. Pour ce faire :

  1. Ouvrez la console Google et chargez le Cloud Shell.

  2. Exécutez les quatre commandes suivantes dans le Cloud Shell :

    • gcloud services enable compute.googleapis.com
    • gcloud services enable cloudresourcemanager.googleapis.com
    • gcloud services enable iam.googleapis.com
    • gcloud services enable cloudbuild.googleapis.com
  3. Cliquez sur Autoriser si le Cloud Shell vous y invite.

Configurer et mettre à jour les comptes de service

Remarque :

CP apporte des modifications au comportement par défaut et à l’utilisation des comptes de service de Cloud Build Service après le 29 avril 2024. Pour plus d’informations, consultez Modification du compte de service Cloud Build. Vos projets Google existants avec l’API Cloud Build activée avant le 29 avril 2024 ne sont pas affectés par ce changement. Cependant, si vous souhaitez conserver le comportement existant de Cloud Build Service après le 29 avril, vous pouvez créer ou appliquer la politique d’organisation pour désactiver l’application des contraintes avant d’activer l’API Cloud Build. Par conséquent, le contenu suivant est divisé en deux parties : Avant le 29 avril 2024 et Après le 29 avril 2024. Si vous définissez la nouvelle politique d’organisation, suivez la section Avant le 29 avril 2024.

Avant le 29 avril 2024

Citrix Cloud utilise trois comptes de service distincts au sein du projet Google Cloud :

  • Compte de service Citrix Cloud : Ce compte de service permet à Citrix Cloud d’accéder au projet Google, de provisionner et de gérer les machines. Ce compte de service s’authentifie auprès de Google Cloud à l’aide d’une clé générée par Google Cloud.

    Vous devez créer ce compte de service manuellement comme indiqué ici. Pour plus d’informations, consultez Créer un compte de service Citrix Cloud.

    Vous pouvez identifier ce compte de service par une adresse e-mail. Par exemple, <my-service-account>@<project-id>.iam.gserviceaccount.com.

  • Compte de service Cloud Build : Ce compte de service est provisionné automatiquement après avoir activé toutes les API mentionnées dans Activer les API Google Cloud. Pour afficher tous les comptes de service créés automatiquement, accédez à IAM et administration > IAM dans la console Google Cloud et cochez la case Inclure les attributions de rôles fournies par Google.

    Vous pouvez identifier ce compte de service par une adresse e-mail qui commence par l’ID de projet et le mot cloudbuild. Par exemple, <project-id>@cloudbuild.gserviceaccount.com

    Vérifiez si les rôles suivants ont été attribués au compte de service. Si vous devez ajouter des rôles, suivez les étapes décrites dans Ajouter des rôles au compte de service Cloud Build.

    • Compte de service Cloud Build
    • Administrateur d’instances Compute
    • Utilisateur de compte de service

  • Compte de service Cloud Compute : Ce compte de service est ajouté par Google Cloud aux instances créées dans Google Cloud une fois l’API Compute activée. Ce compte dispose du rôle d’éditeur de base IAM pour effectuer les opérations. Toutefois, si vous supprimez l’autorisation par défaut pour un contrôle plus granulaire, vous devez ajouter un rôle Administrateur du stockage qui nécessite les autorisations suivantes :

    • resourcemanager.projects.get
    • storage.objects.create
    • storage.objects.get
    • storage.objects.list

Vous pouvez identifier ce compte de service par une adresse e-mail qui commence par l’ID de projet et le mot compute. Par exemple, <project-id>-compute@developer.gserviceaccount.com.

Créer un compte de service Citrix Cloud

Pour créer un compte de service Citrix Cloud, suivez ces étapes :

  1. Dans la console Google Cloud, accédez à IAM et administration > Comptes de service.
  2. Sur la page Comptes de service, sélectionnez CRÉER UN COMPTE DE SERVICE.
  3. Sur la page Créer un compte de service, saisissez les informations requises, puis sélectionnez CRÉER ET CONTINUER.

  4. Sur la page Accorder à ce compte de service l’accès au projet, cliquez sur le menu déroulant Sélectionner un rôle et sélectionnez les rôles requis. Cliquez sur +AJOUTER UN AUTRE RÔLE si vous souhaitez ajouter d’autres rôles.

    Chaque compte (personnel ou de service) possède différents rôles définissant la gestion du projet. Accordez les rôles suivants à ce compte de service :

    • Administrateur Compute
    • Administrateur Storage
    • Éditeur Cloud Build
    • Utilisateur de compte de service
    • Utilisateur Cloud Datastore
    • Opérateur de chiffrement Cloud KMS

    L’opérateur de chiffrement Cloud KMS nécessite les autorisations suivantes :

    • cloudkms.cryptoKeys.get
    • cloudkms.cryptoKeys.list
    • cloudkms.keyRings.get
    • cloudkms.keyRings.list

    Remarque :

    Activez toutes les API pour obtenir la liste complète des rôles disponibles lors de la création d’un nouveau compte de service.

  5. Cliquez sur CONTINUER
  6. Sur la page Accorder aux utilisateurs l’accès à ce compte de service, ajoutez des utilisateurs ou des groupes pour leur accorder l’accès afin d’effectuer des actions dans ce compte de service.
  7. Cliquez sur TERMINÉ.
  8. Accédez à la console principale IAM.
  9. Identifiez le compte de service créé.
  10. Vérifiez que les rôles sont attribués avec succès.

Considérations :

Lors de la création du compte de service, tenez compte des éléments suivants :

  • Les étapes Accorder à ce compte de service l’accès au projet et Accorder aux utilisateurs l’accès à ce compte de service sont facultatives. Si vous choisissez d’ignorer ces étapes de configuration facultatives, le compte de service nouvellement créé ne s’affiche pas sur la page IAM et administration > IAM.
  • Pour afficher les rôles associés à un compte de service, ajoutez les rôles sans ignorer les étapes facultatives. Ce processus garantit que les rôles apparaissent pour le compte de service configuré.

Clé de compte de service Citrix Cloud

La clé de compte de service Citrix Cloud est requise pour créer une connexion dans Citrix DaaS. La clé est contenue dans un fichier d’informations d’identification (.json). Le fichier est automatiquement téléchargé et enregistré dans le dossier Téléchargements après la création de la clé. Lorsque vous créez la clé, assurez-vous de définir le type de clé sur JSON. Sinon, Web Studio ne peut pas l’analyser.

Pour créer une clé de compte de service, accédez à IAM et administration > Comptes de service et cliquez sur l’adresse e-mail du compte de service Citrix Cloud. Accédez à l’onglet Clés et sélectionnez Ajouter une clé > Créer une nouvelle clé. Assurez-vous de sélectionner JSON comme type de clé.

Conseil :

Créez des clés à l’aide de la page Comptes de service dans la console Google Cloud. Nous vous recommandons de changer régulièrement les clés pour des raisons de sécurité. Vous pouvez fournir de nouvelles clés à l’application Citrix Virtual Apps and Desktops en modifiant une connexion Google Cloud existante.

Ajouter des rôles au compte de service Citrix Cloud

Pour ajouter des rôles au compte de service Citrix Cloud :

  1. Dans la console Google Cloud, accédez à IAM et administration > IAM.

  2. Sur la page IAM > AUTORISATIONS, recherchez le compte de service que vous avez créé, identifiable par une adresse e-mail.

    Par exemple, <my-service-account>@<project-id>.iam.gserviceaccount.com

  3. Sélectionnez l’icône en forme de crayon pour modifier l’accès au principal du compte de service.
  4. Sur la page Modifier l’accès à « project-id » pour l’option de principal sélectionnée, sélectionnez AJOUTER UN AUTRE RÔLE pour ajouter les rôles requis à votre compte de service un par un, puis sélectionnez ENREGISTRER.

