Crea un catalogo di Google Cloud Platform
Crea cataloghi macchine descrive le procedure guidate che creano un catalogo macchine. Le seguenti informazioni riguardano i dettagli specifici degli ambienti cloud di Google.
Nota:
Prima di creare un catalogo Google Cloud Platform (GCP), è necessario completare la creazione di una connessione a GCP. Vedere Connessione agli ambienti cloud di Google.
Preparare un’istanza VM master e un disco persistente
Mancia:
Disco persistente è il termine di Google Cloud per indicare il disco virtuale.
Per preparare l’istanza VM master, crea e configura un’istanza VM con proprietà che corrispondono alla configurazione desiderata per le istanze VDA clonate nel catalogo macchine pianificato. La configurazione non si applica solo alla dimensione e al tipo di istanza. Include anche attributi di istanza quali metadati, tag, assegnazioni GPU, tag di rete e proprietà dell’account di servizio.
Come parte del processo di mastering, MCS utilizza l’istanza master della VM per creare il modello di istanza Google Cloud **. Il modello di istanza viene quindi utilizzato per creare le istanze VDA clonate che compongono il catalogo macchine. Le istanze clonate ereditano le proprietà (ad eccezione delle proprietà VPC, subnet e disco persistente) dell’istanza VM master da cui è stato creato il modello di istanza.
Dopo aver configurato le proprietà dell’istanza della VM master in base alle tue specifiche, avvia l’istanza e prepara il disco persistente per l’istanza.
Si consiglia di creare manualmente uno snapshot del disco o un’immagine del disco. In questo modo è possibile utilizzare una convenzione di denominazione significativa per tenere traccia delle versioni, si hanno più opzioni per gestire le versioni precedenti dell’immagine master e si risparmia tempo nella creazione del catalogo macchine. Se non crei un tuo snapshot, MCS ne crea uno temporaneo (che verrà eliminato al termine del processo di provisioning). La creazione manuale di un’istantanea multiregionale del disco o dell’immagine del sistema operativo consente inoltre di utilizzare la stessa immagine master per i cataloghi di macchine in diverse regioni GCP.
Abilita selezione zona
Citrix DaaS supporta la selezione delle zone. Con la selezione della zona, si specificano le zone in cui si desidera creare le VM. Grazie alla selezione delle zone, gli amministratori possono posizionare nodi single tenant nelle zone da loro scelte. Per configurare la locazione unica, è necessario completare la seguente procedura su Google Cloud:
Prenota un nodo single-tenant di Google Cloud
Per riservare un nodo single-tenant, fare riferimento alla documentazione di Google Cloud .
Importante:
Un modello di nodo viene utilizzato per indicare le caratteristiche prestazionali del sistema riservato nel gruppo di nodi. Tali caratteristiche includono il numero di vGPU, la quantità di memoria allocata al nodo e il tipo di macchina utilizzata per le macchine create sul nodo. Per ulteriori informazioni, consulta la documentazione di Google Cloud .
Creare l’immagine master VDA
Per distribuire correttamente le macchine sul nodo single-tenant, è necessario eseguire passaggi aggiuntivi durante la creazione di un’immagine VM master. Le istanze macchina su Google Cloud hanno una proprietà denominata etichette di affinità dei nodi . Le istanze utilizzate come immagini master per i cataloghi distribuiti sul nodo single-tenant richiedono un’etichetta di affinità del nodo che corrisponda al nome del gruppo di nodi di destinazione **. Per raggiungere questo obiettivo, tieni presente quanto segue:
- Per una nuova istanza, imposta l’etichetta nella console di Google Cloud durante la creazione di un’istanza. Per maggiori dettagli, vedere Imposta un’etichetta di affinità del nodo durante la creazione di un’istanza.
- Per un’istanza esistente, imposta l’etichetta utilizzando la riga di comando gcloud . Per maggiori dettagli, vedere Imposta un’etichetta di affinità del nodo per un’istanza esistente.
Nota:
Se intendi utilizzare la locazione singola con una VPC condivisa, consulta Shared Virtual Private Cloud.
Imposta un’etichetta di affinità del nodo durante la creazione di un’istanza
Per impostare l’etichetta di affinità del nodo:
-
Nella console di Google Cloud, vai a Compute Engine > istanze VM.
-
Nella pagina Istanze VM , seleziona Crea istanza.
-
Nella pagina Creazione istanza , digita o configura le informazioni richieste, quindi seleziona gestione, sicurezza, dischi, rete, locazione unica per aprire il pannello delle impostazioni.
-
Nella scheda Single tenancy , seleziona Browse per visualizzare i gruppi di nodi disponibili nel progetto corrente. Viene visualizzata la pagina del nodo single-tenant , che mostra un elenco dei gruppi di nodi disponibili.
-
Nella pagina Nodo a tenant unico , seleziona il gruppo di nodi applicabile dall’elenco, quindi seleziona . Seleziona per tornare alla scheda Tenancy unica . Il campo etichette affinità nodo viene compilato con le informazioni selezionate. Questa impostazione garantisce che i cataloghi delle macchine creati dall’istanza vengano distribuiti al gruppo di nodi selezionato.
-
Selezionare Crea per creare l’istanza.
Imposta un’etichetta di affinità del nodo per un’istanza esistente
Per impostare l’etichetta di affinità del nodo:
-
Nella finestra del terminale di Google Cloud Shell, utilizza il comando gcloud compute instances per impostare un’etichetta di affinità del nodo. Includere le seguenti informazioni nel comando gcloud :
-
Nome della VM. Ad esempio, utilizzare una VM esistente denominata
s*2019-vda-base
.* -
Nome del gruppo di nodi. Utilizza il nome del gruppo di nodi creato in precedenza. Ad esempio,
mh-sole-tenant-node-group-1
. -
La zona in cui risiede l’istanza. Ad esempio, la VM risiede nella zona
*us-east-1b*
.
Ad esempio, digitare il seguente comando nella finestra del terminale:
gcloud compute instances set-scheduling "s2019-vda-base" --node-group="mh-sole-tenant-node-group-1" --zone="us-east1-b"
Per ulteriori informazioni sul comando gcloud compute instances , consulta la documentazione di Google Developer Tools all’indirizzo https://cloud.google.com/sdk/gcloud/reference/beta/compute/instances/set-scheduling.
-
Nome della VM. Ad esempio, utilizzare una VM esistente denominata
-
Passare alla pagina dei dettagli dell’istanza VM dell’istanza e verificare che il campo Affinità nodo sia compilato con l’etichetta.
Creare un catalogo macchine
Nota:
Crea le tue risorse prima di creare un catalogo macchine. Quando si configurano i cataloghi delle macchine, utilizzare le convenzioni di denominazione stabilite da Google Cloud. Per ulteriori informazioni, vedere Linee guida per la denominazione di bucket e oggetti .
È possibile creare un catalogo macchine in due modi:
- Studio
- Strumento di controllo PowerShell. Vedere Gestire Citrix DaaS utilizzando gli SDK di Remote PowerShell. Per informazioni su come implementare funzionalità specifiche utilizzando PowerShell, vedere Utilizzare PowerShell
Creare un catalogo macchine utilizzando Studio
Seguire le istruzioni in Crea cataloghi macchine. La seguente descrizione è esclusiva dei cataloghi di Google Cloud.
- Da Studio, seleziona Cataloghi macchine nel riquadro di sinistra.
- Selezionare Crea catalogo macchine nella barra delle azioni.
- Nella pagina Tipo di macchina , seleziona Sistema operativo multisessione e poi seleziona Avanti. Citrix DaaS supporta anche i sistemi operativi a sessione singola.
- Nella pagina Gestione macchine , seleziona le opzioni Macchine con gestione dell’alimentazione e Servizi di creazione macchine Citrix , quindi seleziona Avanti. Se sono presenti più risorse, selezionarne una dal menu.
-
Nella pagina Immagine , completa questi passaggi come necessario, quindi fai clic su Avanti.
- Selezionare l’immagine master. È possibile selezionare i seguenti tipi di immagine:
- Macchina virtuale (le cui aree sono le stesse delle unità ospitanti selezionate).
