产品文档
Citrix DaaS
查看 PDF
感谢您提供反馈

这篇文章已经过机器翻译.放弃

  切换到英文

Google Cloud 虚拟化环境

January 28, 2025
投稿者: 
C

Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)允许您在 Google Cloud 上配置和管理计算机。

必备条件

在开始将 VM 置备到 Google Cloud Platform (GCP) 之前,必须确保满足以下先决条件。

  1. Citrix 订阅必须包括对混合多云工作负载的支持。 有关更多信息,请参阅 比较 Citrix 订阅功能.
  2. 管理员帐户必须具有足够的权限才能创建主机连接、计算机目录和交付组。 有关更多信息,请参阅 配置 Delegated Administration.
  3. 确定一个 Google Cloud 项目,其中存储了与计算机目录关联的所有计算资源。 它可以是现有项目或新项目。 有关更多信息,请参阅 Google Cloud 项目.
  4. 启用与 Citrix DaaS 集成所需的 Google Cloud API。 有关更多信息,请参阅 启用 Google Cloud API.
  5. 在 Google Cloud 中创建服务帐户并授予相应的权限。 有关更多信息,请参阅 配置和更新服务帐户.
  6. 下载 Citrix Cloud 服务帐户的密钥文件。 有关更多信息,请参阅 Citrix Cloud 服务帐户密钥.
  7. 虚拟机必须在没有公共 IP 地址的情况下有权访问 Google API。 有关更多信息,请参阅 启用专用 Google 访问.

Google Cloud 项目

Google Cloud 项目基本上有两种类型:

  • Provisioning project:在这种情况下,当前管理员帐户拥有项目中已置备的计算机。 此项目也称为本地项目。
  • 共享 VPC 项目:在 Provisioning 项目中创建的计算机使用共享 VPC 项目中的 VPC 的项目。 用于预置项目的管理员账户在此项目中具有有限的权限,具体而言,只有使用 VPC 的权限。

服务终端节点 URL

您必须有权访问以下 URL:

  • https://oauth2.googleapis.com
  • https://cloudresourcemanager.googleapis.com
  • https://compute.googleapis.com
  • https://storage.googleapis.com
  • https://cloudbuild.googleapis.com

启用 Google Cloud API

要通过 Studio 使用 Google Cloud 功能,请在 Google Cloud 项目中启用以下 API:

  • 计算引擎 API
  • 云资源管理器 API
  • 身份和访问管理 (IAM) API
  • 云构建 API

在 Google Cloud Console 中,完成以下步骤:

  1. 在左上角的菜单中,选择 API 和服务 > 已启用的 API & 服务业.

  2. 已启用的 API & 服务业 屏幕上,请确保已启用 Compute Engine API。 如果没有,请执行以下步骤:

    1. 导航到 API 和服务 > 图书馆.
    2. 在搜索框中,键入 计算引擎.
    3. 从搜索结果中,选择 计算引擎 API.
    4. 计算引擎 API 页面上,选择 使.
  3. 启用 Cloud Resource Manager API。
    1. 导航到 API 和服务 > 图书馆.
    2. 在搜索框中,键入 云资源管理器.
    3. 从搜索结果中,选择 云资源管理器 API.
    4. 云资源管理器 API 页面上,选择 使. 此时将显示 API 的状态。
  4. 同样,启用 身份和访问管理 (IAM) API云构建 API云密钥管理服务 (KMS) API.

您还可以使用 Google Cloud Shell 启用 API。 为此,您需要:

  1. 打开 Google 控制台并加载 Cloud Shell。

  2. 在 Cloud Shell 中运行以下 4 个命令:

    • gcloud 服务支持 compute.googleapis.com
    • gcloud 服务支持 cloudresourcemanager.googleapis.com
    • gcloud 服务支持 iam.googleapis.com
    • gcloud 服务支持 cloudbuild.googleapis.com
    • gcloud 服务支持 cloudkms.googleapis.com
  3. 点击 授权 当 Cloud Shell 提示时。

配置和更新服务帐户

注意:

GCP 将在 2024 年 4 月 29 日之后对 Cloud Build Service 的默认行为和服务帐号的使用进行更改。 有关详细信息,请参阅 Cloud Build Service 帐户变更。 在 2024 年 4 月 29 日之前启用了 Cloud Build API 的现有 Google 项目不受此变更的影响。 但是,如果您希望在 4 月 29 日之后拥有现有的 Cloud Build Service 行为,则可以在启用 Cloud Build API 之前创建或应用组织策略以禁用限制强制执行。 因此,以下内容分为两部分: 2024 年 4 月 29 日之前2024 年 4 月 29 日之后. 如果您设置了新的组织策略,请按照 2024 年 4 月 29 日之前.