Ajouter des rôles au compte de service Cloud Build

Pour ajouter des rôles au compte de service Cloud Build :

  1. Dans la console Google Cloud, accédez à IAM et administration > IAM.

  2. Sur la page IAM, recherchez le compte de service Cloud Build, identifiable par une adresse e-mail qui commence par l’ID du projet et le mot cloudbuild.

    Par exemple, <project-id>@cloudbuild.gserviceaccount.com

  3. Sélectionnez l’icône en forme de crayon pour modifier les rôles du compte Cloud Build.

  4. Sur la page Modifier l’accès à « project-id » pour l’option de principal sélectionnée, sélectionnez AJOUTER UN AUTRE RÔLE pour ajouter les rôles requis à votre compte de service Cloud Build un par un, puis sélectionnez ENREGISTRER.

    Remarque :

    Activez toutes les API pour obtenir la liste complète des rôles.

Après le 29 avril 2024

Citrix Cloud utilise deux comptes de service distincts au sein du projet Google Cloud :

  • Compte de service Citrix Cloud : Ce compte de service permet à Citrix Cloud d’accéder au projet Google, de provisionner et de gérer les machines. Ce compte de service s’authentifie auprès de Google Cloud à l’aide d’une clé générée par Google Cloud.

    Vous devez créer ce compte de service manuellement.

    Vous pouvez identifier ce compte de service par une adresse e-mail. Par exemple, <my-service-account>@<project-id>.iam.gserviceaccount.com.

  • Compte de service Cloud Compute : Ce compte de service est provisionné automatiquement après que vous avez activé toutes les API mentionnées dans Activer les API Google Cloud. Pour afficher tous les comptes de service créés automatiquement, accédez à IAM et administration > IAM dans la console Google Cloud et cochez la case Inclure les attributions de rôles fournies par Google. Ce compte dispose du rôle d’éditeur de base IAM pour effectuer les opérations. Cependant, si vous supprimez l’autorisation par défaut pour un contrôle plus granulaire, vous devez ajouter le rôle Administrateur du stockage qui nécessite les autorisations suivantes :

    • resourcemanager.projects.get
    • storage.objects.create
    • storage.objects.get
    • storage.objects.list

    Vous pouvez identifier ce compte de service par une adresse e-mail qui commence par l’ID du projet et le mot compute. Par exemple, <project-id>-compute@developer.gserviceaccount.com.

    Vérifiez si le compte de service s’est vu attribuer les rôles suivants.

    • Compte de service Cloud Build
    • Administrateur d’instances Compute
    • Utilisateur de compte de service

Créer un compte de service Citrix Cloud

Pour créer un compte de service Citrix Cloud, suivez les étapes suivantes :

  1. Dans la console Google Cloud, accédez à IAM et administration > Comptes de service.
  2. Sur la page Comptes de service, sélectionnez CRÉER UN COMPTE DE SERVICE.
  3. Sur la page Créer un compte de service, saisissez les informations requises, puis sélectionnez CRÉER ET CONTINUER.

  4. Sur la page Accorder à ce compte de service l’accès au projet, cliquez sur le menu déroulant Sélectionner un rôle et sélectionnez les rôles requis. Cliquez sur +AJOUTER UN AUTRE RÔLE si vous souhaitez ajouter d’autres rôles.

    Chaque compte (personnel ou de service) possède différents rôles définissant la gestion du projet. Accordez les rôles suivants à ce compte de service :

    • Administrateur Compute
    • Administrateur du stockage
    • Éditeur Cloud Build
    • Utilisateur de compte de service
    • Utilisateur Cloud Datastore
    • Opérateur de chiffrement Cloud KMS

    L’opérateur de chiffrement Cloud KMS requiert les autorisations suivantes :

    • cloudkms.cryptoKeys.get
    • cloudkms.cryptoKeys.list
    • cloudkms.keyRings.get
    • cloudkms.keyRings.list

    Remarque :

    Activez toutes les API pour obtenir la liste complète des rôles disponibles lors de la création d’un nouveau compte de service.

  5. Cliquez sur CONTINUER
  6. Sur la page Accorder l’accès des utilisateurs à ce compte de service, ajoutez des utilisateurs ou des groupes pour leur accorder l’accès afin d’effectuer des actions dans ce compte de service.
  7. Cliquez sur TERMINÉ.
  8. Accédez à la console principale IAM.
  9. Identifiez le compte de service créé.
  10. Vérifiez que les rôles sont attribués avec succès.

Considérations :

Lors de la création du compte de service, tenez compte des points suivants :

  • Les étapes Accorder à ce compte de service l’accès au projet et Accorder aux utilisateurs l’accès à ce compte de service sont facultatives. Si vous choisissez d’ignorer ces étapes de configuration facultatives, le compte de service nouvellement créé ne s’affiche pas sur la page IAM et administration > IAM.
  • Pour afficher les rôles associés à un compte de service, ajoutez les rôles sans ignorer les étapes facultatives. Ce processus garantit que les rôles apparaissent pour le compte de service configuré.

Clé de compte de service Citrix Cloud

La clé de compte de service Citrix Cloud est requise pour créer une connexion dans Citrix DaaS. La clé est contenue dans un fichier d’informations d’identification (.json). Le fichier est automatiquement téléchargé et enregistré dans le dossier Téléchargements après la création de la clé. Lorsque vous créez la clé, assurez-vous de définir le type de clé sur JSON. Sinon, Web Studio ne peut pas l’analyser.

Pour créer une clé de compte de service, accédez à IAM et administration > Comptes de service et cliquez sur l’adresse e-mail du compte de service Citrix Cloud. Accédez à l’onglet Clés et sélectionnez Ajouter une clé > Créer une nouvelle clé. Assurez-vous de sélectionner JSON comme type de clé.

Conseil :

Créez des clés à l’aide de la page Comptes de service dans la console Google Cloud. Nous vous recommandons de modifier régulièrement les clés à des fins de sécurité. Vous pouvez fournir de nouvelles clés à l’application Citrix Virtual Apps and Desktops en modifiant une connexion Google Cloud existante.

Ajouter des rôles au compte de service Citrix Cloud

Pour ajouter des rôles au compte de service Citrix Cloud :

  1. Dans la console Google Cloud, accédez à IAM et administration > IAM.

  2. Sur la page IAM > AUTORISATIONS, recherchez le compte de service que vous avez créé, identifiable par une adresse e-mail.

    Par exemple, <my-service-account>@<project-id>.iam.gserviceaccount.com

  3. Sélectionnez l’icône en forme de crayon pour modifier l’accès au principal du compte de service.
  4. Sur la page Modifier l’accès à « project-id » pour l’option de principal sélectionnée, sélectionnez AJOUTER UN AUTRE RÔLE pour ajouter les rôles requis à votre compte de service un par un, puis sélectionnez ENREGISTRER.

Ajouter des rôles au compte de service Cloud Compute

Pour ajouter des rôles au compte de service Cloud Compute :

  1. Dans la console Google Cloud, accédez à IAM et administration > IAM.

  2. Sur la page IAM, localisez le compte de service Cloud Compute, identifiable par une adresse e-mail qui commence par l’ID de projet et le mot compute.

    Par exemple, <project-id>-compute@developer.gserviceaccount.com

  3. Sélectionnez l’icône en forme de crayon pour modifier les rôles du compte Cloud Build.

  4. Sur la page Modifier l’accès à « project-id » pour l’option de principal sélectionnée, sélectionnez AJOUTER UN AUTRE RÔLE pour ajouter les rôles requis à votre compte de service Cloud Build un par un, puis sélectionnez ENREGISTRER.

    Remarque :

    Activez toutes les API pour obtenir la liste complète des rôles.