- Snapshot (supporto di snapshot in più aree).
- Immagine del sistema operativo (supporta immagini pubbliche e non pubbliche in più aree). Se si desidera utilizzare la funzionalità di locazione esclusiva, assicurarsi di selezionare un’immagine la cui proprietà del gruppo di nodi sia configurata correttamente. Vedere Abilita selezione zona.
-
Nella pagina Seleziona un profilo macchina , seleziona le risorse dalla scheda Macchina virtuale o dalla scheda Modelli di istanza .
Nota:
- Attualmente, le VM in questo catalogo ereditano le impostazioni di archiviazione, tipo di macchina e crittografia del disco dal profilo macchina selezionato.
- Se si seleziona un modello di istanza come profilo macchina, tutte le zone vengono selezionate per impostazione predefinita. È possibile selezionare le zone in base alle proprie esigenze.
- Selezionare il livello funzionale minimo per il catalogo.
- Selezionare l’immagine master. È possibile selezionare i seguenti tipi di immagine:
-
Nella pagina Archiviazione , seleziona il tipo di archiviazione utilizzato per contenere il sistema operativo per questo catalogo macchine. Ognuna delle seguenti opzioni di archiviazione ha caratteristiche uniche in termini di prezzo e prestazioni. Un disco di identità viene sempre creato utilizzando il disco persistente standard zonale.
- Disco persistente standard
- Disco persistente bilanciato
- Disco persistente SSD
Per maggiori dettagli sulle opzioni di archiviazione di Google Cloud, consulta Opzioni di archiviazione.
-
Nella pagina Macchine virtuali , specifica quante VM vuoi creare, visualizza le specifiche dettagliate delle VM, seleziona il tipo di macchina Google Cloud, quindi seleziona Avanti. Se si utilizzano gruppi di nodi single-tenant per i cataloghi delle macchine, assicurarsi di selezionare solo le zone in cui sono disponibili nodi single-tenant riservati. Vedere Abilita selezione zona.
Nota:
Tipo di macchina Google Cloud viene selezionato automaticamente in base al profilo macchina scelto. Se necessario, è possibile selezionare un tipo di macchina diverso.
-
Nella pagina Impostazioni disco , puoi configurare le seguenti impostazioni:
-
Scegliere se abilitare la cache write-back. Dopo aver abilitato la cache write-back, puoi procedere come segue:
- Configura la dimensione del disco e della RAM utilizzati per la memorizzazione nella cache dei dati temporanei. Per ulteriori informazioni, vedere Configurare la cache per i dati temporanei.
- Selezionare il tipo di archiviazione per il disco cache write-back. Sono disponibili le seguenti opzioni di archiviazione da utilizzare per il disco cache write-back:
- Disco persistente standard
- Disco persistente bilanciato
- Disco persistente SSD
Per maggiori dettagli sulle opzioni di archiviazione di Google Cloud, consulta Opzioni di archiviazione.
- Selezionare il tipo di disco cache write-back.
- Utilizza un disco cache di write-back non persistente. Se selezionato, il disco della cache write-back non viene mantenuto per le VM fornite. Durante i cicli di accensione e spegnimento, il disco viene eliminato e tutti i dati reindirizzati sul disco andranno persi.
- Utilizza il disco cache persistente con write-back. Se selezionato, il disco della cache write-back persiste per le VM fornite. Abilitando questa opzione aumentano i costi di archiviazione.
-
Quando l’ottimizzazione dell’archiviazione MCS (MCS I/O) è abilitata, è possibile effettuare una delle seguenti operazioni: - Scegliere se conservare i dischi di sistema per VDA durante i cicli di accensione e spegnimento. Per ulteriori informazioni, vedere Abilitazione degli aggiornamenti dell’ottimizzazione dello storage MCS. - Aggiornare le dimensioni della memoria e della cache del disco.
-
Scegli se utilizzare la tua chiave per proteggere il contenuto del disco. Per utilizzare questa funzionalità, è necessario innanzitutto creare le proprie chiavi di crittografia gestite dal cliente (CMEK). Per ulteriori informazioni, vedere Utilizzare le chiavi di crittografia gestite dal cliente (CMEK).
Nota:
È disponibile solo nell’interfaccia Studio.
After creating the keys, you can select one of those keys from the list. You cannot change the key after you create the catalog. Google Cloud does not support rotating keys on existing persistent disks or images. Therefore, after you provision a catalog, the catalog is tied to a specific version of the key. If that key is disabled or destroyed, the instances and disks encrypted with it become unusable until the key is reenabled or restored. The Customer-Managed Encryption Key (CMEK) settings follow a priority sequence as below:
- La massima priorità è data alla personalizzazione del CMEK di un catalogo.
- Se il profilo macchina selezionato è crittografato, le impostazioni CMEK utilizzano automaticamente il CMEK del profilo macchina come priorità successiva.
- Se il profilo macchina selezionato non è crittografato, le impostazioni CMEK utilizzano automaticamente il CMEK dell’immagine master.
-
-
Nella pagina Identità macchina , seleziona un account Active Directory e poi seleziona Avanti.
- Se selezioni Crea nuovi account Active Directory, seleziona un dominio e quindi immetti la sequenza di caratteri che rappresenta lo schema di denominazione per gli account computer VM forniti creati in Active Directory. Lo schema di denominazione dell’account può contenere da 1 a 64 caratteri e non può contenere spazi vuoti, caratteri non ASCII o caratteri speciali.
- Se selezioni Usa account Active Directory esistenti, seleziona Sfoglia per passare agli account computer Active Directory esistenti per le macchine selezionate.
-
Nella pagina Credenziali di dominio , seleziona Inserisci credenziali, digita il nome utente e la password, seleziona Salva, quindi seleziona Avanti.
- Le credenziali digitate devono disporre delle autorizzazioni per eseguire operazioni sull’account Active Directory.
-
Nella pagina Ambiti , seleziona gli ambiti per il catalogo macchine, quindi seleziona Avanti.
- È possibile selezionare ambiti facoltativi oppure selezionare ambito personalizzato per personalizzare gli ambiti in base alle proprie esigenze.
-
Nella pagina Riepilogo , conferma le informazioni, specifica un nome per il catalogo, quindi seleziona Fine.
Nota:
Il nome del catalogo può contenere da 1 a 39 caratteri e non può contenere solo spazi vuoti o i caratteri
\ / ; : # . * ? = < > | [ ] { } " ' ( ) ' )
.
La creazione del catalogo delle macchine potrebbe richiedere molto tempo. Una volta completato, il catalogo viene elencato. Puoi verificare che le macchine siano state create sui gruppi di nodi di destinazione nella console di Google Cloud.
Importare macchine Google Cloud create manualmente
Utilizzando questa funzionalità è possibile:
- Importa manualmente le macchine con sistema operativo multisessione Google Cloud create in un catalogo Citrix DaaS.
- Rimuovere manualmente le macchine del sistema operativo multisessione Google Cloud create da un catalogo Citrix DaaS.
- Utilizza le funzionalità di gestione energetica di Citrix DaaS esistenti per gestire l’alimentazione delle macchine con sistema operativo multisessione Windows di Google Cloud. Ad esempio, impostare una pianificazione di riavvio per tali macchine.
Questa funzionalità non richiede modifiche al flusso di lavoro di provisioning Citrix DaaS esistente, né la rimozione di alcuna funzionalità esistente.
Si consiglia di utilizzare MCS per il provisioning delle macchine in Studio anziché importare macchine Google Cloud create manualmente.
Cloud privato virtuale condiviso
I Virtual Private Cloud (VPC) condivisi sono costituiti da un progetto host, da cui vengono rese disponibili le subnet condivise, e da uno o più progetti di servizio che utilizzano la risorsa. Le VPC condivise sono opzioni preferibili per installazioni di grandi dimensioni perché garantiscono controllo, utilizzo e amministrazione centralizzati delle risorse aziendali condivise di Google Cloud. Per ulteriori informazioni, consultare il sito di documentazione di Google .
