这篇文章已经过机器翻译.放弃
Google Cloud 虚拟化环境
Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)允许您在 Google Cloud 上配置和管理计算机。
必备条件
在开始将 VM 置备到 Google Cloud Platform (GCP) 之前,必须确保满足以下先决条件。
- Citrix 订阅必须包括对混合多云工作负载的支持。 有关更多信息,请参阅 比较 Citrix 订阅功能.
- 管理员帐户必须具有足够的权限才能创建主机连接、计算机目录和交付组。 有关更多信息,请参阅 配置 Delegated Administration.
- 确定一个 Google Cloud 项目,其中存储了与计算机目录关联的所有计算资源。 它可以是现有项目或新项目。 有关更多信息,请参阅 Google Cloud 项目.
- 启用与 Citrix DaaS 集成所需的 Google Cloud API。 有关更多信息,请参阅 启用 Google Cloud API.
- 在 Google Cloud 中创建服务帐户并授予相应的权限。 有关更多信息,请参阅 配置和更新服务帐户.
- 下载 Citrix Cloud 服务帐户的密钥文件。 有关更多信息,请参阅 Citrix Cloud 服务帐户密钥.
- 虚拟机必须在没有公共 IP 地址的情况下有权访问 Google API。 有关更多信息,请参阅 启用专用 Google 访问.
Google Cloud 项目
Google Cloud 项目基本上有两种类型:
- Provisioning project:在这种情况下,当前管理员帐户拥有项目中已置备的计算机。 此项目也称为本地项目。
- 共享 VPC 项目:在 Provisioning 项目中创建的计算机使用共享 VPC 项目中的 VPC 的项目。 用于预置项目的管理员账户在此项目中具有有限的权限,具体而言,只有使用 VPC 的权限。
服务终端节点 URL
您必须有权访问以下 URL:
https://oauth2.googleapis.com
https://cloudresourcemanager.googleapis.com
https://compute.googleapis.com
https://storage.googleapis.com
https://cloudbuild.googleapis.com
启用 Google Cloud API
要通过 Studio 使用 Google Cloud 功能,请在 Google Cloud 项目中启用以下 API:
- 计算引擎 API
- 云资源管理器 API
- 身份和访问管理 (IAM) API
- 云构建 API
在 Google Cloud Console 中,完成以下步骤:
- 在左上角的菜单中,选择 API 和服务 > 已启用的 API & 服务业.
-
在 已启用的 API & 服务业 屏幕上,请确保已启用 Compute Engine API。 如果没有,请执行以下步骤:
- 导航到 API 和服务 > 图书馆.
- 在搜索框中,键入 计算引擎.
- 从搜索结果中,选择 计算引擎 API.
- 在 计算引擎 API 页面上,选择 使.
- 启用 Cloud Resource Manager API。
- 导航到 API 和服务 > 图书馆.
- 在搜索框中,键入 云资源管理器.
- 从搜索结果中,选择 云资源管理器 API.
- 在 云资源管理器 API 页面上,选择 使. 此时将显示 API 的状态。
- 同样,启用 身份和访问管理 (IAM) API 和 云构建 API和 云密钥管理服务 (KMS) API.
您还可以使用 Google Cloud Shell 启用 API。 为此,您需要:
- 打开 Google 控制台并加载 Cloud Shell。
-
在 Cloud Shell 中运行以下 4 个命令:
- gcloud 服务支持 compute.googleapis.com
- gcloud 服务支持 cloudresourcemanager.googleapis.com
- gcloud 服务支持 iam.googleapis.com
- gcloud 服务支持 cloudbuild.googleapis.com
- gcloud 服务支持 cloudkms.googleapis.com
- 点击 授权 当 Cloud Shell 提示时。
配置和更新服务帐户
注意:
GCP 将在 2024 年 4 月 29 日之后对 Cloud Build Service 的默认行为和服务帐号的使用进行更改。 有关详细信息,请参阅 Cloud Build Service 帐户变更。 在 2024 年 4 月 29 日之前启用了 Cloud Build API 的现有 Google 项目不受此变更的影响。 但是,如果您希望在 4 月 29 日之后拥有现有的 Cloud Build Service 行为,则可以在启用 Cloud Build API 之前创建或应用组织策略以禁用限制强制执行。 因此,以下内容分为两部分: 2024 年 4 月 29 日之前 和 2024 年 4 月 29 日之后. 如果您设置了新的组织策略,请按照 2024 年 4 月 29 日之前.