Autorisations de stockage et gestion des compartiments

Citrix DaaS améliore le processus de signalement des échecs de build cloud pour le service Google Cloud. Ce service exécute des builds sur Google Cloud. Citrix DaaS crée un compartiment de stockage nommé citrix-mcs-cloud-build-logs-{region}-{5 random characters} où les services Google Cloud capturent les informations de journal de build. Une option est définie sur ce compartiment qui supprime le contenu après une période de 30 jours. Ce processus exige que le compte de service utilisé pour la connexion dispose des autorisations Google Cloud définies sur storage.buckets.update. Si le compte de service ne dispose pas de cette autorisation, Citrix DaaS ignore les erreurs et poursuit le processus de création de catalogue. Sans cette autorisation, la taille des journaux de build augmente et nécessite un nettoyage manuel.

Activer l’accès privé Google

Lorsqu’une VM ne dispose pas d’une adresse IP externe attribuée à son interface réseau, les paquets ne sont envoyés qu’à d’autres destinations d’adresses IP internes. Lorsque vous activez l’accès privé, la VM se connecte à l’ensemble des adresses IP externes utilisées par l’API Google et les services associés.

Remarque :

Que l’accès privé Google soit activé, toutes les machines virtuelles, avec ou sans adresses IP publiques, doivent pouvoir accéder aux API publiques de Google, surtout si des équipements réseau tiers ont été installés dans l’environnement.

Pour vous assurer qu’une machine virtuelle de votre sous-réseau peut accéder aux API Google sans adresse IP publique pour le provisionnement MCS :

  1. Dans Google Cloud, accédez à la configuration du réseau VPC.
  2. Dans l’écran des détails du sous-réseau, activez l’accès privé Google.

Accès privé Google

Pour plus d’informations, consultez Configuration de l’accès privé Google.

Important :

Si votre réseau est configuré pour empêcher l’accès des machines virtuelles à Internet, assurez-vous que votre organisation assume les risques associés à l’activation de l’accès privé Google pour le sous-réseau auquel la machine virtuelle est connectée.

Ajouter une connexion

Suivez les instructions de Créer une connexion et des ressources. La description suivante vous guide dans la configuration d’une connexion d’hébergement :

  1. Dans Gérer > Configuration, sélectionnez Hébergement dans le volet gauche.

  2. Sélectionnez Ajouter une connexion et des ressources dans la barre d’actions.

  3. Sur la page Connexion, sélectionnez Créer une nouvelle connexion et Outils de provisionnement Citrix™, puis sélectionnez Suivant.

    • Type de connexion. Sélectionnez Google Cloud dans le menu.
    • Nom de la connexion. Saisissez un nom pour la connexion.

  4. Sur la page Région, sélectionnez un nom de projet dans le menu, sélectionnez une région contenant les ressources que vous souhaitez utiliser, puis sélectionnez Suivant.

  5. Sur la page Réseau, saisissez un nom pour les ressources, sélectionnez un réseau virtuel dans le menu, sélectionnez un sous-ensemble, puis sélectionnez Suivant. Le nom de la ressource permet d’identifier la combinaison région et réseau. Les réseaux virtuels avec le suffixe (Partagé) ajouté à leur nom représentent des VPC partagés. Si vous configurez un rôle IAM au niveau du sous-réseau pour un VPC partagé, seuls des sous-réseaux spécifiques du VPC partagé apparaissent dans la liste des sous-réseaux.

    Remarque :

    • Le nom de la ressource peut contenir de 1 à 64 caractères et ne peut pas contenir uniquement des espaces vides ou les caractères \ / ; : # . * ? = < > | [ ] { } " ' ( ) ' ).

  6. Sur la page Résumé, confirmez les informations, puis sélectionnez Terminer pour quitter la fenêtre Ajouter une connexion et des ressources.

Après avoir créé la connexion et les ressources, la connexion et les ressources que vous avez créées sont répertoriées. Pour configurer la connexion, sélectionnez la connexion, puis sélectionnez l’option applicable dans la barre d’actions.

De même, vous pouvez supprimer, renommer ou tester les ressources créées sous la connexion. Pour ce faire, sélectionnez la ressource sous la connexion, puis sélectionnez l’option applicable dans la barre d’actions.

Préparer une instance de VM principale et un disque persistant

Conseil :

Le disque persistant est le terme Google Cloud pour disque virtuel.

Pour préparer votre instance de VM principale, créez et configurez une instance de VM avec des propriétés qui correspondent à la configuration souhaitée pour les instances VDA clonées dans votre catalogue de machines planifié. La configuration ne s’applique pas uniquement à la taille et au type de l’instance. Elle inclut également des attributs d’instance tels que les métadonnées, les balises, les attributions de GPU, les balises réseau et les propriétés du compte de service.

Dans le cadre du processus de création d’image principale, MCS utilise votre instance de VM principale pour créer le modèle d’instance Google Cloud. Le modèle d’instance est ensuite utilisé pour créer les instances VDA clonées qui composent le catalogue de machines. Les instances clonées héritent des propriétés (à l’exception des propriétés de VPC, de sous-réseau et de disque persistant) de l’instance de VM principale à partir de laquelle le modèle d’instance a été créé.

Après avoir configuré les propriétés de l’instance de VM principale selon vos spécifications, démarrez l’instance, puis préparez le disque persistant pour l’instance.

Nous vous recommandons de créer manuellement un instantané du disque. Cela vous permet d’utiliser une convention de nommage significative pour suivre les versions, vous offre plus d’options pour gérer les versions antérieures de votre image principale et vous fait gagner du temps lors de la création du catalogue de machines. Si vous ne créez pas votre propre instantané, MCS en crée un temporaire pour vous (qui est supprimé à la fin du processus de provisionnement).

Créer un catalogue de machines

Remarque :

Créez vos ressources avant de créer un catalogue de machines. Utilisez les conventions de dénomination établies par Google Cloud lors de la configuration des catalogues de machines. Consultez Directives de dénomination des buckets et des objets pour plus d’informations.

Suivez les instructions de Créer des catalogues de machines. Actuellement, Studio ne prend pas en charge la création de catalogues Google Cloud. Utilisez PowerShell à la place.

Gérer le catalogue de machines

Pour ajouter des machines à un catalogue, mettre à jour des machines et annuler une mise à jour, consultez Gérer les catalogues de machines.

Gestion de l’alimentation

Citrix DaaS vous permet de gérer l’alimentation des machines Google Cloud. Utilisez le nœud Rechercher dans le volet de navigation pour localiser la machine dont vous souhaitez gérer l’alimentation. Les actions d’alimentation suivantes sont disponibles :

  • Supprimer
  • Démarrer
  • Redémarrer
  • Forcer le redémarrage
  • Arrêter
  • Forcer l’arrêt
  • Ajouter au groupe de mise à disposition
  • Gérer les balises
  • Activer le mode maintenance

Vous pouvez également gérer l’alimentation des machines Google Cloud à l’aide d’Autoscale. Pour ce faire, ajoutez les machines Google Cloud à un groupe de mise à disposition, puis activez Autoscale pour ce groupe de mise à disposition. Pour plus d’informations sur Autoscale, consultez la section Autoscale.

Protéger contre la suppression accidentelle de machines

Citrix DaaS vous permet de protéger les ressources MCS sur Google Cloud afin d’éviter toute suppression accidentelle. Configurez la machine virtuelle provisionnée en définissant l’indicateur deletionProtection sur TRUE.

Par défaut, les machines virtuelles provisionnées via MCS ou le plug-in Google Cloud sont créées avec InstanceProtection activé. L’implémentation s’applique aux catalogues persistants et non persistants. Les catalogues non persistants sont mis à jour lorsque les instances sont recréées à partir du modèle. Pour les machines persistantes existantes, vous pouvez définir l’indicateur dans la console Google Cloud. Pour plus d’informations sur la définition de l’indicateur, consultez le site de documentation Google. Les nouvelles machines ajoutées aux catalogues persistants sont créées avec deletionProtection activé.