2024 年 4 月 29 日之前

Citrix Cloud 在 Google Cloud 项目中使用三个单独的服务帐户:

  • Citrix Cloud 服务帐户:此服务帐户使 Citrix Cloud 能够访问 Google 项目、配置和管理计算机。 此服务帐号使用 钥匙 由 Google Cloud 生成。

    您必须按照此处所述手动创建此服务账户。 有关更多信息,请参阅 创建 Citrix Cloud 服务帐户.

    您可以使用电子邮件地址识别此服务账户。 例如 <my-service-account>@<project-id>.iam.gserviceaccount.com.

  • Cloud Build 服务帐户:在您启用 启用 Google Cloud API. 要查看所有自动创建的服务账户,请导航到 IAM & 管理 > IAM谷歌云 控制台,然后选择 包括 Google 提供的角色授权 复选框。

    您可以通过以 项目 ID 和单词 云构建. 例如 <project-id>@cloudbuild.gserviceaccount.com

    验证是否已向服务账户授予以下角色。 如果您必须添加角色,请按照 向 Cloud Build 服务帐户添加角色.

    • Cloud Build 服务帐户
    • 计算实例管理员
    • 服务帐户用户

  • 云计算服务账户:激活 Compute API 后,Google Cloud 会将此服务帐户添加到在 Google Cloud 中创建的实例中。 此账户具有执行操作的 IAM 基本编辑者角色。 但是,如果您删除默认权限以获得更精细的控制,则必须添加 存储管理员 需要以下权限的角色:

    • resourcemanager.projects.get
    • storage.objects.create
    • storage.objects.get
    • storage.objects.list

您可以通过以 项目 ID 和单词 计算. 例如 <project-id>-compute@developer.gserviceaccount.com.

创建 Citrix Cloud 服务帐户

要创建 Citrix Cloud 服务帐户,请执行以下步骤:

  1. 在 Google Cloud 控制台中,导航到 IAM & 管理 > 服务账户.
  2. 服务账户 页面上,选择 创建服务帐户.
  3. 创建服务帐户 页面上,输入所需信息,然后选择 创建并继续.

  4. 授予此服务帐户对项目的访问权限 页面上,单击 选择角色 下拉菜单,然后选择所需的角色。 点击 +添加其他角色 如果要添加更多角色。

    每个账户(个人账户或服务账户)都有定义项目管理的各种角色。 向此服务账户授予以下角色:

    • 计算管理员
    • 存储管理员
    • Cloud Build 编辑器
    • 服务帐户用户
    • Cloud Datastore 用户
    • Cloud KMS 加密运营商

    Cloud KMS Crypto Operator 需要以下权限:

    • cloudkms.cryptoKeys.get
    • cloudkms.cryptoKeys.list
    • cloudkms.keyRings.get
    • cloudkms.keyRings.list
    • cloudkms.cryptoKeyVersions.useToDecrypt
    • cloudkms.cryptoKeyVersions.useToEncrypt

    注意:

    启用所有 API 以获取创建新服务账户时可用角色的完整列表。

  5. 点击 继续
  6. 授予用户对此服务账户的访问权限 页面上,添加用户或组以授予他们在此服务账户中执行操作的权限。
  7. 点击 .
  8. 导航到 IAM 主控制台。
  9. 确定创建的服务帐户。
  10. 验证角色分配是否成功。

注意事项:

创建服务账户时,请考虑以下事项:

  • 步骤 授予此服务帐户对项目的访问权限授予用户对此服务账户的访问权限 是可选的。 如果您选择跳过这些可选配置步骤,则新创建的服务账户不会显示在 IAM & 管理 > IAM 页。
  • 要显示与服务账户关联的角色,请在不跳过可选步骤的情况下添加角色。 此过程可确保为配置的服务账户显示角色。

Citrix Cloud 服务帐户密钥

在 Citrix DaaS 中创建连接时,需要 Citrix Cloud 服务帐户密钥。 密钥包含在凭证文件 (.json) 中。 该文件将自动下载并保存到 下载 文件夹。 创建密钥时,请务必将密钥类型设置为 JSON。 否则,Studio 无法对其进行解析。

要创建服务帐户密钥,请导航到 IAM & 管理 > 服务账户 ,然后单击 Citrix Cloud 服务帐户的电子邮件地址。 切换到 钥匙 Tab 键,然后选择 添加键 > 创建新密钥. 请务必选择 JSON 格式 作为密钥类型。

提示:

使用 服务账户 页面上。 出于安全考虑,我们建议您定期更改密钥。 您可以通过编辑现有 Google Cloud 连接来向 Citrix Virtual Apps and Desktops 应用程序提供新密钥。

向 Citrix Cloud 服务帐户添加角色

要向 Citrix Cloud 服务帐户添加角色,请执行以下操作:

  1. 在 Google Cloud 控制台中,导航到 IAM & 管理 > IAM.

