Citrix DaaS

Ambientes de virtualização do Google Cloud

O Citrix DaaS (antigo serviço Citrix Virtual Apps and Desktops) permite provisionar e gerenciar máquinas no Google Cloud.

Pré-requisitos

Antes de começar a provisionar as VMs para o Google Cloud Platform (GCP), verifique se os seguintes pré-requisitos foram atendidos.

  1. A assinatura da Citrix deve incluir suporte para cargas de trabalho híbridas de várias nuvens. Para obter mais informações, consulte Compare os recursos de assinatura da Citrix.
  2. A conta de administrador deve ter permissões suficientes para criar conexões de host, catálogos de máquinas e grupos de entrega. Para obter mais informações, consulte Configurar administração delegada.
  3. Identifique um projeto do Google Cloud, no qual todos os recursos de computação associados ao catálogo de máquinas são armazenados. Pode ser um projeto existente ou um novo. Para obter mais informações, consulte Projetos do Google Cloud.
  4. Ative as APIs do Google Cloud necessárias para a integração com o Citrix DaaS. Para obter mais informações, consulte Ativar as APIs do Google Cloud.
  5. Crie as contas de serviço no Google Cloud e conceda as permissões apropriadas. Para obter mais informações, consulte Configurar e atualizar contas de serviço.
  6. Baixe o arquivo de chave para a conta do Citrix Cloud Service. Para obter mais informações, consulte Chave da conta do Citrix Cloud Service.
  7. As máquinas virtuais precisam ter acesso às APIs do Google sem um endereço IP público. Para obter mais informações, consulte Ativar o acesso privado do Google.

Projetos do Google Cloud

Existem basicamente dois tipos de projetos do Google Cloud:

  • Projeto de provisionamento: nesse caso, a conta de administrador atual possui as máquinas provisionadas no projeto. Este projeto também é conhecido como um projeto local.
  • Projeto de VPC compartilhada: projeto no qual as máquinas criadas no projeto de provisionamento usam a VPC do projeto de VPC compartilhada. A conta de administrador usada para provisionar projetos tem permissões limitadas neste projeto, especificamente, apenas permissões para usar a VPC.

URLs de ponto de extremidade de serviço

Você deve ter acesso aos seguintes URLs:

  • https://oauth2.googleapis.com
  • https://cloudresourcemanager.googleapis.com
  • https://compute.googleapis.com
  • https://storage.googleapis.com
  • https://cloudbuild.googleapis.com

Ativar as APIs do Google Cloud

Para usar a funcionalidade do Google Cloud por meio do Studio, ative estas APIs no seu projeto do Google Cloud:

  • Compute Engine API
  • Cloud Resource Manager API
  • API de gerenciamento de identidade e acesso (IAM)
  • Cloud Build API

No Console do Google Cloud, siga estas etapas:

  1. No menu superior esquerdo, selecione APIs e serviços > APIs habilitadas & Serviços.
  2. No APIs habilitadas & Serviços , verifique se a API Compute Engine está ativada. Caso contrário, siga estas etapas:

    1. Navegue até APIs e serviços > Biblioteca.
    2. Na caixa de pesquisa, digite Mecanismo de computação.
    3. Nos resultados da pesquisa, selecione Compute Engine API.
    4. No Compute Engine API , selecione Habilitar.
  3. Habilite a API Cloud Resource Manager.
    1. Navegue até APIs e serviços > Biblioteca.
    2. Na caixa de pesquisa, digite Gerenciador de Recursos de Nuvem.
    3. Nos resultados da pesquisa, selecione Cloud Resource Manager API.
    4. No Cloud Resource Manager API , selecione Habilitar. O status da API é exibido.
  4. Da mesma forma, habilite API de gerenciamento de identidade e acesso (IAM) e Cloud Build APIe API do Serviço de Gerenciamento de Chaves na Nuvem (KMS).

Você também pode usar o Google Cloud Shell para ativar as APIs. Para fazer isso:

  1. Abra o Google Console e carregue o Cloud Shell.
  2. Execute os quatro comandos a seguir no Cloud Shell:

    • Os serviços gcloud ativam compute.googleapis.com
    • Os serviços do gcloud ativam cloudresourcemanager.googleapis.com
    • Os serviços gcloud ativam iam.googleapis.com
    • Os serviços gcloud ativam cloudbuild.googleapis.com
    • Os serviços gcloud ativam cloudkms.googleapis.com
  3. Clique Autorizar quando o Cloud Shell solicitar.