Si vous tentez de supprimer une instance de machine virtuelle pour laquelle vous avez défini l’indicateur deletionProtection, la requête échoue. Toutefois, si vous disposez de l’autorisation compute.instances.setDeletionProtection ou si vous êtes affecté au rôle IAM Compute Admin, vous pouvez réinitialiser l’indicateur pour autoriser la suppression de la ressource.

Importer des machines Google Cloud créées manuellement

Vous pouvez créer une connexion à Google Cloud, puis créer un catalogue contenant des machines Google Cloud. Ensuite, vous pouvez manuellement redémarrer les machines Google Cloud via Citrix DaaS. Cette fonctionnalité vous permet de :

  • Importer des machines de système d’exploitation multi-session Google Cloud créées manuellement dans un catalogue de machines Citrix Virtual Apps and Desktops.
  • Supprimer des machines de système d’exploitation multi-session Google Cloud créées manuellement d’un catalogue Citrix Virtual Apps and Desktops.
  • Utiliser les fonctionnalités de gestion de l’alimentation existantes de Citrix Virtual Apps and Desktops pour gérer l’alimentation des machines de système d’exploitation multi-session Windows de Google Cloud. Par exemple, définissez un calendrier de redémarrage pour ces machines.

Cette fonctionnalité ne nécessite pas de modifications d’un workflow de provisionnement Citrix Virtual Apps and Desktops existant, ni la suppression d’une fonctionnalité existante. Nous vous recommandons d’utiliser MCS pour provisionner des machines dans Web Studio au lieu d’importer des machines Google Cloud créées manuellement.

Cloud privé virtuel partagé

Les clouds privés virtuels (VPC) partagés comprennent un projet hôte, à partir duquel les sous-réseaux partagés sont mis à disposition, et un ou plusieurs projets de service qui utilisent la ressource. Les VPC partagés sont des options intéressantes pour les grandes installations, car ils offrent un contrôle, une utilisation et une administration centralisés des ressources Google Cloud d’entreprise partagées. Pour plus d’informations, consultez le site de documentation Google.

Avec cette fonctionnalité, Machine Creation Services™ (MCS) prend en charge le provisionnement et la gestion des catalogues de machines déployés sur des VPC partagés. Ce support, qui est fonctionnellement équivalent au support actuellement fourni dans les VPC locaux, diffère dans deux domaines :

  1. Vous devez accorder des autorisations supplémentaires au compte de service utilisé pour créer la connexion d’hôte. Ce processus permet à MCS d’accéder et d’utiliser les ressources VPC partagées.
  2. Vous devez créer deux règles de pare-feu, une pour l’entrée et une pour la sortie. Ces règles de pare-feu sont utilisées pendant le processus de création d’image.

Nouvelles autorisations requises

Un compte de service Google Cloud avec des autorisations spécifiques est requis lors de la création de la connexion d’hôte. Ces autorisations supplémentaires doivent être accordées à tous les comptes de service utilisés pour créer des connexions d’hôte basées sur un VPC partagé.

Conseil :

Ces autorisations supplémentaires ne sont pas nouvelles pour Citrix DaaS. Elles sont utilisées pour faciliter la mise en œuvre des VPC locaux. Avec les VPC partagés, ces autorisations supplémentaires permettent d’accéder à d’autres ressources VPC partagées.

Un maximum de quatre autorisations supplémentaires doivent être accordées au compte de service associé à la connexion d’hôte pour prendre en charge le VPC partagé :

  1. compute.firewalls.list - Cette autorisation est obligatoire. Elle permet à MCS de récupérer la liste des règles de pare-feu présentes sur le VPC partagé.
  2. compute.networks.list - Cette autorisation est obligatoire. Elle permet à MCS d’identifier les réseaux VPC partagés disponibles pour le compte de service.
  3. compute.subnetworks.list – Cette autorisation est facultative selon la façon dont vous utilisez les VPC. Elle permet à MCS d’identifier les sous-réseaux au sein des VPC partagés visibles. Cette autorisation est déjà requise lors de l’utilisation de VPC locaux, mais doit également être attribuée dans le projet hôte du VPC partagé.
  4. compute.subnetworks.use - Cette autorisation est facultative selon la façon dont vous utilisez les VPC. Elle est nécessaire pour utiliser les ressources de sous-réseau dans les catalogues de machines provisionnés. Cette autorisation est déjà requise pour l’utilisation de VPC locaux, mais doit également être attribuée dans le projet hôte du VPC partagé.

Lorsque vous utilisez ces autorisations, tenez compte du fait qu’il existe différentes approches basées sur le type d’autorisation utilisé pour créer le catalogue de machines :

  • Autorisation au niveau du projet :
    • Permet l’accès à tous les VPC partagés au sein du projet hôte.
    • Nécessite que les autorisations #3 et #4 soient attribuées au compte de service.
  • Autorisation au niveau du sous-réseau :
    • Permet l’accès à des sous-réseaux spécifiques au sein du VPC partagé.
    • Les autorisations n°3 et n°4 sont intrinsèques à l’attribution au niveau du sous-réseau et n’ont donc pas besoin d’être attribuées directement au compte de service.

Sélectionnez l’approche qui correspond à vos besoins organisationnels et à vos normes de sécurité.

Conseil :

Pour plus d’informations sur les différences entre les autorisations au niveau du projet et au niveau du sous-réseau, consultez la documentation Google Cloud.

Règles de pare-feu

Lors de la préparation d’un catalogue de machines, une image de machine est préparée pour servir de disque système d’image principale pour le catalogue. Lorsque ce processus se produit, le disque est temporairement attaché à une machine virtuelle. Cette VM doit s’exécuter dans un environnement isolé qui empêche tout trafic réseau entrant et sortant. Ceci est accompli par une paire de règles de pare-feu de type « tout refuser » ; une pour le trafic entrant et une pour le trafic sortant. Lors de l’utilisation de VCP locaux Google Cloud, MCS crée ce pare-feu dans le réseau local et l’applique à la machine pour la création de l’image principale. Une fois la création de l’image principale terminée, la règle de pare-feu est supprimée de l’image.

Nous recommandons de réduire au minimum le nombre de nouvelles autorisations requises pour utiliser les VPC partagés. Les VPC partagés sont des ressources d’entreprise de niveau supérieur et ont généralement des protocoles de sécurité plus rigides en place. Pour cette raison, créez une paire de règles de pare-feu dans le projet hôte sur les ressources VPC partagées, une pour l’entrée et une pour la sortie. Attribuez-leur la priorité la plus élevée. Appliquez une nouvelle balise cible à chacune de ces règles, en utilisant la valeur suivante :

citrix-provisioning-quarantine-firewall

Lorsque MCS crée ou met à jour un catalogue de machines, il recherche les règles de pare-feu contenant cette balise cible. Il examine ensuite les règles pour vérifier leur exactitude et les applique à la machine utilisée pour préparer l’image principale du catalogue. Si les règles de pare-feu ne sont pas trouvées, ou si elles sont trouvées mais que les règles ou leurs priorités sont incorrectes, un message similaire au suivant apparaît :

"Unable to find valid INGRESS and EGRESS quarantine firewall rules for VPC <name> in project <project>. " Please ensure you have created 'deny all' firewall rules with the network tag 'citrix-provisioning-quarantine-firewall' and proper priority." "Refer to Citrix Documentation for details."

Configuration du VPC partagé

Avant d’ajouter le VPC partagé en tant que connexion d’hôte dans Web Studio, suivez les étapes suivantes pour ajouter des comptes de service à partir du projet dans lequel vous avez l’intention de provisionner :

  1. Créez un rôle IAM.
  2. Ajoutez le compte de service utilisé pour créer une connexion d’hôte CVAD au rôle IAM du projet hôte VPC partagé.
  3. Ajoutez le compte de service Cloud Build du projet dans lequel vous avez l’intention de provisionner au rôle IAM du projet hôte VPC partagé.
  4. Créez des règles de pare-feu.