2024 年 4 月 29 日之前
Citrix Cloud 在 Google Cloud 项目中使用三个单独的服务帐户:
-
Citrix Cloud 服务帐户:此服务帐户使 Citrix Cloud 能够访问 Google 项目、配置和管理计算机。 此服务帐号使用 钥匙 由 Google Cloud 生成。
您必须按照此处所述手动创建此服务账户。 有关更多信息,请参阅 创建 Citrix Cloud 服务帐户.
您可以使用电子邮件地址识别此服务账户。 例如
<my-service-account>@<project-id>.iam.gserviceaccount.com
. -
Cloud Build 服务帐户:在您启用 启用 Google Cloud API. 要查看所有自动创建的服务账户,请导航到 IAM & 管理 > IAM 在 谷歌云 控制台,然后选择 包括 Google 提供的角色授权 复选框。
您可以通过以 项目 ID 和单词 云构建. 例如
<project-id>@cloudbuild.gserviceaccount.com
验证是否已向服务账户授予以下角色。 如果您必须添加角色,请按照 向 Cloud Build 服务帐户添加角色.
- Cloud Build 服务帐户
- 计算实例管理员
- 服务帐户用户
-
云计算服务账户:激活 Compute API 后,Google Cloud 会将此服务帐户添加到在 Google Cloud 中创建的实例中。 此账户具有执行操作的 IAM 基本编辑者角色。 但是,如果您删除默认权限以获得更精细的控制,则必须添加 存储管理员 需要以下权限的角色:
- resourcemanager.projects.get
- storage.objects.create
- storage.objects.get
- storage.objects.list
您可以通过以 项目 ID 和单词 计算. 例如 <project-id>-compute@developer.gserviceaccount.com
.
创建 Citrix Cloud 服务帐户
要创建 Citrix Cloud 服务帐户,请执行以下步骤:
- 在 Google Cloud 控制台中,导航到 IAM & 管理 > 服务账户.
- 在 服务账户 页面上,选择 创建服务帐户.
- 在 创建服务帐户 页面上,输入所需信息,然后选择 创建并继续.
-
在 授予此服务帐户对项目的访问权限 页面上,单击 选择角色 下拉菜单,然后选择所需的角色。 点击 +添加其他角色 如果要添加更多角色。
每个账户(个人账户或服务账户)都有定义项目管理的各种角色。 向此服务账户授予以下角色:
- 计算管理员
- 存储管理员
- Cloud Build 编辑器
- 服务帐户用户
- Cloud Datastore 用户
- Cloud KMS 加密运营商
Cloud KMS Crypto Operator 需要以下权限:
- cloudkms.cryptoKeys.get
- cloudkms.cryptoKeys.list
- cloudkms.keyRings.get
- cloudkms.keyRings.list
- cloudkms.cryptoKeyVersions.useToDecrypt
- cloudkms.cryptoKeyVersions.useToEncrypt
注意:
启用所有 API 以获取创建新服务账户时可用角色的完整列表。
- 点击 继续
- 在 授予用户对此服务账户的访问权限 页面上,添加用户或组以授予他们在此服务账户中执行操作的权限。
- 点击 做.
- 导航到 IAM 主控制台。
- 确定创建的服务帐户。
- 验证角色分配是否成功。
注意事项:
创建服务账户时,请考虑以下事项:
- 步骤 授予此服务帐户对项目的访问权限 和 授予用户对此服务账户的访问权限 是可选的。 如果您选择跳过这些可选配置步骤,则新创建的服务账户不会显示在 IAM & 管理 > IAM 页。
- 要显示与服务账户关联的角色,请在不跳过可选步骤的情况下添加角色。 此过程可确保为配置的服务账户显示角色。
Citrix Cloud 服务帐户密钥
在 Citrix DaaS 中创建连接时,需要 Citrix Cloud 服务帐户密钥。 密钥包含在凭证文件 (.json) 中。 该文件将自动下载并保存到 下载 文件夹。 创建密钥时,请务必将密钥类型设置为 JSON。 否则,Studio 无法对其进行解析。
要创建服务帐户密钥,请导航到 IAM & 管理 > 服务账户 ,然后单击 Citrix Cloud 服务帐户的电子邮件地址。 切换到 钥匙 Tab 键,然后选择 添加键 > 创建新密钥. 请务必选择 JSON 格式 作为密钥类型。
提示:
使用 服务账户 页面上。 出于安全考虑,我们建议您定期更改密钥。 您可以通过编辑现有 Google Cloud 连接来向 Citrix Virtual Apps and Desktops 应用程序提供新密钥。
向 Citrix Cloud 服务帐户添加角色
要向 Citrix Cloud 服务帐户添加角色,请执行以下操作:
- 在 Google Cloud 控制台中,导航到 IAM & 管理 > IAM.