Grazie a questa funzionalità, Machine Creation Services (MCS) supporta il provisioning e la gestione dei cataloghi di macchine distribuiti su VPC condivise. Questo supporto, che è funzionalmente equivalente al supporto attualmente fornito nelle VPC locali, differisce in due aree:
- È necessario concedere autorizzazioni aggiuntive all’account di servizio utilizzato per creare la connessione host. Questo processo consente a MCS di accedere e utilizzare le risorse VPC condivise. Vedere Nuove autorizzazioni richieste.
- È necessario creare due regole del firewall, una per l’ingresso e una per l’uscita. Queste regole del firewall vengono utilizzate durante il processo di masterizzazione delle immagini. Vedere Regole del firewall.
Per informazioni sulla configurazione della VPC condivisa, vedere Configurare la VPC condivisa.
Sono necessarie nuove autorizzazioni
Per creare la connessione host è necessario un account di servizio Google Cloud con autorizzazioni specifiche. Queste autorizzazioni aggiuntive devono essere concesse a tutti gli account di servizio utilizzati per creare connessioni host basate su VPC condivise.
Mancia:
Queste autorizzazioni aggiuntive non sono una novità per Citrix DaaS. Vengono utilizzati per facilitare l’implementazione di VPC locali. Con le VPC condivise, queste autorizzazioni aggiuntive consentono l’accesso ad altre risorse VPC condivise.
Per supportare la VPC condivisa, è necessario concedere al massimo quattro autorizzazioni aggiuntive all’account di servizio associato alla connessione host:
- compute.firewalls.list - Questa autorizzazione è obbligatoria. Consente a MCS di recuperare l’elenco delle regole del firewall presenti sulla VPC condivisa.
- compute.networks.list - Questa autorizzazione è obbligatoria. Consente a MCS di identificare le reti VPC condivise disponibili per l’account di servizio.
- compute.subnetworks.list – Questa autorizzazione è facoltativa a seconda di come si utilizzano le VPC. Consente a MCS di identificare le subnet all’interno delle VPC condivise visibili. Questa autorizzazione è già richiesta quando si utilizzano VPC locali, ma deve essere assegnata anche nel progetto host VPC condiviso.
- compute.subnetworks.use - Questa autorizzazione è facoltativa e dipende da come si utilizzano le VPC. È necessario utilizzare le risorse di subnet nei cataloghi delle macchine fornite. Questa autorizzazione è già richiesta per l’utilizzo di VPC locali, ma deve essere assegnata anche nel progetto host VPC condiviso.
Quando si utilizzano queste autorizzazioni, tenere presente che esistono diversi approcci in base al tipo di autorizzazione utilizzata per creare il catalogo macchine:
- Autorizzazione a livello di progetto:
- Consente l’accesso a tutte le VPC condivise all’interno del progetto host.
- Richiede che le autorizzazioni
compute.subnetworks.list
ecompute.subnetworks.use
siano assegnate all’account di servizio.
- Autorizzazione a livello di subnet:
- Consente l’accesso a subnet specifiche all’interno della VPC condivisa.
- I permessi
compute.subnetworks.list
ecompute.subnetworks.use
sono intrinseci all’assegnazione del livello di subnet e pertanto non devono essere assegnati direttamente all’account di servizio.
Seleziona l’approccio più adatto alle esigenze della tua organizzazione e ai tuoi standard di sicurezza.
Mancia:
Per ulteriori informazioni sulle differenze tra autorizzazioni a livello di progetto e autorizzazioni a livello di subnet, vedere Amministratori del progetto di servizio.
Regole del firewall
Durante la preparazione di un catalogo macchine, viene preparata un’immagine della macchina che fungerà da disco di sistema dell’immagine master per il catalogo. Quando si verifica questo processo, il disco viene temporaneamente collegato a una macchina virtuale. Questa VM deve essere eseguita in un ambiente isolato che impedisca tutto il traffico di rete in entrata e in uscita. Ciò si ottiene tramite una coppia di regole firewall di tipo “nega tutto”: una per il traffico in ingresso e una per quello in uscita. Quando si utilizzano VCP locali di Google Cloud, MCS crea questo firewall nella rete locale e lo applica alla macchina per il mastering. Una volta completata la masterizzazione, la regola del firewall viene rimossa dall’immagine.
Si consiglia di ridurre al minimo il numero di nuove autorizzazioni necessarie per utilizzare le VPC condivise. Le VPC condivise sono risorse aziendali di livello superiore e solitamente dispongono di protocolli di sicurezza più rigidi. Per questo motivo, creare una coppia di regole firewall nel progetto host sulle risorse VPC condivise, una per l’ingresso e una per l’uscita. Assegna loro la massima priorità. Applica un nuovo tag di destinazione a ciascuna di queste regole, utilizzando il seguente valore:
citrix-provisioning-quarantine-firewall
Quando MCS crea o aggiorna un catalogo macchine, cerca le regole del firewall che contengono questo tag di destinazione. Esamina quindi le regole per verificarne la correttezza e le applica alla macchina utilizzata per preparare l’immagine master per il catalogo. Se le regole del firewall non vengono trovate oppure vengono trovate ma le regole o le loro priorità sono errate, viene visualizzato un messaggio simile al seguente:
"Unable to find valid INGRESS and EGRESS quarantine firewall rules for VPC <name> in project <project>. " Please ensure you have created 'deny all' firewall rules with the network tag ‘citrix-provisioning-quarantine-firewall' and proper priority." "Refer to Citrix Documentation for details."
Configurare la VPC condivisa
Prima di aggiungere la VPC condivisa come connessione host in Studio di Citrix DaaS, completa i seguenti passaggi per aggiungere account di servizio dal progetto in cui intendi effettuare il provisioning:
- Crea un ruolo IAM.
- Aggiunge un account di servizio al ruolo IAM del progetto host.
- Aggiungi l’account del servizio di compilazione cloud alla VPC condivisa.
- Crea regole del firewall.
Creare un ruolo IAM
Determinare il livello di accesso del ruolo:
- Accesso a livello di progetto, oppure
- Un modello più limitato che utilizza l’accesso a livello di subnet **.
Accesso a livello di progetto per il ruolo IAM. Per il ruolo IAM a livello di progetto, includere le seguenti autorizzazioni:
- calcola.firewall.elenco
- elenco.reti.di.calcolo
- calcola.sottoreti.elenco
- calcolare.sottoreti.uso
Per creare un ruolo IAM a livello di progetto:
- Nella console di Google Cloud, vai a IAM & Admin > Ruoli.
- Nella pagina Ruoli , seleziona CREA RUOLO.
- Nella pagina Crea ruolo , specifica il nome del ruolo. Seleziona AGGIUNGI PERMESSI.
- Nella pagina Aggiungi autorizzazioni , aggiungi le autorizzazioni al ruolo, individualmente. Per aggiungere un permesso, digita il nome del permesso nel campo Tabella filtri . Selezionare il permesso e quindi selezionare AGGIUNGI.
- Seleziona CREA.
Ruolo IAM a livello di sottorete. Questo ruolo omette l’aggiunta dei permessi compute.subnetworks.list
e compute.subnetworks.use
dopo aver selezionato CREA RUOLO. Per questo livello di accesso IAM, al nuovo ruolo devono essere applicate le autorizzazioni compute.firewalls.list
e compute.networks.list
.
Per creare un ruolo IAM a livello di subnet:
- Nella console di Google Cloud, vai a Rete VPC > VPC condivisa. Viene visualizzata la pagina Shared VPC , che mostra le subnet delle reti Shared VPC contenute nel progetto host.
- Nella pagina Shared VPC , seleziona la subnet a cui desideri accedere.
- Nell’angolo in alto a destra, seleziona AGGIUNGI MEMBRO per aggiungere un account di servizio.
- Nella pagina Aggiungi membri , completa questi passaggi:
- Nel campo Nuovi membri , digita il nome del tuo account di servizio, quindi seleziona il tuo account di servizio nel menu.
- Selezionare il campo Seleziona un ruolo e quindi Utente di rete di calcolo.
- Seleziona SALVA.
