Ambienti Google Cloud
Citrix DaaS (precedentemente chiamato servizio Citrix Virtual Apps and Desktops) consente di effettuare il provisioning delle macchine su Google Cloud e gestirle.
Requisiti
- Account Citrix Cloud. La funzionalità descritta in questo articolo è disponibile solo in Citrix Cloud.
- Sottoscrizione a Citrix DaaS. Per ulteriori informazioni, consultare Per iniziare.
- Un progetto Google Cloud. Il progetto memorizza tutte le risorse di elaborazione associate al catalogo delle macchine. Può essere un progetto esistente o nuovo.
- Abilitare quattro API nel progetto Google Cloud. Per i dettagli, consultare Abilitare le API di Google Cloud.
- Account del servizio Google Cloud. L’account del servizio si autentica su Google Cloud per consentire l’accesso al progetto. Per informazioni dettagliate, vedere Configurare e aggiornare gli account di servizio.
- Abilitare l’accesso privato di Google. Per i dettagli, consultare Abilitare l’accesso privato di Google.
Abilitare le API di Google Cloud
Per utilizzare la funzionalità Google Cloud tramite l’interfaccia Full Configuration (Configurazione completa) di Citrix Virtual Apps and Desktops, abilitare queste API nel progetto Google Cloud:
- API di Compute Engine
- API di Cloud Resource Manager
- API di Gestione delle identità e degli accessi (IAM)
- API Cloud Build
Dalla console di Google Cloud, completare questi passaggi:
-
Nel menu in alto a sinistra, selezionare API e servizi > Dashboard.
-
Nella schermata Dashboard, assicurarsi che l’API Compute Engine sia abilitata. In caso contrario, attenersi alla seguente procedura:
-
Andare ad API e servizi > Libreria.
-
Nella casella di ricerca, digitare Compute Engine.
-
Dai risultati della ricerca, selezionare Compute Engine API (API Compute Engine).
-
Nella pagina Compute Engine API (API Compute Engine), selezionare Abilita.
-
-
Abilitare l’API Cloud Resource Manager.
-
Andare ad API e servizi > Libreria.
-
Nella casella di ricerca, digitare Cloud Resource Manager.
-
Dai risultati della ricerca, selezionare Cloud Resource Manager API (API Cloud Resource Manager).
-
Nella pagina Cloud Resource Manager API (API Cloud Resource Manager), selezionare Abilita. Viene visualizzato lo stato dell’API.
-
-
Allo stesso modo, abilitare Identity and Access Management (IAM) API (API Gestione dell’identità e degli accessi [IAM]) e Cloud Build API (API Cloud Build).
È anche possibile utilizzare Google Cloud Shell per abilitare le API. A questo scopo:
- Aprire la Google Console e caricare Cloud Shell.
-
Eseguire i seguenti quattro comandi in Cloud Shell:
- gcloud services enable compute.googleapis.com
- gcloud services enable cloudresourcemanager.googleapis.com
- gcloud services enable iam.googleapis.com
- gcloud services enable cloudbuild.googleapis.com
- Fare clic su Authorize se richiesto da Cloud Shell.
Configurare e aggiornare gli account di servizio
Citrix Cloud utilizza tre account di servizio separati all’interno del progetto Google Cloud:
-
Account di servizio Citrix Cloud: questo account di servizio consente a Citrix Cloud di accedere al progetto Google, di effettuare il provisioning e di gestire le macchine. L’account Google Cloud esegue l’autenticazione su Citrix Cloud utilizzando una chiave generata da Google Cloud.
È necessario creare questo account di servizio manualmente.
È possibile identificare questo account di servizio con un indirizzo e-mail. Ad esempio,
<my-service-account>@<project-id>.iam.gserviceaccount.com
.Ogni account (personale o di servizio) ha diversi ruoli che definiscono la gestione del progetto. Assegnare i seguenti ruoli a questo account di servizio:
- Amministratore Compute
- Amministratore Storage
- Editor Cloud Build
- Utente account di servizio
- Utente di Cloud Datastore
-
Account del servizio Cloud Build: questo account di servizio viene fornito automaticamente dopo aver abilitato tutte le API menzionate in Enable Google Cloud APIs (Abilita le API di Google Cloud).