-
在 IAM > 权限 页面上,找到您创建的服务账户,可通过电子邮件地址识别。
例如
<my-service-account>@<project-id>.iam.gserviceaccount.com
- 选择铅笔图标以编辑对服务账户委托人的访问权限。
- 在 对“project-id”的编辑访问权限 页面上,选择 添加其他角色 将所需的角色逐个添加到您的服务账户,然后选择 救.
向 Cloud Build 服务帐户添加角色
要向 Cloud Build 服务账户添加角色,请执行以下操作:
- 在 Google Cloud 控制台中,导航到 IAM & 管理 > IAM.
-
在 IAM 页面上,找到 Cloud Build 服务帐户,该帐户可通过以 项目 ID 和单词 云构建.
例如
<project-id>@cloudbuild.gserviceaccount.com
- 选择铅笔图标以编辑 Cloud Build 帐户角色。
-
在 编辑对 “project-id” 页面的访问权限 对于 selected principal (所选委托人) 选项,选择 添加其他角色 将所需角色逐个添加到您的 Cloud Build 服务账户,然后选择 救.
注意:
启用所有 API 以获取完整的角色列表。
2024 年 4 月 29 日之后
Citrix Cloud 在 Google Cloud 项目中使用两个单独的服务帐户:
-
Citrix Cloud 服务帐户:此服务帐户使 Citrix Cloud 能够访问 Google 项目、配置和管理计算机。 此服务帐号使用 钥匙 由 Google Cloud 生成。
您必须手动创建此服务帐户。
您可以使用电子邮件地址识别此服务账户。 例如
<my-service-account>@<project-id>.iam.gserviceaccount.com
. -
云计算服务账户:在您启用 启用 Google Cloud API. 要查看所有自动创建的服务账户,请导航到 IAM & 管理 > IAM 在 谷歌云 控制台,然后选择 包括 Google 提供的角色授权 复选框。 此账户具有执行操作的 IAM 基本编辑者角色。 但是,如果您删除默认权限以获得更精细的控制,则必须添加 存储管理员 需要以下权限的角色:
- resourcemanager.projects.get
- storage.objects.create
- storage.objects.get
- storage.objects.list
您可以通过以 项目 ID 和单词 计算. 例如
<project-id>-compute@developer.gserviceaccount.com。
验证是否已向服务账户授予以下角色。
- Cloud Build 服务帐户
- 计算实例管理员
- 服务帐户用户
创建 Citrix Cloud 服务帐户
要创建 Citrix Cloud 服务帐户,请执行以下步骤:
- 在 Google Cloud 控制台中,导航到 IAM & 管理 > 服务账户.
- 在 服务账户 页面上,选择 创建服务帐户.
- 在 创建服务帐户 页面上,输入所需信息,然后选择 创建并继续.
-
在 授予此服务帐户对项目的访问权限 页面上,单击 选择角色 下拉菜单,然后选择所需的角色。 点击 +添加其他角色 如果要添加更多角色。
每个账户(个人账户或服务账户)都有定义项目管理的各种角色。 向此服务账户授予以下角色:
- 计算管理员
- 存储管理员
- Cloud Build 编辑器
- 服务帐户用户
- Cloud Datastore 用户
- Cloud KMS 加密运营商
Cloud KMS Crypto Operator 需要以下权限:
- cloudkms.cryptoKeys.get
- cloudkms.cryptoKeys.list
- cloudkms.keyRings.get
- cloudkms.keyRings.list
注意:
启用所有 API 以获取创建新服务账户时可用角色的完整列表。
- 点击 继续
- 在 授予用户对此服务账户的访问权限 页面上,添加用户或组以授予他们在此服务账户中执行操作的权限。
- 点击 做.