- Nella console di Google Cloud, vai a IAM & Admin > Ruoli.
- Nella pagina Ruoli , seleziona CREA RUOLO.
- Nella pagina Crea ruolo , specifica il nome del ruolo. Seleziona AGGIUNGI PERMESSI.
- Nella pagina Aggiungi autorizzazioni , aggiungi le autorizzazioni al ruolo, individualmente. Per aggiungere un permesso, digita il nome del permesso nel campo Tabella filtri . Seleziona l’autorizzazione, quindi seleziona AGGIUNGI.
- Seleziona CREA.
Aggiungere un account di servizio al ruolo IAM del progetto host
Dopo aver creato un ruolo IAM, procedere come segue per aggiungere un account di servizio per il progetto host:
- Nella console di Google Cloud, vai al progetto host e poi a IAM & Admin > IAM.
- Nella pagina IAM , seleziona AGGIUNGI per aggiungere un account di servizio.
- Nella pagina Aggiungi membri :
- Nel campo Nuovi membri , digita il nome del tuo account di servizio, quindi seleziona il tuo account di servizio nel menu.
- Seleziona un campo ruolo, digita il ruolo IAM che hai creato, quindi seleziona il ruolo nel menu.
- Seleziona SALVA.
L’account di servizio è ora configurato per il progetto host.
Aggiungere l’account del servizio di compilazione cloud alla VPC condivisa
Ogni abbonamento a Google Cloud ha un account di servizio denominato in base al numero ID del progetto, seguito da cloudbuild.gserviceaccount
. Ad esempio: 705794712345@cloudbuild.gserviceaccount
.
Puoi determinare il numero ID del tuo progetto andando su Panoramica del cloud > Dashboard nella console di Google Cloud. L’ID e il numero del progetto vengono visualizzati nella scheda informativa del progetto Dashboard:
Per aggiungere l’account del servizio Cloud Build alla VPC condivisa, procedere come segue:
- Nella console di Google Cloud, vai al progetto host e poi a IAM & Admin > IAM.
- Nella pagina Permessi , seleziona AGGIUNGI per aggiungere un account.
- Nella pagina Aggiungi membri , completa questi passaggi:
- Nel campo Nuovi membri , digita il nome dell’account di servizio Cloud Build, quindi seleziona il tuo account di servizio nel menu.
- Selezionare il campo Seleziona un ruolo , digitare
Utente della rete di computer
, quindi selezionare il ruolo nel menu. - Seleziona SALVA.
Crea regole firewall
Come parte del processo di masterizzazione, MCS copia l’immagine della macchina selezionata e la utilizza per preparare il disco di sistema dell’immagine master per il catalogo. Durante la masterizzazione, MCS collega il disco a una macchina virtuale temporanea, che esegue quindi gli script di preparazione. Questa VM deve essere eseguita in un ambiente isolato che proibisca tutto il traffico di rete in entrata e in uscita.
Per creare un ambiente isolato, MCS richiede due regole firewall deny all (una regola di ingresso e una regola di uscita). Pertanto, creare due regole del firewall (Ingresso ed Uscita) nel progetto host ** come segue:
- Nella console di Google Cloud, vai al progetto host e poi a Rete VPC > Firewall.
- Nella pagina Firewall , seleziona CREA REGOLA FIREWALL.
- Nella pagina Crea una regola firewall , completa quanto segue:
- Nome. Digitare un nome per la regola.
- Rete. Selezionare la rete VPC condivisa a cui si applica la regola del firewall in ingresso.
- Priorità. Quanto più piccolo è il valore, tanto più alta è la priorità della regola. Consigliamo un valore basso (ad esempio 10).
- Direzione del traffico. Seleziona Ingresso.
- Azione sulla partita. Seleziona Nega.
- Obiettivi. Utilizzare il valore predefinito, Tag di destinazione specificati.
-
Tag di destinazione. Digitare
citrix-provisioning-quarantine-firewall
. - Filtro sorgente. Utilizzare gli intervalli IP predefiniti, **.
-
Intervalli IP di origine. Digitare un intervallo che corrisponda a tutto il traffico. Digitare
0.0.0.0/0
. - Protocolli e porte. Seleziona Nega tutti.
- Selezionare CREA per creare la regola.
- Ripetere i passaggi per creare un’altra regola. Per Direzione del traffico, selezionare Uscita.
Utilizzare le chiavi di crittografia gestite dal cliente (CMEK)
Nota:
Il supporto per CMEK in GCP è attualmente in anteprima.
È possibile utilizzare le chiavi di crittografia gestite dal cliente (CMEK) per i cataloghi MCS. Quando si utilizza questa funzionalità, si assegna il ruolo di Google Cloud Key Management Service CryptoKey Encrypter/Decrypter
al Compute Engine Service Agent. L’account Citrix DaaS deve disporre delle autorizzazioni corrette nel progetto in cui è archiviata la chiave. Vedere Assegnare autorizzazioni all’account Citrix DaaS. Per ulteriori informazioni, fare riferimento a Come proteggere le risorse utilizzando le chiavi Cloud KMS .
Il tuo agente di servizio Compute Engine si presenta nel seguente formato: service-<Project _Number>@compute-system.iam.gserviceaccount.com
. Questo modulo è diverso dall’account di servizio Compute Engine predefinito.
Nota:
Questo account di servizio Compute Engine potrebbe non essere visualizzato nella visualizzazione Autorizzazioni IAM della Google Console. In questi casi, utilizzare il comando
gcloud
come descritto in Come proteggere le risorse utilizzando le chiavi Cloud KMS.
Assegnare le autorizzazioni all’account Citrix DaaS
Le autorizzazioni di Google Cloud KMS possono essere configurate in vari modi. Puoi fornire livello di progetto Autorizzazioni KMS o livello di risorse Autorizzazioni KMS. Per ulteriori informazioni, vedere Permessi e ruoli .
Autorizzazioni KMS a livello di progetto
Un’opzione è quella di fornire all’account Citrix DaaS autorizzazioni a livello di progetto per esplorare le risorse Cloud KMS. Per fare ciò, crea un ruolo personalizzato e aggiungi le seguenti autorizzazioni:
cloudkms.keyRings.list
cloudkms.keyRings.get
cloudkms.cryptokeys.list
cloudkms.cryptokeys.get
Assegna questo ruolo personalizzato al tuo account Citrix DaaS. Ciò consente di esplorare le chiavi regionali nel progetto pertinente nell’inventario.
Autorizzazioni KMS a livello di risorsa
Per l’altra opzione, autorizzazioni a livello di risorsa, nella console di Google Cloud, vai alla cryptoKey `` che utilizzi per il provisioning MCS. Aggiungi l’account Citrix DaaS a un portachiavi o a una chiave utilizzata per il provisioning del catalogo.
Mancia:
Con questa opzione non è possibile esplorare le chiavi regionali per il progetto nell’inventario perché l’account Citrix DaaS non dispone delle autorizzazioni di elenco a livello di progetto sulle risorse Cloud KMS. Tuttavia, è comunque possibile predisporre un catalogo utilizzando CMEK specificando il cryptoKeyId
corretto
nelle proprietà personalizzateProvScheme
. Vedere Creare un catalogo con CMEK utilizzando proprietà personalizzate.
Rotazione delle chiavi gestite dal cliente
Google Cloud non supporta la rotazione delle chiavi su dischi permanenti o immagini esistenti. Una volta predisposta una macchina, questa viene associata alla versione chiave in uso al momento della sua creazione. Tuttavia, è possibile creare una nuova versione della chiave e tale nuova chiave viene utilizzata per le macchine appena fornite o per le risorse create quando un catalogo viene aggiornato con una nuova immagine master.
Considerazioni importanti sui portachiavi
I portachiavi non possono essere rinominati o eliminati. Inoltre, durante la configurazione potrebbero verificarsi costi imprevisti. Quando si elimina o si rimuove un portachiavi, Google Cloud visualizza un messaggio di errore:
Sorry, you can't delete or rename keys or key rings. We were concerned about the security implications of allowing multiple keys or key versions over time to have the same resource name, so we decided to make names immutable. (And you can't delete them, because we wouldn't be able to do a true deletion--there would still have to be a tombstone tracking that this name had been used and couldn't be reused).