Créer un rôle IAM

Déterminez le niveau d’accès du rôle — accès au niveau du projet ou un modèle plus restreint utilisant l’accès au niveau du sous-réseau.

Accès au niveau du projet pour le rôle IAM. Pour le rôle IAM au niveau du projet, incluez les autorisations suivantes :

  • compute.firewalls.list
  • compute.networks.list
  • compute.subnetworks.list
  • compute.subnetworks.use

Pour créer un rôle IAM au niveau du projet :

  1. Dans la console Google Cloud, accédez à IAM et administration > Rôles.
  2. Sur la page Rôles, sélectionnez CRÉER UN RÔLE.
  3. Sur la page Créer un rôle, spécifiez le nom du rôle. Sélectionnez AJOUTER DES AUTORISATIONS.
    1. Sur la page Ajouter des autorisations, ajoutez des autorisations au rôle, individuellement. Pour ajouter une autorisation, saisissez le nom de l’autorisation dans le champ Filtrer le tableau. Sélectionnez l’autorisation, puis sélectionnez AJOUTER.
    2. Sélectionnez CRÉER.

Rôle IAM au niveau du sous-réseau. Ce rôle omet l’ajout des autorisations compute.subnetworks.list et compute.subnetworks.use après avoir sélectionné CRÉER UN RÔLE. Pour ce niveau d’accès IAM, les autorisations compute.firewalls.list et compute.networks.list doivent être appliquées au nouveau rôle.

Pour créer un rôle IAM au niveau du sous-réseau :

  1. Dans la console Google Cloud, accédez à Réseau VPC > VPC partagé. La page VPC partagé s’affiche, affichant les sous-réseaux des réseaux VPC partagés que contient le projet hôte.
  2. Sur la page VPC partagé, sélectionnez le sous-réseau auquel vous souhaitez accéder.
  3. Dans le coin supérieur droit, sélectionnez AJOUTER UN MEMBRE pour ajouter un compte de service.
  4. Sur la page Ajouter des membres, suivez les étapes suivantes :
    1. Dans le champ Nouveaux membres, saisissez le nom de votre compte de service, puis sélectionnez votre compte de service dans le menu.
    2. Sélectionnez le champ Sélectionner un rôle, puis Utilisateur du réseau Compute.
    3. Sélectionnez ENREGISTRER.
  5. Dans la console Google Cloud, accédez à IAM et administration > Rôles.
  6. Sur la page Rôles, sélectionnez CRÉER UN RÔLE.
  7. Sur la page Créer un rôle, spécifiez le nom du rôle. Sélectionnez AJOUTER DES AUTORISATIONS.
    1. Sur la page Ajouter des autorisations, ajoutez des autorisations au rôle, individuellement. Pour ajouter une autorisation, saisissez le nom de l’autorisation dans le champ Filtrer le tableau. Sélectionnez l’autorisation, puis sélectionnez AJOUTER.
    2. Sélectionnez CRÉER.

Ajouter un compte de service au rôle IAM du projet hôte

Après avoir créé un rôle IAM, suivez les étapes suivantes pour ajouter un compte de service pour le projet hôte :

  1. Dans la console Google Cloud, accédez au projet hôte, puis à IAM et administration > IAM.
  2. Sur la page IAM, sélectionnez AJOUTER pour ajouter un compte de service.
  3. Sur la page Ajouter des membres :
    1. Dans le champ Nouveaux membres, saisissez le nom de votre compte de service, puis sélectionnez votre compte de service dans le menu.
    2. Sélectionnez un champ de rôle, saisissez le rôle IAM que vous avez créé, puis sélectionnez le rôle dans le menu.
    3. Sélectionnez ENREGISTRER.

Le compte de service est maintenant configuré pour le projet hôte.

Ajouter le compte de service Cloud Build au VPC partagé

Chaque abonnement Google Cloud possède un compte de service nommé d’après le numéro d’ID du projet, suivi de cloudbuild.gserviceaccount. Par exemple : 705794712345@cloudbuild.gserviceaccount.

Vous pouvez déterminer le numéro d’ID de votre projet en sélectionnant Accueil et Tableau de bord dans la console Google Cloud :

Volet de navigation de la console Google Cloud

Recherchez le numéro de projet sous la zone Informations sur le projet de l’écran.

Effectuez les étapes suivantes pour ajouter le compte de service Cloud Build au VPC partagé :

  1. Dans la console Google Cloud, accédez au projet hôte, puis à IAM et administration > IAM.
  2. Sur la page Autorisations, sélectionnez AJOUTER pour ajouter un compte.
  3. Sur la page Ajouter des membres, suivez les étapes suivantes :
    1. Dans le champ Nouveaux membres, saisissez le nom du compte de service Cloud Build, puis sélectionnez votre compte de service dans le menu.
    2. Sélectionnez le champ Sélectionner un rôle, saisissez Computer Network User, puis sélectionnez le rôle dans le menu.
    3. Sélectionnez ENREGISTRER.

Créer des règles de pare-feu

Dans le cadre du processus de mastering, MCS copie l’image machine sélectionnée et l’utilise pour préparer le disque système de l’image principale pour le catalogue. Pendant le mastering, MCS attache le disque à une machine virtuelle temporaire, qui exécute ensuite des scripts de préparation. Cette VM doit s’exécuter dans un environnement isolé qui interdit tout trafic réseau entrant et sortant. Pour créer un environnement isolé, MCS nécessite deux règles de pare-feu tout refuser (une règle d’entrée et une règle de sortie). Par conséquent, créez deux règles de pare-feu dans le projet hôte comme suit :

  1. Dans la console Google Cloud, accédez au projet hôte, puis à Réseau VPC > Pare-feu.
  2. Sur la page Pare-feu, sélectionnez CRÉER UNE RÈGLE DE PARE-FEU.
  3. Sur la page Créer une règle de pare-feu, effectuez les opérations suivantes :
    • Nom. Saisissez un nom pour la règle.
    • Réseau. Sélectionnez le réseau VPC partagé auquel la règle de pare-feu d’entrée s’applique.
    • Priorité. Plus la valeur est petite, plus la priorité de la règle est élevée. Nous recommandons une petite valeur (par exemple, 10).
    • Direction du trafic. Sélectionnez Entrée.
    • Action en cas de correspondance. Sélectionnez Refuser.
    • Cibles. Utilisez la valeur par défaut, Balises cibles spécifiées.
    • Balises cibles. Tapez citrix-provisioning-quarantine-firewall.
    • Filtre source. Utilisez la valeur par défaut, Plages d’adresses IP.
    • Plages d’adresses IP source. Tapez une plage qui correspond à tout le trafic. Tapez 0.0.0.0/0.
    • Protocoles et ports. Sélectionnez Tout refuser.
  4. Sélectionnez CRÉER pour créer la règle.
  5. Répétez les étapes 1 à 4 pour créer une autre règle. Pour Sens du trafic, sélectionnez Sortant.

Ajouter une connexion

Ajoutez une connexion aux environnements Google Cloud. Consultez Ajouter une connexion.

Activer la sélection de zone

Citrix Virtual Apps and Desktops prend en charge la sélection de zone. Avec la sélection de zone, vous spécifiez les zones dans lesquelles vous souhaitez créer des machines virtuelles. Avec la sélection de zone, les administrateurs peuvent placer des nœuds à locataire unique dans les zones de leur choix. Pour configurer la location exclusive, vous devez effectuer les opérations suivantes sur Google Cloud :

  • Réserver un nœud à locataire unique Google Cloud
  • Créer l’image principale VDA

Réservation d’un nœud à locataire unique Google Cloud

Pour réserver un nœud à locataire unique, reportez-vous à la documentation de Google Cloud.