- 导航到 IAM 主控制台。
- 确定创建的服务帐户。
- 验证角色分配是否成功。
注意事项:
创建服务账户时,请考虑以下事项:
- 步骤 授予此服务帐户对项目的访问权限 和 授予用户对此服务账户的访问权限 是可选的。 如果您选择跳过这些可选配置步骤,则新创建的服务账户不会显示在 IAM & 管理 > IAM 页。
- 要显示与服务账户关联的角色,请在不跳过可选步骤的情况下添加角色。 此过程可确保为配置的服务账户显示角色。
Citrix Cloud 服务帐户密钥
在 Citrix DaaS 中创建连接时,需要 Citrix Cloud 服务帐户密钥。 密钥包含在凭证文件 (.json) 中。 该文件将自动下载并保存到 下载 文件夹。 创建密钥时,请务必将密钥类型设置为 JSON。 否则,Studio 无法对其进行解析。
要创建服务帐户密钥,请导航到 IAM & 管理 > 服务账户 ,然后单击 Citrix Cloud 服务帐户的电子邮件地址。 切换到 钥匙 Tab 键,然后选择 添加键 > 创建新密钥. 请务必选择 JSON 格式 作为密钥类型。
提示:
使用 服务账户 页面上。 出于安全考虑,我们建议您定期更改密钥。 您可以通过编辑现有 Google Cloud 连接来向 Citrix Virtual Apps and Desktops 应用程序提供新密钥。
向 Citrix Cloud 服务帐户添加角色
要向 Citrix Cloud 服务帐户添加角色,请执行以下操作:
- 在 Google Cloud 控制台中,导航到 IAM & 管理 > IAM.
-
在 IAM > 权限 页面上,找到您创建的服务账户,可通过电子邮件地址识别。
例如
<my-service-account>@<project-id>.iam.gserviceaccount.com
- 选择铅笔图标以编辑对服务账户委托人的访问权限。
- 在 对“project-id”的编辑访问权限 页面上,选择 添加其他角色 将所需的角色逐个添加到您的服务账户,然后选择 救.
向 Cloud Compute Service 帐户添加角色
要向 Cloud Compute Service 账户添加角色,请执行以下操作:
- 在 Google Cloud 控制台中,导航到 IAM & 管理 > IAM.
-
在 IAM 页面上,找到 Cloud Compute Service Account(可通过以 项目 ID 和单词 计算.
例如
<project-id>-compute@developer.gserviceaccount.com
- 选择铅笔图标以编辑 Cloud Build 帐户角色。
-
在 编辑对 “project-id” 页面的访问权限 对于 selected principal (所选委托人) 选项,选择 添加其他角色 将所需角色逐个添加到您的 Cloud Build 服务账户,然后选择 救.
注意:
启用所有 API 以获取完整的角色列表。
存储权限和存储桶管理
Citrix DaaS 改进了报告云构建失败的过程 Google Cloud 服务. 此服务在 Google Cloud 上运行构建。 Citrix DaaS 将创建一个名为 citrix-mcs-cloud-build-logs-{region}-{5 random characters}
其中 Google Cloud 服务捕获构建日志信息。 在此存储桶上设置了一个选项,该选项将在 30 天后删除内容。 此过程要求用于连接的服务帐户将 Google Cloud 权限设置为 storage.buckets.update
. 如果服务帐户没有此权限,Citrix DaaS 将忽略错误并继续执行目录创建过程。 如果没有此权限,构建日志的大小会增加,需要手动清理。
启用专用 Google 访问权限
当 VM 缺少分配给其网络接口的外部 IP 地址时,数据包只会发送到其他内部 IP 地址目标。 启用专用访问时,VM 将连接到 Google API 和相关服务使用的外部 IP 地址集。
注意:
无论是否启用私有 Google 访问,所有具有和没有公共 IP 地址的 VM 都必须能够访问 Google 公共 API,尤其是在环境中安装了第三方网络设备的情况下。
要确保子网中的 VM 可以在没有公共 IP 地址的情况下访问 Google API 以进行 MCS 配置,请执行以下操作:
- 在 Google Cloud 中,访问 VPC 网络配置.
- 确定使用的子网或 Citrix 环境中的 当前项目中的子网 标签。
- 单击子网的名称并启用 私人 Google 访问.
有关更多信息,请参阅 配置专用 Google 访问.
-priority
如果您的网络配置为阻止 VM 访问 Internet,请确保您的组织承担与为 VM 连接到的子网启用专用 Google 访问相关的风险。
下一步的去向
- 要进行简单的概念验证部署,请在指定用于向用户交付应用程序或桌面的计算机上安装 VDA。
- 有关创建和管理连接的信息,请参阅 连接到 Google 云环境.
- 查看安装和配置过程中的所有步骤。