We're aware that this can make things untidy, but we have no immediate plans to change this.
If you want to avoid getting billed for a key or otherwise make it unavailable, you can do so by deleting all the key versions; neither keys nor key rings are billed for, just the active key versions within the keys.
Mancia:
Per ulteriori informazioni, vedere Modifica o eliminazione di un portachiavi dalla console.
Compatibilità uniforme dell’accesso a livello di bucket
Citrix DaaS è compatibile con i criteri di controllo degli accessi uniformi a livello di bucket su Google Cloud. Questa funzionalità amplia l’uso della policy IAM che concede autorizzazioni a un account di servizio per consentire la manipolazione delle risorse, inclusi i bucket di archiviazione. Grazie al controllo uniforme degli accessi a livello di bucket, Citrix DaaS consente di utilizzare un elenco di controllo degli accessi (ACL) per controllare l’accesso ai bucket di archiviazione o agli oggetti in essi archiviati. Per informazioni generali sull’accesso uniforme a livello di bucket di Google Cloud, vedere Accesso uniforme a livello di bucket . Per informazioni sulla configurazione, vedere Richiedi accesso uniforme a livello di bucket.
Utilizzare PowerShell
Questa sezione descrive in dettaglio come eseguire le seguenti attività utilizzando PowerShell:
- Crea un catalogo con disco cache write-back persistente
- Migliora le prestazioni di avvio con MCSIO
- Crea un catalogo con CMEK utilizzando proprietà personalizzate
- Creazione di un catalogo macchine utilizzando un profilo macchina
- Crea un catalogo macchine con il profilo macchina come modello di istanza
- Crea un catalogo con VM schermata
- Crea VM Windows 11 sul nodo single-tenant
- VM e dischi con etichette ereditate
Crea un catalogo con disco cache write-back persistente
Per configurare un catalogo con disco cache write-back persistente, utilizzare il comando di PowerShell New-ProvScheme CustomProperties
.
Mancia:
Utilizzare il parametro PowerShell
New-ProvScheme CustomProperties
solo per le connessioni di hosting basate su cloud. Se si desidera eseguire il provisioning di macchine utilizzando un disco cache write-back persistente per una soluzione locale (ad esempio, XenServer), PowerShell non è necessario perché il disco persiste automaticamente.
Questo comando supporta una proprietà aggiuntiva, PersistWBC
, utilizzata per determinare come il disco cache write-back persiste per le macchine fornite da MCS. La proprietà PersistWBC
viene utilizzata solo quando è specificato il parametro UseWriteBackCache
e quando il parametro WriteBackCacheDiskSize
è impostato per indicare che è stato creato un disco.
Nota:
Questo comportamento si applica sia ad Azure che a GCP, in cui il disco cache write-back MCSIO predefinito viene eliminato e ricreato durante il ciclo di accensione/spegnimento. È possibile scegliere di mantenere il disco per evitare l’eliminazione e la ricreazione del disco cache write-back MCSIO.
Esempi di proprietà trovate nel parametro CustomProperties
prima del supporto di PersistWBC
includono:
<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<Property xsi:type="StringProperty" Name="UseManagedDisks" Value="true" />
<Property xsi:type="StringProperty" Name="StorageAccountType" Value="Premium_LRS" />
<Property xsi:type="StringProperty" Name="ResourceGroups" Value="benvaldev5RG3" />
</CustomProperties>
Nota:
Questo esempio si applica solo ad Azure. Le proprietà sono diverse nell’ambiente GCP.
Quando si utilizzano queste proprietà, tenere presente che contengono valori predefiniti se le proprietà vengono omesse dal parametro CustomProperties
. La proprietà PersistWBC
ha due possibili valori: true oppure false.
Impostando la proprietà PersistWBC
su true non si elimina il disco della cache write-back quando l’amministratore Citrix DaaS arresta la macchina dall’interfaccia di gestione.
Impostando la proprietà PersistWBC
su false si elimina il disco della cache write-back quando l’amministratore Citrix DaaS arresta la macchina dall’interfaccia di gestione.
Nota:
Se la proprietà
PersistWBC
viene omessa, la proprietà assume per impostazione predefinita il valore false e la cache di write-back viene eliminata quando la macchina viene arrestata dall’interfaccia di gestione.
Ad esempio, utilizzando il parametro CustomProperties
per impostare PersistWBC
su true:
<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<Property xsi:type="StringProperty" Name="UseManagedDisks" Value="true" />
<Property xsi:type="StringProperty" Name="StorageAccountType" Value="Premium_LRS" />
<Property xsi:type="StringProperty" Name="ResourceGroups" Value="benvaldev5RG3" />
<Property xsi:type="StringProperty" Name="PersistWBC" Value="true" />
</CustomProperties>
Importante:
La proprietà
PersistWBC
può essere impostata solo utilizzando il cmdlet di PowerShellNew-ProvScheme
. Il tentativo di modificare leCustomProperties
di uno schema di provisioning dopo la creazione non ha alcun impatto sul catalogo delle macchine e sulla persistenza del disco della cache di write-back quando una macchina viene arrestata.
Ad esempio, imposta New-ProvScheme
per utilizzare la cache write-back impostando la proprietà PersistWBC
su true:
New-ProvScheme
-CleanOnBoot
-CustomProperties "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`"><Property xsi:type=`"StringProperty`" Name=`"UseManagedDisks`" Value=`"true`" /><Property xsi:type=`"StringProperty`" Name=`"StorageAccountType`" Value=`"Premium_LRS`" /><Property xsi:type=`"StringProperty`" Name=`"ResourceGroups`" Value=`"benvaldev5RG3`" /><Property xsi:type=`"StringProperty`" Name=`"PersistWBC`" Value=`"true`" /></CustomProperties>"
-HostingUnitName "adSubnetScale1"
-IdentityPoolName "BV-WBC1-CAT1"
-MasterImageVM "XDHyp:\HostingUnits\adSubnetScale1\image.folder\GoldImages.resourcegroup\W10MCSIO-01_OsDisk_1_a940e6f5bab349019d57ccef65d2c7e3.manageddisk"
-NetworkMapping @{"0"="XDHyp:\HostingUnits\adSubnetScale1\\virtualprivatecloud.folder\CloudScale02.resourcegroup\adVNET.virtualprivatecloud\adSubnetScale1.network"}
-ProvisioningSchemeName "BV-WBC1-CAT1"
-ServiceOffering "XDHyp:\HostingUnits\adSubnetScale1\serviceoffering.folder\Standard_D2s_v3.serviceoffering"
-UseWriteBackCache
-WriteBackCacheDiskSize 127
-WriteBackCacheMemorySize 256
Migliora le prestazioni di avvio con MCSIO
È possibile migliorare le prestazioni di avvio per i dischi gestiti da Azure e GCP quando MCSIO è abilitato. Utilizzare la proprietà personalizzata PowerShell PersistOSDisk
nel comando New-ProvScheme
per configurare questa funzionalità. Le opzioni associate a New-ProvScheme
includono:
<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<Property xsi:type="StringProperty" Name="UseManagedDisks" Value="true" />
<Property xsi:type="StringProperty" Name="StorageAccountType" Value="Premium_LRS" />
<Property xsi:type="StringProperty" Name="Resource ``````<!--NeedCopy-->
````````Groups" Value="benvaldev5RG3" />
<Property xsi:type="StringProperty" Name="PersistOsDisk" Value="true" />
</CustomProperties>
<!--NeedCopy-->
Per abilitare questa funzionalità, impostare la proprietà personalizzataPersistOSDisk
su true. Per esempio:
New-ProvScheme
-CleanOnBoot
-CustomProperties "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`"><Property xsi:type=`"StringProperty`" Name=`"UseManagedDisks`" Value=`"true`" /><Property xsi:type=`"StringProperty`" Name=`"StorageAccountType`" Value=`"Premium_LRS`" /><Property xsi:type=`"StringProperty`" Name=`"ResourceGroups`" Value=`"benvaldev5RG3`" /><Property xsi:type=`"StringProperty`" Name=`"PersistOsDisk`" Value=`"true`" /></CustomProperties>"
-HostingUnitName "adSubnetScale1"
-IdentityPoolName "BV-WBC1-CAT1"
-MasterImageVM "XDHyp:\HostingUnits\adSubnetScale1\image.folder\GoldImages.resourcegroup\W10MCSIO-01_OsDisk_1_a940e6f5bab349019d57ccef65d2c7e3.manageddisk"
-NetworkMapping @{"0"="XDHyp:\HostingUnits\adSubnetScale1\\virtualprivatecloud.folder\CloudScale02.resourcegroup\adVNET.virtualprivatecloud\adSubnetScale1.network"}
-ProvisioningSchemeName "BV-WBC1-CAT1"
-ServiceOffering "XDHyp:\HostingUnits\adSubnetScale1\serviceoffering.folder\Standard_D2s_v3.serviceoffering"
-UseWriteBackCache
-WriteBackCacheDiskSize 127
-WriteBackCacheMemorySize 256
Crea un catalogo con CMEK utilizzando proprietà personalizzate
Quando crei il tuo schema di provisioning tramite PowerShell, specifica una proprietà CryptoKeyId
in ProvScheme CustomProperties
. Per esempio:
'<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<Property xsi:type="StringProperty" Name="CryptoKeyId" Value="<yourCryptoKeyId>" />
</CustomProperties>'
Il cryptoKeyId `` deve essere specificato nel seguente formato:
projectId:location:keyRingName:cryptoKeyName
Ad esempio, se desideri utilizzare la chiave my-example-key
nel portachiavi my-example-key-ring
nella regione us-east1
e nel progetto con ID my-example-project-1
, le tue impostazioni personalizzate ProvScheme
saranno simili a:
'<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<Property xsi:type="StringProperty" Name="CryptoKeyId" Value="my-example-project-1:us-east1:my-example-key-ring:my-example-key" />
</CustomProperties>'
Tutti i dischi e le immagini forniti da MCS relativi a questo schema di provisioning utilizzano questa chiave di crittografia gestita dal cliente.