Important :

Un modèle de nœud est utilisé pour indiquer les caractéristiques de performance du système réservé dans le groupe de nœuds. Ces caractéristiques incluent le nombre de vGPU, la quantité de mémoire allouée au nœud et le type de machine utilisé pour les machines créées sur le nœud. Pour plus d’informations, consultez la documentation de Google Cloud.

Création de l’image principale du VDA

Pour déployer des machines sur le nœud à locataire unique avec succès, vous devez prendre des mesures supplémentaires lors de la création d’une image de machine virtuelle principale. Les instances de machine sur Google Cloud ont une propriété appelée étiquettes d’affinité de nœud. Les instances utilisées comme images principales pour les catalogues déployés sur le nœud à locataire unique nécessitent une étiquette d’affinité de nœud qui correspond au nom du groupe de nœuds cible. Pour ce faire, gardez les points suivants à l’esprit :

Remarque :

Si vous avez l’intention d’utiliser la location unique avec un VPC partagé, consultez Cloud privé virtuel partagé.

Définir une étiquette d’affinité de nœud lors de la création d’une instance

Pour définir l’étiquette d’affinité de nœud :

  1. Dans la console Google Cloud, accédez à Compute Engine > Instances de VM.

  2. Sur la page Instances de VM, sélectionnez Créer une instance.

  3. Sur la page Création d’instance, saisissez ou configurez les informations requises, puis sélectionnez gestion, sécurité, disques, réseau, location unique pour ouvrir le panneau des paramètres.

  4. Dans l’onglet Location unique, sélectionnez Parcourir pour afficher les groupes de nœuds disponibles dans le projet actuel. La page Nœud à locataire unique apparaît, affichant une liste des groupes de nœuds disponibles.

  5. Sur la page Nœud à locataire unique, sélectionnez le groupe de nœuds applicable dans la liste, puis sélectionnez Sélectionner pour revenir à l’onglet Locataire unique. Le champ des étiquettes d’affinité de nœud se remplit avec les informations que vous avez sélectionnées. Ce paramètre garantit que les catalogues de machines créés à partir de l’instance seront déployés sur le groupe de nœuds sélectionné.

  6. Sélectionnez Créer pour créer l’instance.

Définir une étiquette d’affinité de nœud pour une instance existante

Pour définir l’étiquette d’affinité de nœud :

  1. Dans la fenêtre du terminal Google Cloud Shell, utilisez la commande gcloud compute instances pour définir une étiquette d’affinité de nœud. Incluez les informations suivantes dans la commande gcloud :

    • Nom de la VM. Par exemple, utilisez une VM existante nommée s*2019-vda-base.*
    • Nom du groupe de nœuds. Utilisez le nom du groupe de nœuds que vous avez créé précédemment. Par exemple, mh-sole-tenant-node-group-1.
    • La zone où réside l’instance. Par exemple, la VM réside dans la *us-east-1b* zone.

    Par exemple, tapez la commande suivante dans la fenêtre du terminal :

    • gcloud compute instances set-scheduling "s2019-vda-base" --node-group="mh-sole-tenant-node-group-1" --zone="us-east1-b"

    Pour plus d’informations sur la commande gcloud compute instances, consultez la documentation de Google Developer Tools à l’adresse https://cloud.google.com/sdk/gcloud/reference/beta/compute/instances/set-scheduling.

  2. Accédez à la page Détails de l’instance de VM de l’instance et vérifiez que le champ Affinités de nœud est renseigné avec l’étiquette.

Créer un catalogue de machines

Après avoir défini l’étiquette d’affinité de nœud, configurez le catalogue de machines.

Aperçu : Utilisation des clés de chiffrement gérées par le client (CMEK)

Vous pouvez utiliser les clés de chiffrement gérées par le client (CMEK) pour les catalogues MCS. Lorsque vous utilisez cette fonctionnalité, vous attribuez le rôle CryptoKey Encrypter/Decrypter du service Google Cloud Key Management à l’agent de service Compute Engine. Le compte Citrix DaaS doit disposer des autorisations appropriées dans le projet où la clé est stockée. Reportez-vous à Aider à protéger les ressources à l’aide des clés Cloud KMS pour plus d’informations.

Votre agent de service Compute Engine se présente sous la forme suivante : service-<Project _Number>@compute-system.iam.gserviceaccount.com. Cette forme est différente du compte de service Compute Engine par défaut.

Remarque :

Ce compte de service Compute Engine peut ne pas apparaître dans l’affichage Autorisations IAM de la console Google. Dans ce cas, utilisez la commande gcloud comme décrit dans Aider à protéger les ressources à l’aide des clés Cloud KMS.

Attribuer des autorisations au compte Citrix DaaS

Les autorisations Google Cloud KMS peuvent être configurées de différentes manières. Vous pouvez fournir des autorisations KMS au niveau du projet ou des autorisations KMS au niveau de la ressource. Consultez Autorisations et rôles pour plus d’informations.

Autorisations au niveau du projet

Une option consiste à fournir au compte Citrix DaaS des autorisations au niveau du projet pour parcourir les ressources Cloud KMS. Pour ce faire, créez un rôle personnalisé et ajoutez les autorisations suivantes :

  • cloudkms.keyRings.list
  • cloudkms.keyRings.get
  • cloudkms.cryptokeys.list
  • cloudkms.cryptokeys.get

Attribuez ce rôle personnalisé à votre compte Citrix DaaS. Cela vous permet de parcourir les clés régionales dans le projet pertinent de l’inventaire.

Autorisations au niveau de la ressource

Pour l’autre option, les autorisations au niveau de la ressource, dans la console Google Cloud, accédez à cryptoKey que vous utilisez pour le provisionnement MCS. Ajoutez le compte Citrix DaaS à un trousseau de clés ou à une clé que vous utilisez pour le provisionnement de catalogues.

Conseil :

Avec cette option, vous ne pouvez pas parcourir les clés régionales de votre projet dans l’inventaire car le compte Citrix DaaS ne dispose pas des autorisations de liste au niveau du projet sur les ressources Cloud KMS. Cependant, vous pouvez toujours provisionner un catalogue à l’aide de CMEK en spécifiant le cryptoKeyId correct dans les propriétés personnalisées ProvScheme, décrites ci-dessous.

Provisionnement avec CMEK à l’aide de propriétés personnalisées

Lors de la création de votre schéma de provisionnement via PowerShell, spécifiez une propriété CryptoKeyId dans ProvScheme CustomProperties. Par exemple :

'<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
    <Property xsi:type="StringProperty" Name="CryptoKeyId" Value="<yourCryptoKeyId>" />
</CustomProperties>'
<!--NeedCopy-->

Le cryptoKeyId doit être spécifié au format suivant :

projectId:location:keyRingName:cryptoKeyName

Par exemple, si vous souhaitez utiliser la clé my-example-key dans le trousseau de clés my-example-key-ring dans la région us-east1 et le projet avec l’ID my-example-project-1, vos paramètres personnalisés ProvScheme ressembleraient à :

'<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
    <Property xsi:type="StringProperty" Name="CryptoKeyId" Value="my-example-project-1:us-east1:my-example-key-ring:my-example-key" />
</CustomProperties>'
<!--NeedCopy-->

Tous les disques et images provisionnés par MCS liés à ce schéma de provisionnement utilisent cette clé de chiffrement gérée par le client.

Conseil :

Si vous utilisez des clés globales, l’emplacement des propriétés client doit indiquer global et non le nom de la région, qui dans l’exemple ci-dessus est us-east1. Par exemple : <Property xsi:type="StringProperty" Name="CryptoKeyId" Value="my-example-project-1:global:my-example-key-ring:my-example-key" />.