Configurar e atualizar contas de serviço

Observação:

O GCP está introduzindo mudanças no comportamento padrão do Cloud Build Service e no uso de contas de serviço após 29 de abril de 2024. Para obter mais informações, consulte Alteração da conta do serviço Cloud Build. Seus projetos existentes do Google com a API Cloud Build ativada antes de 29 de abril de 2024 não serão afetados por essa mudança. No entanto, se você quiser ter um comportamento existente do Cloud Build Service após 29 de abril, poderá criar ou aplicar a política da organização para desativar a aplicação de restrições antes de ativar a API Cloud Build. Como resultado, o seguinte conteúdo é dividido em dois: Antes de 29 de abril de 2024 e Após 29 de abril de 2024. Se você definir a nova política da organização, siga a seção Antes de 29 de abril de 2024.

Antes de 29 de abril de 2024

O Citrix Cloud usa três contas de serviço separadas no projeto do Google Cloud:

  • Conta do Citrix Cloud Service: Essa conta de serviço permite que o Citrix Cloud acesse o projeto, provisione e gerencie máquinas do Google. Essa conta de serviço é autenticada no Google Cloud usando um chave gerado pelo Google Cloud.

    Você deve criar essa conta de serviço manualmente, conforme descrito aqui. Para obter mais informações, consulte Criar uma conta do Citrix Cloud Service.

    Você pode identificar essa conta de serviço com um endereço de e-mail. Por exemplo <my-service-account>@<project-id>.iam.gserviceaccount.com.

  • Conta de serviço do Cloud Build: essa conta de serviço é provisionada automaticamente depois que você habilita todas as APIs mencionadas em Ativar as APIs do Google Cloud. Para exibir todas as contas de serviço criadas automaticamente, navegue até IAM & Admin > IAM No Google Cloud e selecione o ícone Incluir concessões de função fornecidas pelo Google caixa de seleção.

    Você pode identificar essa conta de serviço por um endereço de e-mail que comece com o ID do projeto e a palavra construção de nuvem. Por exemplo <project-id>@cloudbuild.gserviceaccount.com

    Verifique se a conta de serviço recebeu as seguintes funções. Se você precisar adicionar funções, siga as etapas descritas em Adicionar funções à conta de serviço do Cloud Build.

    • Conta de serviço do Cloud Build
    • Administrador da instância de computação
    • Usuário da conta de serviço
  • Conta de serviço de computação em nuvem: essa conta de serviço é adicionada pelo Google Cloud às instâncias criadas no Google Cloud depois que a API Compute é ativada. Essa conta tem a função de editor básico do IAM para fazer as operações. No entanto, se você excluir a permissão padrão para ter um controle mais granular, deverá adicionar um Administrador de armazenamento que requer as seguintes permissões:

    • resourcemanager.projects.get
    • armazenamento.objects.create
    • armazenamento.objects.get
    • armazenamento.objects.list

Você pode identificar essa conta de serviço por um endereço de e-mail que comece com o ID do projeto e a palavra calcular. Por exemplo <project-id>-compute@developer.gserviceaccount.com.

Criar uma conta do Citrix Cloud Service

Para criar uma conta do Citrix Cloud Service, siga estas etapas:

  1. No Console do Google Cloud, navegue até IAM & Admin > Contas de serviço.
  2. No Contas de serviço , selecione CRIAR CONTA DE SERVIÇO.
  3. No Criar conta de serviço , insira as informações necessárias e selecione CRIAR E CONTINUAR.
  4. No Conceder a esta conta de serviço acesso ao projeto , clique no ícone Selecione uma função menu suspenso e selecione as funções necessárias. Clique +ADICIONAR OUTRA FUNÇÃO se você quiser adicionar mais funções.