Mancia:
Se si utilizzano chiavi globali, la posizione delle proprietà del cliente deve riportare il nome globale `` e non il nome della regione ** , che nell’esempio precedente è **us-east1. Ad esempio:
<Property xsi:type="StringProperty" Name="CryptoKeyId" Value="my-example-project-1:global:my-example-key-ring:my-example-key" />
.
Creazione di un catalogo macchine utilizzando un profilo macchina
Quando si crea un catalogo per eseguire il provisioning delle macchine tramite Machine Creation Services (MCS), è possibile utilizzare un profilo macchina per acquisire le proprietà hardware da una macchina virtuale e applicarle alle VM appena provisionate nel catalogo. Quando Profilo macchina
non viene usato, le proprietà hardware vengono acquisite dalla macchina virtuale o dallo snapshot dell’immagine master. Alcune proprietà definite esplicitamente, ad esempio StorageType
, CatalogZones
e CryptoKeyId
vengono ignorate dal profilo macchina.
- Per creare un catalogo con un profilo macchina, utilizzare il comando
New-ProvScheme
. Ad esempio,New-ProvScheme –MachineProfile “percorso verso la VM”
. Se non si specifica il parametroMachineProfile
, le proprietà hardware vengono acquisite dalla VM dell’immagine master. - Per aggiornare un catalogo con un nuovo profilo macchina, utilizzare il comando
Set-ProvScheme
. Ad esempio,Set-ProvScheme –MachineProfile “percorso verso la nuova VM”
. Questo comando non modifica il profilo macchina delle VM esistenti nel catalogo. Solo le VM appena create e aggiunte al catalogo dispongono del nuovo profilo macchina. -
È anche possibile aggiornare l’immagine master; tuttavia, quando si aggiorna l’immagine master, le proprietà hardware non vengono aggiornate. Se si desidera aggiornare le proprietà hardware, è necessario aggiornare il profilo della macchina utilizzando il comando
Set-ProvScheme
. Tali modifiche si applicheranno solo alle nuove macchine presenti nel catalogo. Per aggiornare le proprietà hardware di una macchina esistente, è possibile utilizzare il comandoSet-ProvVMUpdateTimeWindow
con i parametri-StartsNow
e-DurationInMinutes -1
.Nota:
-
StartsNow
indica che l’ora di inizio programmata è l’ora corrente. -
DurationInMinutes
con un numero negativo (ad esempio, –1) indica che non esiste alcun limite superiore per la finestra temporale della pianificazione.
-
Crea un catalogo macchine con il profilo macchina come modello di istanza
È possibile selezionare un modello di istanza GCP come input per il profilo macchina. I modelli di istanza sono risorse leggere in GCP e pertanto risultano molto convenienti.
Crea un nuovo catalogo macchine con il profilo macchina come modello di istanza
- Aprire una finestra di PowerShell.
- Eseguire
asnp citrix*
per caricare i moduli PowerShell specifici di Citrix. -
Trova un modello di istanza nel tuo progetto GCP utilizzando il seguente comando:
cd XDHyp:\HostingUnits\<HostingUnitName>\instanceTemplates.folder
-
Crea un nuovo catalogo macchine con il profilo macchina come modello di istanza utilizzando il comando NewProvScheme:
New-ProvScheme -ProvisioningSchemeName <CatalogName> -HostingUnitName <HostingUnitName> -IdentityPoolName <identity pool name> -MasterImageVM XDHyp:\HostingUnits\<HostingUnitName>\Base.vm\Base.snapshot -MachineProfile XDHyp:\HostingUnits\<HostingUnitName>\instanceTemplates.folder\mytemplate.template
Per ulteriori informazioni sul comando New-ProvScheme, vedere https://developer-docs.citrix.com/projects/citrix-daas-sdk/en/latest/MachineCreation/New-ProvScheme/.
- Completare la creazione del catalogo macchine utilizzando i comandi di PowerShell.
Aggiorna un catalogo macchine per avere un modello di istanza come profilo macchina
- Aprire una finestra di PowerShell.
- Eseguire
asnp citrix*
per caricare i moduli PowerShell specifici di Citrix. -
Eseguire il seguente comando:
Set-ProvScheme -ProvisioningSchemeName <CatalogName> -MachineProfile XDHyp:\HostingUnits\<HostingUnitName>\instanceTemplates.folder\<TemplateName>.template
Per informazioni sul comando Set-ProvScheme, vedere https://developer-docs.citrix.com/projects/citrix-daas-sdk/en/latest/MachineCreation/Set-ProvScheme/.
Crea un catalogo con VM schermata
È possibile creare un catalogo macchine MCS con proprietà VM schermate. Una macchina virtuale schermata è rafforzata da una serie di controlli di sicurezza che garantiscono l’integrità verificabile delle istanze di Compute Engine, utilizzando funzionalità avanzate di sicurezza della piattaforma come l’avvio sicuro, un modulo di piattaforma virtuale affidabile, il firmware UEFI e il monitoraggio dell’integrità.
MCS supporta la creazione del catalogo utilizzando il flusso di lavoro del profilo macchina. Se si utilizza il flusso di lavoro del profilo macchina, è necessario abilitare le proprietà VM schermate di un’istanza VM. È quindi possibile utilizzare questa istanza VM come input del profilo macchina.
Creare un catalogo di macchine MCS con VM schermata
- Abilita le opzioni VM schermate di un’istanza VM nella console di Google Cloud. Vedere Avvio rapido: Abilitare le opzioni della VM schermata.
- Creare un catalogo macchine MCS con flusso di lavoro del profilo macchina utilizzando l’istanza VM.
- Aprire una finestra di PowerShell
- Eseguire
asnp citrix*
per caricare i moduli PowerShell specifici di Citrix. - Creare un pool di identità se non è già stato creato.