Rotation des clés gérées par le client

Google Cloud ne prend pas en charge la rotation des clés sur les disques persistants ou les images existants. Une fois qu’une machine est provisionnée, elle est liée à la version de la clé utilisée au moment de sa création. Cependant, une nouvelle version de la clé peut être créée et cette nouvelle clé est utilisée pour les machines nouvellement provisionnées ou les ressources créées lorsqu’un catalogue est mis à jour avec une nouvelle image principale.

Considérations importantes concernant les trousseaux de clés

Les trousseaux de clés ne peuvent pas être renommés ou supprimés. De plus, vous pourriez encourir des frais imprévus lors de leur configuration. Lors de la suppression ou du retrait d’un trousseau de clés, Google Cloud affiche un message d’erreur :

Sorry, you can't delete or rename keys or key rings. We were concerned about the security implications of allowing multiple keys or key versions over time to have the same resource name, so we decided to make names immutable. (And you can't delete them, because we wouldn't be able to do a true deletion--there would still have to be a tombstone tracking that this name had been used and couldn't be reused).
We're aware that this can make things untidy, but we have no immediate plans to change this.
If you want to avoid getting billed for a key or otherwise make it unavailable, you can do so by deleting all the key versions; neither keys nor key rings are billed for, just the active key versions within the keys.
<!--NeedCopy-->

Conseil :

Pour plus d’informations, consultez Modification ou suppression d’un trousseau de clés depuis la console.

Compatibilité de l’accès uniforme au niveau du bucket

Citrix DaaS est compatible avec la politique de contrôle d’accès uniforme au niveau du bucket sur Google Cloud. Cette fonctionnalité complète l’utilisation de la politique IAM qui accorde des autorisations à un compte de service pour permettre la manipulation des ressources, y compris les buckets de stockage. Avec le contrôle d’accès uniforme au niveau du bucket, Citrix DaaS vous permet d’utiliser une liste de contrôle d’accès (ACL) pour contrôler l’accès aux buckets de stockage ou aux objets qui y sont stockés. Consultez Accès uniforme au niveau du bucket pour des informations générales sur l’accès uniforme au niveau du bucket de Google Cloud. Pour des informations de configuration, consultez Exiger un accès uniforme au niveau du bucket.

URL des points de terminaison de service

Vous devez avoir accès aux URL suivantes :

  • https://oauth2.googleapis.com
  • https://cloudresourcemanager.googleapis.com
  • https://compute.googleapis.com
  • https://storage.googleapis.com
  • https://cloudbuild.googleapis.com

Projets Google Cloud

Il existe principalement deux types de projets Google Cloud :

  • Projet de provisionnement : Dans ce cas, le compte administrateur actuel est propriétaire des machines provisionnées dans le projet. Ce projet est également appelé projet local.
  • Projet VPC partagé : Projet dans lequel les machines créées dans le projet de provisionnement utilisent le VPC du projet VPC partagé. Le compte administrateur utilisé pour le projet de provisionnement dispose d’autorisations limitées dans ce projet, spécifiquement, uniquement les autorisations d’utiliser le VPC.

Autorisations GCP requises

Cette section contient la liste complète des autorisations GCP. Utilisez l’ensemble complet des autorisations tel qu’indiqué dans la section pour que la fonctionnalité fonctionne correctement.

Remarque :

GCP introduit des modifications au comportement par défaut et à l’utilisation des comptes de service de Cloud Build Services après le 29 avril 2024. Pour plus d’informations, consultez Modification du compte de service Cloud Build. Vos projets Google existants avec l’API Cloud Build activée avant le 29 avril 2024 ne sont pas affectés par ce changement. Cependant, si vous souhaitez conserver le comportement existant du service Cloud Build après le 29 avril, vous pouvez créer ou appliquer la politique d’organisation pour désactiver l’application des contraintes avant d’activer l’API. Si vous définissez la nouvelle politique d’organisation, vous pouvez toujours suivre les autorisations existantes dans cette section et les éléments marqués Avant la modification du compte de service Cloud Build. Sinon, suivez les autorisations existantes et les éléments marqués Après la modification du compte de service Cloud Build.

Création d’une connexion d’hôte

  • Autorisations minimales requises pour le compte de service Citrix Cloud dans le projet de provisionnement :

     compute.instanceTemplates.list
 compute.instances.list
 compute.networks.list
 compute.projects.get
 compute.regions.list
 compute.subnetworks.list
 compute.zones.list
 resourcemanager.projects.get
 <!--NeedCopy-->

    Les rôles définis par Google suivants disposent des autorisations énumérées ci-dessus :

    • Administrateur de Compute Engine
    • Utilisateur Cloud Datastore

  • Autorisations supplémentaires requises pour le VPC partagé pour le compte de service Citrix Cloud dans le projet VPC partagé :

     compute.networks.list
 compute.subnetworks.list
 resourcemanager.projects.get
 <!--NeedCopy-->

    Les rôles définis par Google suivants disposent des autorisations énumérées ci-dessus :

    • Utilisateur du réseau Compute Engine

Gestion de l’alimentation des machines virtuelles

Autorisations minimales requises pour le compte de service Citrix Cloud dans le projet de provisionnement dans le cas de catalogues gérés uniquement par l’alimentation :

compute.instanceTemplates.list
compute.instances.list
compute.instances.get
compute.instances.reset
compute.instances.resume
compute.instances.start
compute.instances.stop
compute.instances.suspend
compute.networks.list
compute.projects.get
compute.regions.list
compute.subnetworks.list
compute.zones.list
resourcemanager.projects.get
compute.zoneOperations.get
<!--NeedCopy-->

Les rôles définis par Google suivants disposent des autorisations énumérées ci-dessus :

  • Administrateur de Compute Engine
  • Utilisateur Cloud Datastore

Création, mise à jour ou suppression de machines virtuelles

  • Autorisations minimales requises pour le compte de service Citrix Cloud dans le projet de provisionnement :

     cloudbuild.builds.create
 cloudbuild.builds.get
 cloudbuild.builds.list
 compute.acceleratorTypes.list
 compute.diskTypes.get
 compute.diskTypes.list
 compute.disks.create
 compute.disks.createSnapshot
 compute.disks.delete
 compute.disks.get
 compute.disks.list
 compute.disks.setLabels
 compute.disks.use
 compute.disks.useReadOnly
 compute.firewalls.create
 compute.firewalls.delete
 compute.firewalls.list
 compute.globalOperations.get
 compute.images.create
 compute.images.delete
 compute.images.get
 compute.images.list
 compute.images.setLabels
 compute.images.useReadOnly
 compute.instanceTemplates.create
 compute.instanceTemplates.delete
 compute.instanceTemplates.get
 compute.instanceTemplates.list
 compute.instanceTemplates.useReadOnly
 compute.instances.attachDisk
 compute.instances.create
 compute.instances.delete
 compute.instances.detachDisk
 compute.instances.get
 compute.instances.list
 compute.instances.reset
 compute.instances.resume
 compute.instances.setDeletionProtection
 compute.instances.setLabels
 compute.instances.setMetadata
 compute.instances.setServiceAccount
 compute.instances.setTags
 compute.instances.start
 compute.instances.stop
 compute.instances.suspend
 compute.machineTypes.get
 compute.machineTypes.list
 compute.networks.list
 compute.networks.updatePolicy
 compute.nodeGroups.list
 compute.nodeTemplates.get
 compute.projects.get
 compute.regions.list
 compute.snapshots.create
 compute.snapshots.delete
 compute.snapshots.list
 compute.snapshots.get
 compute.snapshots.setLabels
 compute.snapshots.useReadOnly
 compute.subnetworks.get
 compute.subnetworks.list
 compute.subnetworks.use
 compute.zoneOperations.get
 compute.zoneOperations.list
 compute.zones.get
 compute.zones.list
 iam.serviceAccounts.actAs
 resourcemanager.projects.get
 storage.buckets.create
 storage.buckets.delete
 storage.buckets.get
 storage.buckets.list
 storage.buckets.update
 storage.objects.create
 storage.objects.delete
 storage.objects.get
 storage.objects.list
 compute.networks.get
 compute.resourcePolicies.use