È possibile identificare questo account di servizio tramite un indirizzo e-mail che inizia con l’ID del progetto e la parola cloudbuild. Ad esempio,
<project-id>@cloudbuild.gserviceaccount.com
Assegnare i seguenti ruoli a questo account di servizio:
- Account del servizio Cloud Build
- Amministratore istanze Compute
- Utente account di servizio
-
Account del servizio Cloud Compute: questo account di servizio viene aggiunto da Google Cloud alle istanze create in Google Cloud una volta attivata l’API Compute. Questo account ha il ruolo di editor di base IAM per eseguire le operazioni. Tuttavia, se si elimina l’autorizzazione predefinita per avere un controllo più granulare, è necessario aggiungere il ruolo Storage Admin che richiede le seguenti autorizzazioni:
- resourcemanager.projects.get
- storage.objects.create
- storage.objects.get
- storage.objects.list
È possibile identificare questo account di servizio tramite un indirizzo e-mail che inizia con l’ID del progetto e la parola compute. Ad esempio, <project-id>-compute@developer.gserviceaccount.com
.
Creare un account Citrix Cloud Service
Per creare un account Citrix Cloud Service, effettuare le seguenti operazioni:
- Nella console di Google Cloud, andare a IAM e amministrazione > Account di servizio.
- Nella pagina Account di servizio, selezionare CREA ACCOUNT DI SERVIZIO.
- Nella pagina Create service account (Crea account di servizio), immettere le informazioni richieste e quindi selezionare CREATE AND CONTINUE (CREA E CONTINUA).
-
Nella pagina Grant this service account access to project (Concedi a questo account di servizio l’accesso al progetto), fare clic sul menu a discesa Select a role (Seleziona un ruolo) e selezionare i ruoli richiesti. Fare clic su +ADD ANOTHER ROLE (+AGGIUNGI UN ALTRO RUOLO) se si desidera aggiungere altri ruoli.
Nota:
Abilitare tutte le API per ottenere l’elenco completo dei ruoli disponibili durante la creazione di un nuovo account di servizio.
- Fare clic su CONTINUE (Continua).
- Nella pagina Grant users access to this service account (Concedi agli utenti l’accesso a questo account di servizio), aggiungere utenti o gruppi per concedere loro l’accesso necessario per eseguire azioni in questo account di servizio.
- Fare clic su DONE (Fine).
- Accedere alla console principale di IAM.
- Identificare l’account di servizio creato.
- Confermare che i ruoli sono stati assegnati correttamente.
Considerazioni:
Quando si crea l’account di servizio, tendere in considerazione quanto segue:
-
I passaggi Grant this service account access to project (Concedi a questo account di servizio l’accesso al progetto) e Grant users access to this service account (Consenti agli utenti l’accesso a questo account di servizio) sono facoltativi. Se si sceglie di saltare questi passaggi di configurazione facoltativi, l’account di servizio appena creato non viene visualizzato nella pagina IAM e amministrazione > IAM.
-
Per visualizzare i ruoli associati a un account di servizio, aggiungere i ruoli senza saltare i passaggi facoltativi. Questo processo garantisce la visualizzazione dei ruoli per l’account di servizio configurato.
Chiave dell’account Citrix Cloud Service
Quando si crea un account di servizio, è disponibile un’opzione per creare una chiave per l’account. Questa chiave è necessaria per creare una connessione in Citrix DaaS. La chiave è contenuta in un file di credenziali (.json). Il file viene scaricato e salvato automaticamente nella cartella Download dopo aver creato la chiave. Quando si crea la chiave, assicurarsi di impostare il tipo di chiave su JSON. In caso contrario, l’interfaccia Full Configuration (Configurazione completa) di Citrix non può analizzarla.
Suggerimento:
Creare chiavi utilizzando la pagina Account di servizio nella console di Google Cloud. Si consiglia di cambiare le chiavi regolarmente per motivi di sicurezza. È possibile fornire nuove chiavi all’applicazione Citrix Virtual Apps and Desktops modificando una connessione Google Cloud esistente.
Aggiungere ruoli all’account Citrix Cloud Service
Per aggiungere ruoli all’account Citrix Cloud Service:
- Nella console di Google Cloud, andare a IAM e amministrazione > IAM.