-
Eseguire il comando
New-ProvScheme
. Per esempio:New-ProvScheme -ProvisioningSchemeName <catalog-name> -HostingUnitName gcp-hostint-unit -MasterImageVM XDHyp:\HostingUnits\gcp-hostint-unit\catalog-vda.vm -MachineProfile XDHyp:\HostingUnits\gcp-hostint-unit\catalog-machine.vm
- Completare la creazione del catalogo macchine.
Aggiornare un catalogo macchine con un nuovo profilo macchina
-
Eseguire il comando
Set-ProvScheme
. Per esempio:Set-ProvScheme -ProvisioningSchemeName <catalog-name> -MasterImageVM XDHyp:\HostingUnits\<hostin-unit>\catalog-vda.vm -MachineProfile "DHyp:\HostingUnits\<hostin-unit>\catalog-machine.vm
Per applicare la modifica apportata in Set-ProvScheme
alle VM esistenti, eseguire il comando Set-ProvVMUpdateTimeWindow
.
-
Eseguire il comando
Set-ProvVMUpdateTimeWindow
. Per esempio:Set-ProvVMUpdateTimeWindow -ProvisioningSchemeName my-catalog -VMName <List-Of-Vm-Names> -StartsNow -DurationInMinutes -1
-
Riavviare le VM.
Crea VM Windows 11 sul nodo single-tenant
È possibile creare VM Windows 11 in GCP. Tuttavia, se si installa Windows 11 sull’immagine master, è necessario abilitare vTPM durante il processo di creazione dell’immagine master. Inoltre, è necessario abilitare vTPM nell’origine del profilo del computer (macchina virtuale o modello di istanza).
I passaggi chiave per creare VM Windows 11 sul nodo single-tenant sono:
- Configurare gli ambienti di virtualizzazione di Google Cloud. Per informazioni, vedere ambienti Google Cloud.
- Installa VDA. Vedere Installa VDA.
- Crea una connessione agli ambienti cloud di Google. Per informazioni, vedere Connessione agli ambienti cloud di Google.
- Crea un’immagine master BYOL (Bring Your Own License) di Windows 11 e importala in Google Cloud. Vedere Creare un’immagine master BYOL di Windows 11.
- Creare l’origine del profilo macchina: predisporre la VM sul nodo single-tenant e abilitare il vTPM del profilo macchina di origine. Vedere Provision VM sul nodo single-tenant.
- Creare un catalogo macchine MCS utilizzando l’origine del profilo macchina Windows 11 abilitata con vTPM. L’origine del profilo macchina deve avere lo stesso tipo di istanza descritto nel nodo single-tenant. Vedere Creare un catalogo macchine MCS utilizzando la sorgente del profilo macchina Windows 11.
Creare un’immagine master BYOL di Windows 11
Esistono due opzioni per creare un’immagine master BYOL di Windows 11 e importarla in Google Cloud:
- Utilizza gli strumenti di Google Cloud Build
- Crea l’immagine master su qualsiasi altro hypervisor
Utilizza gli strumenti di Google Cloud Build
- Carica i file ISO di Windows 11, GCP SDK, .NET Framework e PowerShell Installer nel bucket di archiviazione GCP.
- Specificare il percorso del file nel file cloud build
.yaml
come parametro. -
Esegui il seguente comando Cloud Build dalla riga di comando per creare l’immagine finale di Windows 11. GCP avvia e crea l’immagine master nel progetto selezionato utilizzando il flusso di lavoro Daisy in GCP e l’immagine master viene importata in GCP.
gcloud compute instances import INSTANCE-NAME--source-uri=gs://BUCKET/IMAGE-OVF-FILE.ovf --guest-os-features=UEFI_COMPATIBLE --byol --machine-type=MACHINE-TYPE --zone=ZONE
Nota:
Sostituisci tutto il testo in maiuscolo con i dettagli effettivi della risorsa.
Per informazioni complete, vedere Creare immagini Windows BYOL personalizzate.
Crea l’immagine master su qualsiasi altro hypervisor
- Creare l’immagine master di Windows 11 utilizzando qualsiasi altro hypervisor.
- Esportare l’immagine master in formato OVF sul computer locale.
-
Carica i file OVF nel bucket di archiviazione GCP utilizzando la CLI gcloud locale.
gsutil cp LOCAL_IMAGE_PATH_OVF_FILES gs://BUCKET_NAME/
-
Esegui il seguente comando Cloud Build dalla riga di comando per creare l’immagine finale di Windows 11. GCP avvia e crea l’immagine master nel progetto selezionato utilizzando il flusso di lavoro Daisy in GCP e l’immagine master viene importata in GCP.
gcloud compute instances import INSTANCE-NAME --source-uri=gs://BUCKET/IMAGE-OVF-FILE.ovf --guest-os-features=UEFI_COMPATIBLE --byol --machine-type=MACHINE-TYPE --zone=ZONE
Nota:
Sostituisci tutto il testo in maiuscolo con i dettagli effettivi della risorsa.
Provisioning della VM sul nodo single-tenant
Utilizza nodi single-tenant per mantenere le tue VM fisicamente separate dalle VM di altri progetti o per raggruppare le tue VM sullo stesso hardware host. Per informazioni sul nodo single-tenant, vedere il documento GCP Panoramica del nodo single-tenant.
Per eseguire il provisioning di una VM (sorgente del profilo macchina) sul nodo single-tenant, vedere il documento GCP Provision VMs on single-tenant nodes.
Nota:
- Selezionare lo stesso tipo di istanza e la stessa regione del gruppo di nodi.
- Abilitare vTPM nella sezione VM schermata. Per ulteriori informazioni, vedere Avvio rapido: Abilitare le opzioni della VM schermata.
- Disabilitare Bitlocker sulla VM di origine.
Creare un catalogo macchine MCS utilizzando l’origine del profilo macchina di Windows 11
È possibile creare un catalogo macchine MCS per creare VM Windows 11 utilizzando i comandi di Studio o PowerShell.
Nota:
- Per l’immagine master, selezionare lo snapshot o la VM di Windows 11.
- Per l’origine del profilo macchina, selezionare la VM Windows 11 come profilo macchina. L’origine del profilo macchina deve avere lo stesso tipo di istanza descritto nel nodo single-tenant.
Per informazioni sull’utilizzo di Studio, vedere Creare un catalogo macchine utilizzando Studio.
Per informazioni sui comandi di PowerShell, vedere Creare un catalogo macchine utilizzando un profilo macchina.
Dopo aver creato il catalogo e acceso le VM, puoi vedere le VM Windows 11 in esecuzione sul singolo nodo tenant nella console di Google Cloud.
VM e dischi con etichette ereditate
Le VM e i dischi del catalogo macchine MCS (Identity Disk, Write-cache Back Disk e OS Disk) possono ereditare le etichette di un’origine profilo macchina (istanza VM GCP o modello istanza). È possibile utilizzare le etichette per distinguere le istanze di proprietà di team diversi (ad esempio, team:research e team:analytics) e utilizzarle ulteriormente per la contabilità dei costi o il budget. Per ulteriori informazioni sulle etichette, consulta il documento GCP Organizzare le risorse utilizzando le etichette.
È possibile creare un nuovo catalogo, aggiornare un catalogo esistente e aggiornare le VM esistenti per ereditare le etichette utilizzando l’origine del profilo macchina.
Questa funzione è applicabile ai cataloghi di macchine MCS persistenti e non persistenti.
È possibile effettuare le seguenti operazioni:
- Crea un catalogo con etichette ereditate
- Aggiorna un catalogo esistente con etichette ereditate
- Aggiornare le VM esistenti con etichette ereditate
- Recupera informazioni per le etichette della VM e del disco di avvio
- Rimuovere una VM
Crea un catalogo con etichette ereditate
Per creare un catalogo macchine MCS in cui le VM e il disco ereditano le etichette dall’origine del profilo macchina, procedere come segue:
- Crea un’origine del profilo macchina (istanza VM o modello di istanza) con etichette. Per informazioni sulla creazione di VM con etichette, consultare il documento GCP Creare risorse con etichette. Un modello di istanza viene creato dalla VM e accetta le etichette definite nella VM.
- Creare un catalogo MCS utilizzando i comandi Studio o PowerShell.