  2. IAM > 权限 页面上,找到您创建的服务账户,可通过电子邮件地址识别。

    例如 <my-service-account>@<project-id>.iam.gserviceaccount.com

  3. 选择铅笔图标以编辑对服务账户委托人的访问权限。
  4. 对“project-id”的编辑访问权限 页面上,选择 添加其他角色 将所需的角色逐个添加到您的服务账户,然后选择 .

向 Cloud Build 服务帐户添加角色

要向 Cloud Build 服务账户添加角色,请执行以下操作:

  1. 在 Google Cloud 控制台中,导航到 IAM & 管理 > IAM.

  2. IAM 页面上,找到 Cloud Build 服务帐户,该帐户可通过以 项目 ID 和单词 云构建.

    例如 <project-id>@cloudbuild.gserviceaccount.com

  3. 选择铅笔图标以编辑 Cloud Build 帐户角色。

  4. 编辑对 “project-id” 页面的访问权限 对于 selected principal (所选委托人) 选项,选择 添加其他角色 将所需角色逐个添加到您的 Cloud Build 服务账户,然后选择 .

    注意:

    启用所有 API 以获取完整的角色列表。

2024 年 4 月 29 日之后

Citrix Cloud 在 Google Cloud 项目中使用两个单独的服务帐户:

  • Citrix Cloud 服务帐户:此服务帐户使 Citrix Cloud 能够访问 Google 项目、配置和管理计算机。 此服务帐号使用 钥匙 由 Google Cloud 生成。

    您必须手动创建此服务帐户。

    您可以使用电子邮件地址识别此服务账户。 例如 <my-service-account>@<project-id>.iam.gserviceaccount.com.

  • 云计算服务账户:在您启用 启用 Google Cloud API. 要查看所有自动创建的服务账户,请导航到 IAM & 管理 > IAM谷歌云 控制台,然后选择 包括 Google 提供的角色授权 复选框。 此账户具有执行操作的 IAM 基本编辑者角色。 但是,如果您删除默认权限以获得更精细的控制,则必须添加 存储管理员 需要以下权限的角色:

    • resourcemanager.projects.get
    • storage.objects.create
    • storage.objects.get
    • storage.objects.list

    您可以通过以 项目 ID 和单词 计算. 例如 <project-id>-compute@developer.gserviceaccount.com。

    验证是否已向服务账户授予以下角色。

    • Cloud Build 服务帐户
    • 计算实例管理员
    • 服务帐户用户

创建 Citrix Cloud 服务帐户

要创建 Citrix Cloud 服务帐户,请执行以下步骤:

  1. 在 Google Cloud 控制台中,导航到 IAM & 管理 > 服务账户.
  2. 服务账户 页面上,选择 创建服务帐户.
  3. 创建服务帐户 页面上,输入所需信息,然后选择 创建并继续.

  4. 授予此服务帐户对项目的访问权限 页面上,单击 选择角色 下拉菜单,然后选择所需的角色。 点击 +添加其他角色 如果要添加更多角色。

    每个账户(个人账户或服务账户)都有定义项目管理的各种角色。 向此服务账户授予以下角色:

    • 计算管理员
    • 存储管理员
    • Cloud Build 编辑器
    • 服务帐户用户
    • Cloud Datastore 用户
    • Cloud KMS 加密运营商

    Cloud KMS Crypto Operator 需要以下权限:

    • cloudkms.cryptoKeys.get
    • cloudkms.cryptoKeys.list
    • cloudkms.keyRings.get
    • cloudkms.keyRings.list

    注意:

    启用所有 API 以获取创建新服务账户时可用角色的完整列表。

  5. 点击 继续
  6. 授予用户对此服务账户的访问权限 页面上,添加用户或组以授予他们在此服务账户中执行操作的权限。
  7. 点击 .
  8. 导航到 IAM 主控制台。
  9. 确定创建的服务帐户。
  10. 验证角色分配是否成功。

注意事项:

创建服务账户时,请考虑以下事项:

  • 步骤 授予此服务帐户对项目的访问权限授予用户对此服务账户的访问权限 是可选的。 如果您选择跳过这些可选配置步骤,则新创建的服务账户不会显示在 IAM & 管理 > IAM 页。
  • 要显示与服务账户关联的角色,请在不跳过可选步骤的情况下添加角色。 此过程可确保为配置的服务账户显示角色。