    Cada conta (pessoal ou de serviço) tem várias funções que definem o gerenciamento do projeto. Conceda as seguintes funções a essa conta de serviço:

    • Administrador de computação
    • Administrador de armazenamento
    • Editor de compilação do Cloud
    • Usuário da conta de serviço
    • Usuário do Cloud Datastore
    • Operador de criptografia do Cloud KMS

    O operador de criptografia do Cloud KMS requer as seguintes permissões:

    • cloudkms.cryptoKeys.get
    • cloudkms.cryptoKeys.list
    • cloudkms.keyRings.get
    • cloudkms.keyRings.list
    • cloudkms.cryptoKeyVersions.useToDecrypt
    • cloudkms.cryptoKeyVersions.useToEncrypt

    Observação:

    Habilite todas as APIs para obter a lista completa de funções disponíveis ao criar uma nova conta de serviço.

  5. Clique CONTINUAR
  6. No Conceder aos usuários acesso a esta conta de serviço , adicione usuários ou grupos para conceder a eles acesso para realizar ações nesta conta de serviço.
  7. Clique TERMINADO.
  8. Navegue até o console principal do IAM.
  9. Identifique a conta de serviço criada.
  10. Valide se as funções foram atribuídas com êxito.

Considerações:

Ao criar a conta de serviço, considere o seguinte:

  • Os passos Conceder a esta conta de serviço acesso ao projeto e Conceder aos usuários acesso a esta conta de serviço são opcionais. Se você optar por ignorar essas etapas de configuração opcionais, a conta de serviço recém-criada não será exibida na página IAM & Admin > IAM página.
  • Para exibir funções associadas a uma conta de serviço, adicione as funções sem ignorar as etapas opcionais. Esse processo garante que as funções apareçam para a conta de serviço configurada.

Chave da conta do Citrix Cloud Service

A chave da conta do Citrix Cloud Service é necessária para criar uma conexão no Citrix DaaS. A chave está contida em um arquivo de credencial (.json). O arquivo é baixado automaticamente e salvo no arquivo Downloads depois de criar a chave. Ao criar a chave, certifique-se de definir o tipo de chave como JSON. Caso contrário, o Studio não poderá analisá-lo.

Para criar uma chave de conta de serviço, navegue até IAM & Admin > Contas de serviço e clique no endereço de e-mail da conta do Citrix Cloud Service. Alterne para o Chaves e selecione Adicionar chave > Criar nova chave. Certifique-se de selecionar JSON como o tipo de chave.

Dica:

Crie chaves usando o Contas de serviço no console do Google Cloud. Recomendamos que você troque as chaves regularmente por motivos de segurança. Você pode fornecer novas chaves para o aplicativo Citrix Virtual Apps and Desktops editando uma conexão existente do Google Cloud.

Adicionar funções à conta do Citrix Cloud Service

Para adicionar funções à conta do Citrix Cloud Service:

  1. No Console do Google Cloud, navegue até IAM & Admin > IAM.
  2. No IAM > PERMISSÕES , localize a conta de serviço que você criou, identificável com um endereço de e-mail.

    Por exemplo <my-service-account>@<project-id>.iam.gserviceaccount.com

  3. Selecione o ícone de lápis para editar o acesso à entidade de segurança da conta de serviço.
  4. No Editar acesso a “project-id” para a opção principal selecionada, selecione ADICIONAR OUTRA FUNÇÃO para adicionar as funções necessárias à sua conta de serviço, uma a uma, e selecione SALVAR.

Adicionar funções à conta de serviço do Cloud Build

Para adicionar funções à conta de serviço do Cloud Build:

  1. No Console do Google Cloud, navegue até IAM & Admin > IAM.
  2. No IAM , localize a conta de serviço do Cloud Build, identificável com um endereço de e-mail que começa com o ID do projeto e a palavra construção de nuvem.

    Por exemplo <project-id>@cloudbuild.gserviceaccount.com

  3. Selecione o ícone de lápis para editar as funções da conta do Cloud Build.
  4. No Editar acesso à página “project-id” Para a opção principal selecionada, selecione ADICIONAR OUTRA FUNÇÃO para adicionar as funções necessárias à sua conta de serviço do Cloud Build uma a uma e selecione SALVAR.

    Observação:

    Habilite todas as APIs para obter a lista completa de funções.