- Se si utilizza Studio, nella pagina Immagine , selezionare Usa un profilo macchina, quindi selezionare la VM o il modello.
-
Se si utilizzano i comandi di PowerShell, procedere come segue:
- Aprire la finestra di PowerShell.
- Eseguire asnp citrix*.
- Creare un pool di identità. Il pool di identità è un contenitore per gli account Active Directory (AD) per le VM da creare.
- Creare gli account computer AD richiesti in Active Directory.
-
Eseguire il comando
New-ProvScheme
per creare un catalogo. Per esempio:New-ProvScheme con template come input del profilo macchina (catalogo persistente):
New-ProvScheme ` -ProvisioningSchemeName "catalog-name" ` -HostingUnitUid "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" ` -IdentityPoolUid "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" ` -MasterImageVM "XDHyp:\HostingUnits\hosting-unit-name\vm-name.vm" ` -MachineProfile "XDHyp:\HostingUnits\hosting-unit-name\instanceTemplates.folder\instance-template-name.template" `
New-ProvScheme con modello di istanza come input del profilo macchina (catalogo non persistente):
New-ProvScheme ` -ProvisioningSchemeName "catalog-name" ` -HostingUnitUid "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" ` -IdentityPoolUid "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" ` -MasterImageVM "XDHyp:\HostingUnits\hosting-unit-name\vm-name.vm" ` -MachineProfile "XDHyp:\HostingUnits\hosting-unit-name\instanceTemplates.folder\instance-template-name.template" ` -CleanOnBoot
New-ProvScheme con istanza VM come input del profilo macchina (catalogo persistente):
New-ProvScheme ` -ProvisioningSchemeName "catalog-name" ` -HostingUnitUid "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" ` -IdentityPoolUid "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" ` -MasterImageVM "XDHyp:\HostingUnits\hosting-unit-name\vm-name.vm" ` -MachineProfile "XDHyp:\HostingUnits\hosting-unit-name\vm-name.vm" `
New-ProvScheme con istanza VM come input del profilo macchina (catalogo non persistente):
New-ProvScheme ` -ProvisioningSchemeName "catalog-name" ` -HostingUnitUid "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" ` -IdentityPoolUid "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" ` -MasterImageVM "XDHyp:\HostingUnits\hosting-unit-name\vm-name.vm" ` -MachineProfile "XDHyp:\HostingUnits\hosting-unit-name\vm-name.vm" ` -CleanOnBoot
- Registrare lo schema di provisioning come catalogo broker.
- Aggiungere VM al catalogo.
Aggiorna un catalogo esistente con etichette ereditate
Per aggiornare un catalogo esistente con un nuovo profilo macchina, eseguire il comando Set-ProvScheme. Dopo aver eseguito il comando, tutte le nuove VM aggiunte al catalogo avranno le etichette della nuova origine del profilo macchina. Il catalogo non persistente viene aggiornato alla successiva accensione.
Per esempio:
Set-ProvScheme con modello di istanza come input del profilo macchina:
Set-ProvScheme `
-ProvisioningSchemeName "catalog-name" `
-MachineProfile "XDHyp:\HostingUnits\hosting-unit-name\instanceTemplates.folder\instance-template-name.template" `
Set-ProvScheme con istanza VM come input del profilo macchina:
Set-ProvScheme `
-ProvisioningSchemeName "catalog-name" `
-MachineProfile "XDHyp:\HostingUnits\hosting-unit-name\vm-name.vm" `
Aggiornare le VM esistenti con etichette ereditate
Per aggiornare le VM esistenti con la sorgente del profilo macchina aggiornata, eseguire i seguenti comandi:
Set-ProvScheme
-
Set-ProvVMUpdateTimeWindow
. Per esempio:Set-ProvVMUpdateTimeWindow -ProvisioningSchemeName my-catalog -VMName <List-Of-Vm-Names> -StartsNow -DurationInMinutes -1
- Riavviare le VM.
Recupera informazioni per le etichette della VM e del disco di avvio
Dopo aver creato le VM, è possibile ottenere le informazioni sulla VM e sull’etichetta del disco di avvio utilizzando il comando Get-Item
con il parametro AdditionalData
.
Per recuperare le informazioni sull’etichetta della VM, eseguire il seguente comando:
(Get-Item XDHyp:\HostingUnits\hosting-unit-name\vm_name.vm).AdditionalData.Tags
Per recuperare le informazioni sull’etichetta del disco di avvio, eseguire il seguente comando:
(Get-Item XDHyp:\HostingUnits\hosting-unit-name\vm_name.vm\bootdisk-name.attacheddisk).AdditionalData.Tags
Nota:
Per mantenere la coerenza tra i vari hypervisor, abbiamo utilizzato il termine Tag per visualizzare le etichette GCP.
Rimuovere una VM
Puoi scegliere di rimuovere una VM da un catalogo ma non di eliminarla da GCP. In questo caso, le etichette Citrix vengono rimosse solo dalla VM. Tutte le altre etichette aggiunte non vengono eliminate dalla VM. È possibile rimuovere una macchina virtuale da Studio o utilizzare i comandi di PowerShell.
Utilizzo di Studio
- Selezionare la VM e fare clic con il pulsante destro del mouse.
- Fai clic su Elimina.
- Seleziona Rimuovi le macchine virtuali dal catalogo ma non eliminare le macchine virtuali.
Utilizzo dei comandi di PowerShell
Esegui Remove-ProvVM
con il parametro ForgetVM
. Per ulteriori informazioni, vedere la documentazione SDK Remove-ProvVM.
Mercato di Google Cloud
È possibile sfogliare e selezionare le immagini offerte da Citrix su Google Cloud Marketplace per creare cataloghi di macchine. Attualmente, MCS supporta solo il flusso di lavoro del profilo macchina per questa funzione.
Per cercare il prodotto Citrix VDA VM tramite Google Cloud Marketplace, vai a https://console.cloud.google.com/marketplace/.
È possibile utilizzare un’immagine personalizzata o un’immagine compatibile con Citrix su Google Cloud Marketplace per aggiornare un’immagine di un catalogo macchine.
Nota:
Se il profilo macchina non contiene informazioni sul tipo di archiviazione, il valore viene ricavato dalle proprietà personalizzate.
Le immagini supportate da Google Cloud Marketplace sono:
- Windows 2019 sessione singola
- Windows 2019 Multi Session
- Ubuntu
Esempio di utilizzo di un’immagine pronta per Citrix come origine per la creazione di un catalogo macchine:
New-ProvScheme -ProvisioningSchemeName GCPCatalog \
-HostingUnitName GcpHu -IdentityPoolName gcpPool -CleanOnBoot \
-MasterImageVM XDHyp:\HostingUnits\GcpHu\images.folder\citrix-daas-win2019-single-vda-v20220819.publicimage \
-MachineProfile XDHyp:\HostingUnits\GcpHu\Base.vm
Dove andare dopo
- Se questo è il primo catalogo creato, verrai guidato a creare un gruppo di distribuzione.
- Per rivedere l’intero processo di configurazione, vedere Pianificare e creare una distribuzione.
- Per gestire i cataloghi, vedere Gestire i cataloghi delle macchine e Gestire un catalogo di Google Cloud Platform.
Ulteriori informazioni
In questo articolo
- Preparare un’istanza VM master e un disco persistente
- Abilita selezione zona
- Creare un catalogo macchine
- Importare macchine Google Cloud create manualmente
- Cloud privato virtuale condiviso
- Utilizzare le chiavi di crittografia gestite dal cliente (CMEK)
- Compatibilità uniforme dell’accesso a livello di bucket
- Utilizzare PowerShell
- Crea un catalogo con disco cache write-back persistente
- Creazione di un catalogo macchine utilizzando un profilo macchina
- Crea un catalogo macchine con il profilo macchina come modello di istanza
- Crea un catalogo con VM schermata
- Crea VM Windows 11 sul nodo single-tenant
- VM e dischi con etichette ereditate
- Mercato di Google Cloud
- Dove andare dopo
- Ulteriori informazioni