Citrix Cloud 服务帐户密钥

在 Citrix DaaS 中创建连接时,需要 Citrix Cloud 服务帐户密钥。 密钥包含在凭证文件 (.json) 中。 该文件将自动下载并保存到 下载 文件夹。 创建密钥时,请务必将密钥类型设置为 JSON。 否则,Studio 无法对其进行解析。

要创建服务帐户密钥,请导航到 IAM & 管理 > 服务账户 ,然后单击 Citrix Cloud 服务帐户的电子邮件地址。 切换到 钥匙 Tab 键,然后选择 添加键 > 创建新密钥. 请务必选择 JSON 格式 作为密钥类型。

提示:

使用 服务账户 页面上。 出于安全考虑,我们建议您定期更改密钥。 您可以通过编辑现有 Google Cloud 连接来向 Citrix Virtual Apps and Desktops 应用程序提供新密钥。

向 Citrix Cloud 服务帐户添加角色

要向 Citrix Cloud 服务帐户添加角色,请执行以下操作:

  1. 在 Google Cloud 控制台中,导航到 IAM & 管理 > IAM.

  2. IAM > 权限 页面上,找到您创建的服务账户,可通过电子邮件地址识别。

    例如 <my-service-account>@<project-id>.iam.gserviceaccount.com

  3. 选择铅笔图标以编辑对服务账户委托人的访问权限。
  4. 对“project-id”的编辑访问权限 页面上,选择 添加其他角色 将所需的角色逐个添加到您的服务账户,然后选择 .

向 Cloud Compute Service 帐户添加角色

要向 Cloud Compute Service 账户添加角色,请执行以下操作:

  1. 在 Google Cloud 控制台中,导航到 IAM & 管理 > IAM.

  2. IAM 页面上,找到 Cloud Compute Service Account(可通过以 项目 ID 和单词 计算.

    例如 <project-id>-compute@developer.gserviceaccount.com

  3. 选择铅笔图标以编辑 Cloud Build 帐户角色。

  4. 编辑对 “project-id” 页面的访问权限 对于 selected principal (所选委托人) 选项,选择 添加其他角色 将所需角色逐个添加到您的 Cloud Build 服务账户,然后选择 .

    注意:

    启用所有 API 以获取完整的角色列表。

存储权限和存储桶管理

Citrix DaaS 改进了报告云构建失败的过程 Google Cloud 服务. 此服务在 Google Cloud 上运行构建。 Citrix DaaS 将创建一个名为 citrix-mcs-cloud-build-logs-{region}-{5 random characters} 其中 Google Cloud 服务捕获构建日志信息。 在此存储桶上设置了一个选项,该选项将在 30 天后删除内容。 此过程要求用于连接的服务帐户将 Google Cloud 权限设置为 storage.buckets.update. 如果服务帐户没有此权限,Citrix DaaS 将忽略错误并继续执行目录创建过程。 如果没有此权限,构建日志的大小会增加,需要手动清理。

启用专用 Google 访问权限

当 VM 缺少分配给其网络接口的外部 IP 地址时,数据包只会发送到其他内部 IP 地址目标。 启用专用访问时,VM 将连接到 Google API 和相关服务使用的外部 IP 地址集。

注意:

无论是否启用私有 Google 访问,所有具有和没有公共 IP 地址的 VM 都必须能够访问 Google 公共 API,尤其是在环境中安装了第三方网络设备的情况下。

要确保子网中的 VM 可以在没有公共 IP 地址的情况下访问 Google API 以进行 MCS 配置,请执行以下操作:

  1. 在 Google Cloud 中,访问 VPC 网络配置.
  2. 确定使用的子网或 Citrix 环境中的 当前项目中的子网 标签。
  3. 单击子网的名称并启用 私人 Google 访问.

有关更多信息,请参阅 配置专用 Google 访问.

-priority

如果您的网络配置为阻止 VM 访问 Internet,请确保您的组织承担与为 VM 连接到的子网启用专用 Google 访问相关的风险。

下一步的去向

更多信息

本内容的正式版本为英文版。部分 Cloud Software Group 文档内容采用了机器翻译,仅供您参考。Cloud Software Group 无法控制机器翻译的内容,这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性,或者您的 Cloud Software Group 产品或服务沿用了任何机器翻译的内容,我们均不作任何明示或暗示的保证,并且适用的最终用户许可协议或服务条款或者与 Cloud Software Group 签订的任何其他协议(产品或服务与已进行机器翻译的任何文档保持一致)下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题,Cloud Software Group 不承担任何责任。
Google Cloud 虚拟化环境
January 28, 2025
投稿者: 
C

在本文中

站点反馈 | Your privacy choices footer link您的隐私选择 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999-2025 Cloud Software Group, Inc. All rights reserved.