Após 29 de abril de 2024

O Citrix Cloud usa duas contas de serviço separadas no projeto do Google Cloud:

  • Conta do Citrix Cloud Service: Essa conta de serviço permite que o Citrix Cloud acesse o projeto, provisione e gerencie máquinas do Google. Essa conta de serviço é autenticada no Google Cloud usando um chave gerado pelo Google Cloud.

    Você deve criar essa conta de serviço manualmente.

    Você pode identificar essa conta de serviço com um endereço de e-mail. Por exemplo <my-service-account>@<project-id>.iam.gserviceaccount.com.

  • Conta de serviço de computação em nuvem: essa conta de serviço é provisionada automaticamente depois que você habilita todas as APIs mencionadas em Ativar as APIs do Google Cloud. Para exibir todas as contas de serviço criadas automaticamente, navegue até IAM & Admin > IAM No Google Cloud e selecione o ícone Incluir concessões de função fornecidas pelo Google caixa de seleção. Essa conta tem a função de editor básico do IAM para fazer as operações. No entanto, se você excluir a permissão padrão para ter um controle mais granular, deverá adicionar Administrador de armazenamento que requer as seguintes permissões:

    • resourcemanager.projects.get
    • armazenamento.objects.create
    • armazenamento.objects.get
    • armazenamento.objects.list

    Você pode identificar essa conta de serviço por um endereço de e-mail que comece com o ID do projeto e a palavra calcular. Por exemplo <project-id>-compute@developer.gserviceaccount.com.

    Verifique se a conta de serviço recebeu as seguintes funções.

    • Conta de serviço do Cloud Build
    • Administrador da instância de computação
    • Usuário da conta de serviço

Criar uma conta do Citrix Cloud Service

Para criar uma conta do Citrix Cloud Service, siga estas etapas:

  1. No Console do Google Cloud, navegue até IAM & Admin > Contas de serviço.
  2. No Contas de serviço , selecione CRIAR CONTA DE SERVIÇO.
  3. No Criar conta de serviço , insira as informações necessárias e selecione CRIAR E CONTINUAR.
  4. No Conceder a esta conta de serviço acesso ao projeto , clique no ícone Selecione uma função menu suspenso e selecione as funções necessárias. Clique +ADICIONAR OUTRA FUNÇÃO se você quiser adicionar mais funções.

    Cada conta (pessoal ou de serviço) tem várias funções que definem o gerenciamento do projeto. Conceda as seguintes funções a essa conta de serviço:

    • Administrador de computação
    • Administrador de armazenamento
    • Editor de compilação do Cloud
    • Usuário da conta de serviço
    • Usuário do Cloud Datastore
    • Operador de criptografia do Cloud KMS

    O operador de criptografia do Cloud KMS requer as seguintes permissões:

    • cloudkms.cryptoKeys.get
    • cloudkms.cryptoKeys.list
    • cloudkms.keyRings.get
    • cloudkms.keyRings.list

    Observação:

    Habilite todas as APIs para obter a lista completa de funções disponíveis ao criar uma nova conta de serviço.

  5. Clique CONTINUAR
  6. No Conceder aos usuários acesso a esta conta de serviço , adicione usuários ou grupos para conceder a eles acesso para realizar ações nesta conta de serviço.
  7. Clique TERMINADO.
  8. Navegue até o console principal do IAM.
  9. Identifique a conta de serviço criada.
  10. Valide se as funções foram atribuídas com êxito.

Considerações:

Ao criar a conta de serviço, considere o seguinte:

  • Os passos Conceder a esta conta de serviço acesso ao projeto e Conceder aos usuários acesso a esta conta de serviço são opcionais. Se você optar por ignorar essas etapas de configuração opcionais, a conta de serviço recém-criada não será exibida na página IAM & Admin > IAM página.
  • Para exibir funções associadas a uma conta de serviço, adicione as funções sem ignorar as etapas opcionais. Esse processo garante que as funções apareçam para a conta de serviço configurada.

Chave da conta do Citrix Cloud Service

A chave da conta do Citrix Cloud Service é necessária para criar uma conexão no Citrix DaaS. A chave está contida em um arquivo de credencial (.json). O arquivo é baixado automaticamente e salvo no arquivo Downloads depois de criar a chave. Ao criar a chave, certifique-se de definir o tipo de chave como JSON. Caso contrário, o Studio não poderá analisá-lo.