-
Nella pagina IAM > PERMISSIONS (AUTORIZZAZIONI), individuare l’account di servizio creato, identificabile con un indirizzo e-mail.
Ad esempio,
<my-service-account>@<project-id>.iam.gserviceaccount.com
- Selezionare l’icona a forma di matita per modificare l’accesso al principale dell’account del servizio.
- Nella pagina Edit access to “project-id” (Modifica accesso a “project-id”) per l’opzione principale selezionata, selezionare ADD ANOTHER ROLE (AGGIUNGI UN ALTRO RUOLO) per aggiungere i ruoli richiesti al proprio account di servizio uno per uno, quindi selezionare SAVE (SALVA).
Aggiungere ruoli all’account di servizio Cloud Build
Per aggiungere ruoli all’account di servizio Cloud Build:
- Nella console di Google Cloud, andare a IAM e amministrazione > IAM.
-
Nella pagina IAM, individuare l’account di servizio Cloud Build, identificabile con un indirizzo e-mail che inizia con l’ID del progetto e la parola cloudbuild.
Ad esempio,
<project-id>@cloudbuild.gserviceaccount.com
- Selezionare l’icona a forma di matita per modificare i ruoli dell’account Cloud Build.
-
Nella pagina Edit access to “project-id” (Modifica accesso a “project-id”) per l’opzione principale selezionata, selezionare ADD ANOTHER ROLE (AGGIUNGI UN ALTRO RUOLO) per aggiungere i ruoli richiesti al proprio account di servizio Cloud Build uno per uno, quindi selezionare SAVE (SALVA).
Nota:
Abilitare tutte le API per ottenere l’elenco completo dei ruoli.
Permessi di archiviazione e gestione dei bucket
Citrix DaaS migliora il processo di segnalazione degli errori di compilazione del cloud per il servizio Google Cloud. Questo servizio esegue le compilazioni su Google Cloud. Citrix DaaS crea un bucket di archiviazione denominato citrix-mcs-cloud-build-logs-{region}-{5 random characters}
in cui i servizi Google Cloud acquisiscono le informazioni dei log di compilazione. In questo bucket è impostata un’opzione che elimina i contenuti dopo un periodo di 30 giorni. Questo processo richiede che l’account di servizio utilizzato per la connessione abbia le autorizzazioni di Google Cloud impostate su storage.buckets.update
. Se l’account del servizio non dispone di questa autorizzazione, Citrix DaaS ignora gli errori e procede con il processo di creazione del catalogo. Senza questa autorizzazione, la dimensione dei log di compilazione aumenta e richiede una pulizia manuale.
Abilitare l’accesso privato a Google
Quando una macchina virtuale non ha un indirizzo IP esterno assegnato alla relativa interfaccia di rete, i pacchetti vengono inviati solo ad altre destinazioni di indirizzi IP interni. Quando si abilita l’accesso privato, la macchina virtuale si connette all’insieme di indirizzi IP esterni utilizzati dall’API Google e dai servizi associati.
Nota:
Se l’accesso privato a Google è abilitato, tutte le macchine virtuali con e senza indirizzi IP pubblici devono essere in grado di accedere alle API pubbliche di Google, soprattutto se nell’ambiente sono stati installati dispositivi di rete di terze parti.
Per assicurare che una macchina virtuale nella subnet possa accedere alle API Google senza un indirizzo IP pubblico per il provisioning MCS:
- In Google Cloud, accedere alla configurazione della rete VPC.
- Nella schermata dei dettagli della subnet, attivare Private Google access (Accesso privato a Google).
Per ulteriori informazioni, consultare Configurazione dell’accesso privato a Google.
Importante:
Se la rete è configurata per impedire l’accesso delle macchine virtuali a Internet, assicurarsi che l’organizzazione si assuma i rischi associati all’abilitazione dell’accesso privato a Google per la subnet a cui è connessa la macchina virtuale.
Passaggi successivi
- Per una semplice distribuzione Proof of Concept (POC), installare un VDA su una macchina che distribuirà app o desktop agli utenti.
- Per informazioni su come creare e gestire una connessione, vedere Connessione agli ambienti cloud di Google.
- Esaminare tutti i passaggi del processo di installazione e configurazione.