 <!--NeedCopy-->

    Les rôles Google définis suivants disposent des autorisations énumérées ci-dessus :

    • Administrateur Compute
    • Administrateur de stockage
    • Éditeur Cloud Build
    • Utilisateur de compte de service
    • Utilisateur Cloud Datastore

  • Autorisations supplémentaires requises pour le VPC partagé pour le compte de service Citrix Cloud dans le projet VPC partagé afin de créer une unité d’hébergement à l’aide du VPC et du sous-réseau du projet VPC partagé :

     compute.firewalls.list
 compute.networks.list
 compute.projects.get
 compute.regions.list
 compute.subnetworks.get
 compute.subnetworks.list
 compute.subnetworks.use
 compute.zones.list
 resourcemanager.projects.get
 <!--NeedCopy-->

    Les rôles Google définis suivants disposent des autorisations énumérées ci-dessus :

    • Utilisateur du réseau Compute
    • Utilisateur Cloud Datastore

  • (Avant le changement de compte de service Cloud Build) : Autorisations minimales requises pour le compte de service Cloud Build dans le projet de provisionnement, requises par le service Google Cloud Build lors du téléchargement du disque d’instructions de préparation vers MCS :

  • (Après le changement de compte de service Cloud Build) : Autorisations minimales requises pour le compte de service Cloud Compute dans le projet de provisionnement, requises par le service Google Cloud Compute lors du téléchargement du disque d’instructions de préparation vers MCS :

     compute.disks.create
 compute.disks.delete
 compute.disks.get
 compute.disks.list
 compute.disks.setLabels
 compute.disks.use
 compute.disks.useReadOnly
 compute.images.get
 compute.images.list
 compute.images.useReadOnly
 compute.instances.create
 compute.instances.delete
 compute.instances.get
 compute.instances.getSerialPortOutput
 compute.instances.list
 compute.instances.setLabels
 compute.instances.setMetadata
 compute.instances.setServiceAccount
 compute.machineTypes.list
 compute.networks.get
 compute.networks.list
 compute.projects.get
 compute.subnetworks.list
 compute.subnetworks.use
 compute.subnetworks.useExternalIp
 compute.zoneOperations.get
 compute.zones.list
 iam.serviceAccounts.actAs
 logging.logEntries.create
 pubsub.topics.publish
 resourcemanager.projects.get
 source.repos.get
 source.repos.list
 storage.buckets.create
 storage.buckets.get
 storage.buckets.list
 storage.objects.create
 storage.objects.delete
 storage.objects.get
 storage.objects.list
 <!--NeedCopy-->

    Les rôles Google définis suivants ont les autorisations listées ci-dessus :

    • Compte de service Cloud Build (après le changement de compte de service Cloud Build, il s’agit du compte de service Cloud Compute)
    • Administrateur d’instance Compute
    • Utilisateur de compte de service

  • Autorisations minimales requises pour le compte de service Cloud Compute dans le projet de provisionnement, requises par le service Google Cloud Build lors du téléchargement du disque d’instructions de préparation vers MCS :

     resourcemanager.projects.get
 storage.objects.create
 storage.objects.get
 storage.objects.list
 <!--NeedCopy-->

    Les rôles Google définis suivants ont les autorisations listées ci-dessus :

    • Utilisateur de réseau Compute
    • Utilisateur de compte de stockage
    • Utilisateur Cloud Datastore
  • (Avant le changement de compte de service Cloud Build) : Autorisations supplémentaires requises pour le VPC partagé pour le compte de service Cloud Build dans le projet de provisionnement, requises par le service Google Cloud Build lors du téléchargement du disque d’instructions de préparation vers MCS :

  • (Après le changement de compte de service Cloud Build) : Autorisations supplémentaires requises pour le VPC partagé pour le compte de service Cloud Compute dans le projet de provisionnement, requises par le service Google Cloud Compute lors du téléchargement du disque d’instructions de préparation vers MCS :

     compute.firewalls.list
 compute.networks.list
 compute.subnetworks.list
 compute.subnetworks.use
 resourcemanager.projects.get
 <!--NeedCopy-->

    Les rôles Google définis suivants ont les autorisations listées ci-dessus :

    • Utilisateur de réseau Compute
    • Utilisateur de compte de stockage
    • Utilisateur Cloud Datastore

  • Autorisations supplémentaires requises pour Cloud Key Management Service (KMS) pour le compte de service Citrix Cloud dans le projet de provisionnement :

     cloudkms.cryptoKeys.get
 cloudkms.cryptoKeys.list
 cloudkms.keyRings.get
 cloudkms.keyRings.list
 <!--NeedCopy-->

    Les rôles Google définis suivants disposent des autorisations énumérées ci-dessus :

    • Compute KMS Viewer

Autorisations générales

Voici les autorisations pour le compte de service Citrix Cloud dans le projet de provisionnement pour toutes les fonctionnalités prises en charge dans MCS. Ces autorisations offrent la meilleure compatibilité à l’avenir :

resourcemanager.projects.get
cloudbuild.builds.create
cloudbuild.builds.get
cloudbuild.builds.list
compute.acceleratorTypes.list
compute.diskTypes.get
compute.diskTypes.list
compute.disks.create
compute.disks.createSnapshot
compute.disks.delete
compute.disks.get
compute.disks.setLabels
compute.disks.use
compute.disks.useReadOnly
compute.firewalls.create
compute.firewalls.delete
compute.firewalls.list
compute.globalOperations.get
compute.images.create
compute.images.delete
compute.images.get
compute.images.list
compute.images.setLabels
compute.images.useReadOnly
compute.instanceTemplates.create
compute.instanceTemplates.delete
compute.instanceTemplates.get
compute.instanceTemplates.list
compute.instanceTemplates.useReadOnly
compute.instances.attachDisk
compute.instances.create
compute.instances.delete
compute.instances.detachDisk
compute.instances.get
compute.instances.list
compute.instances.reset
compute.instances.resume
compute.instances.setDeletionProtection
compute.instances.setLabels
compute.instances.setMetadata
compute.instances.setTags
compute.instances.start
compute.instances.stop
compute.instances.suspend
compute.instances.update
compute.instances.updateAccessConfig
compute.instances.updateDisplayDevice
compute.instances.updateSecurity
compute.instances.updateShieldedInstanceConfig
compute.instances.updateShieldedVmConfig
compute.machineTypes.get
compute.machineTypes.list
compute.networks.list
compute.networks.updatePolicy
compute.nodeGroups.list
compute.nodeTemplates.get
compute.projects.get
compute.regions.list
compute.snapshots.create
compute.snapshots.delete
compute.snapshots.list
compute.snapshots.get
compute.snapshots.setLabels
compute.snapshots.useReadOnly
compute.subnetworks.get
compute.subnetworks.list
compute.subnetworks.use
compute.subnetworks.useExternalIp
compute.zoneOperations.get
compute.zoneOperations.list
compute.zones.get
compute.zones.list
resourcemanager.projects.get
storage.buckets.create
storage.buckets.delete
storage.buckets.get
storage.buckets.list
storage.buckets.update
storage.objects.create
storage.objects.delete
storage.objects.get
storage.objects.list
cloudkms.cryptoKeys.get
cloudkms.cryptoKeys.list
cloudkms.keyRings.get
cloudkms.keyRings.list
compute.disks.list
compute.instances.setServiceAccount
compute.networks.get
compute.networks.use
compute.networks.useExternalIp
iam.serviceAccounts.actAs
compute.resourcePolicies.use
<!--NeedCopy-->

Plus d’informations

Environnements Google Cloud
May 31, 2026
Contributeur: 
C C
May 31, 2026
Contributeur: 
C C

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.