Para criar uma chave de conta de serviço, navegue até IAM & Admin > Contas de serviço e clique no endereço de e-mail da conta do Citrix Cloud Service. Alterne para o Chaves e selecione Adicionar chave > Criar nova chave. Certifique-se de selecionar JSON como o tipo de chave.

Dica:

Crie chaves usando o Contas de serviço no console do Google Cloud. Recomendamos que você troque as chaves regularmente por motivos de segurança. Você pode fornecer novas chaves para o aplicativo Citrix Virtual Apps and Desktops editando uma conexão existente do Google Cloud.

Adicionar funções à conta do Citrix Cloud Service

Para adicionar funções à conta do Citrix Cloud Service:

  1. No Console do Google Cloud, navegue até IAM & Admin > IAM.
  2. No IAM > PERMISSÕES , localize a conta de serviço que você criou, identificável com um endereço de e-mail.

    Por exemplo <my-service-account>@<project-id>.iam.gserviceaccount.com

  3. Selecione o ícone de lápis para editar o acesso à entidade de segurança da conta de serviço.
  4. No Editar acesso a “project-id” para a opção principal selecionada, selecione ADICIONAR OUTRA FUNÇÃO para adicionar as funções necessárias à sua conta de serviço, uma a uma, e selecione SALVAR.

Adicionar funções à conta de serviço do Cloud Compute

Para adicionar funções à conta de serviço do Cloud Compute:

  1. No Console do Google Cloud, navegue até IAM & Admin > IAM.
  2. No IAM , localize a Conta de Serviço do Cloud Compute, identificável com um endereço de e-mail que começa com o ID do projeto e a palavra calcular.

    Por exemplo <project-id>-compute@developer.gserviceaccount.com

  3. Selecione o ícone de lápis para editar as funções da conta do Cloud Build.
  4. No Editar acesso à página “project-id” Para a opção principal selecionada, selecione ADICIONAR OUTRA FUNÇÃO para adicionar as funções necessárias à sua conta de serviço do Cloud Build uma a uma e selecione SALVAR.

    Observação:

    Habilite todas as APIs para obter a lista completa de funções.

Permissões de armazenamento e gerenciamento de bucket

O Citrix DaaS melhora o processo de relatar falhas de compilação de nuvem para o Serviço do Google Cloud. Esse serviço é executado no Google Cloud. O Citrix DaaS cria um bucket de armazenamento chamado citrix-mcs-nuvem-build-logs-{region}-{5 random characters} em que os serviços do Google Cloud capturam informações de registro de compilação. Uma opção é definida nesse bucket que exclui o conteúdo após um período de 30 dias. Esse processo exige que a conta de serviço usada para a conexão tenha as permissões do Google Cloud definidas como armazenamento.buckets.update. Se a conta de serviço não tiver essa permissão, o Citrix DaaS ignorará os erros e continuará com o processo de criação do catálogo. Sem essa permissão, o tamanho dos logs de build aumenta e requer limpeza manual.

Ativar o acesso privado do Google

Quando uma VM não tem um endereço IP externo atribuído à sua interface de rede, os pacotes são enviados apenas para outros destinos de endereços IP internos. Quando você ativa o acesso privado, a VM se conecta ao conjunto de endereços IP externos usados pela API do Google e pelos serviços associados.

Observação:

Se o acesso privado do Google estiver ativado, todas as VMs com e sem endereços IP públicos precisarão acessar as APIs públicas do Google, especialmente se dispositivos de rede de terceiros tiverem sido instalados no ambiente.

Para garantir que uma VM na sua sub-rede possa acessar as APIs do Google sem um endereço IP público para o provisionamento do MCS:

  1. No Google Cloud, acesse o Configuração de rede VPC.
  2. Identifique as sub-redes usadas ou o ambiente Citrix no Sub-redes no projeto atual guia.
  3. Clique no nome das sub-redes e ative Acesso privado ao Google.

Para obter mais informações, consulte Como configurar o acesso privado do Google.

Importante:

Se sua rede estiver configurada para impedir o acesso da VM à Internet, verifique se sua organização assume os riscos associados à ativação do acesso privado do Google para a sub-rede à qual a VM está conectada.

Para onde ir a seguir

Mais informações