This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
谷歌云上的环境
Citrix Virtual Apps and Desktops™ 允许您在谷歌云上对虚拟机进行预配和管理操作。
必备条件
- Citrix Cloud™ 帐户。本文中描述的功能仅在 Citrix Cloud 中可用。
- 一个 Google Cloud 项目。该项目存储与计算机目录关联的所有计算资源。它可以是现有项目,也可以是新项目。
- 在您的 Google Cloud 项目中启用四个 API。有关详细信息,请参阅启用 Google Cloud API。
- Google Cloud 服务帐户。该服务帐户向 Google Cloud 进行身份验证,以启用对项目的访问。有关详细信息,请参阅配置和更新服务帐户。
- 启用 Google 私有访问。有关详细信息,请参阅启用 Google 私有访问。
启用谷歌云应用程序编程接口
要通过 Web Studio 使用谷歌云功能,请在您的谷歌云项目中启用以下应用程序编程接口:
- 计算引擎 API
- 云资源管理器 API
- 身份和访问管理 (IAM) API
- 云构建 API
- 云密钥管理服务 (KMS)
在 Google Cloud 控制台中,完成以下步骤:
-
在左上角菜单中,选择 API 和服务 > 控制台。
-
在控制台屏幕上,确保已启用 Compute Engine API。如果 未启用,请按照以下步骤操作:
-
导航到 API 和服务 > 库。
-
在搜索框中,键入 计算引擎。
-
从搜索结果中,选择计算引擎 API。
-
在计算引擎 API 页面上,选择启用。
-
-
启用云资源管理器应用程序接口。
-
导航到 API 和服务 > 库。
-
在搜索框中,键入 云资源管理器。
-
从搜索结果中,选择 云资源管理器 API。
-
在 云资源管理器 API 页面上,选择启用。API 的状态将显示。
-
-
同样,启用 身份和访问管理 (IAM) API 和 云构建 API。
您也可以使用 Google Cloud Shell 启用 API。为此,请执行以下操作:
- 打开 Google 控制台并加载云 Shell。
-
在 Cloud Shell 中运行以下四个命令:
- gcloud services enable compute.googleapis.com
- gcloud services enable cloudresourcemanager.googleapis.com
- gcloud services enable iam.googleapis.com
- gcloud services enable cloudbuild.googleapis.com
- 如果 Cloud Shell 提示,请单击 授权。
服务帐户的配置与更新
注意:
GCP 将在 2024 年 4 月 29 日之后对 Cloud Build Service 的默认行为和服务帐户的使用进行更改。有关详细信息,请参阅 Cloud Build Service Account Change。您在 2024 年 4 月 29 日之前启用了 Cloud Build API 的现有 Google 项目不受此更改的影响。但是,如果您希望在 4 月 29 日之后保留现有的 Cloud Build Service 行为,则可以在启用 Cloud Build API 之前创建或应用组织策略以禁用约束强制执行。因此,以下内容分为两部分:2024 年 4 月 29 日之前 和 2024 年 4 月 29 日之后。如果您设置了新的组织策略,请遵循 2024 年 4 月 29 日之前 部分。
2024 年 4 月 29 日之前
Citrix Cloud 在 Google Cloud 项目中使用三个独立的服务帐户:
-
Citrix Cloud 服务帐户:此服务帐户使 Citrix Cloud 能够访问 Google 项目、预配和管理计算机。此服务帐户使用 Google Cloud 生成的 密钥 向 Google Cloud 进行身份验证。
您必须按照此处所述手动创建此服务帐户。有关详细信息,请参阅 创建 Citrix Cloud 服务帐户。
您可以通过电子邮件地址识别此服务帐户。例如,
<my-service-account>@<project-id>.iam.gserviceaccount.com。 -
Cloud Build 服务帐户:启用 启用 Google Cloud API 中提及的所有 API 后,此服务帐户将自动预配。要查看所有自动创建的服务帐户,请在 Google Cloud 控制台中导航到 IAM 和管理 > IAM,然后选择 包括 Google 提供的角色授予 复选框。
您可以通过以 项目 ID 和单词 cloudbuild 开头的电子邮件地址识别此服务帐户。例如,
<project-id>@cloudbuild.gserviceaccount.com验证是否已向服务帐户授予以下角色。如果必须添加角色,请按照 向 Cloud Build 服务帐户添加角色 中概述的步骤操作。
- 云构建服务帐户
- Compute 实例管理员
- 服务帐户用户
-
Cloud Compute 服务帐户:一旦 Compute API 激活,Google Cloud 就会将此服务帐户添加到 Google Cloud 中创建的实例。此帐户具有 IAM 基本编辑器角色以执行操作。但是,如果您删除默认权限以获得更精细的控制,则必须添加一个 存储管理员 角色,该角色需要以下权限:
- 资源管理器.项目.获取
- 存储.对象.创建
- 获取存储对象
- 列出存储对象
您可以通过以 项目 ID 和单词 compute 开头的电子邮件地址识别此服务帐户。例如,<project-id>-compute@developer.gserviceaccount.com。
创建 思杰云 服务帐户
要创建 Citrix Cloud 服务帐户,请按照以下步骤操作:
- 在 Google Cloud 控制台中,导航到 IAM 和管理 > 服务帐号。
- 在“服务帐号”页面上,选择“创建服务帐号”。
- 在“创建服务帐号”页面上,输入所需信息,然后选择“创建并继续”。
-
在“授予此服务帐号项目访问权限”页面上,单击“选择角色”下拉菜单并选择所需角色。如果要添加更多角色,请单击“+添加其他角色”。
每个帐号(个人或服务)都具有定义项目管理的各种角色。向此服务帐号授予以下角色:
- 计算管理员
- 存储管理员
- 云构建编辑者
- 服务帐号用户
- 云数据存储用户
- 云密钥管理服务加密操作员
Cloud KMS 加密操作员需要以下权限:
- cloudkms.cryptoKeys.get
- cloudkms.cryptoKeys.list
- cloudkms.keyRings.get
- cloudkms.keyRings.list
注意:
启用所有 API 以获取创建新服务帐户时可用的完整角色列表。
- 单击“继续”
- 在“授予用户对此服务帐户的访问权限”页面上,添加用户或组以授予他们在此服务帐户中执行操作的权限。
- 单击“完成”。
- 导航到 IAM 主控制台。
- 识别已创建的服务帐户。
- 验证角色是否已成功分配。
注意事项:
创建服务帐户时,请考虑以下事项:
- “授予此服务帐户对项目的访问权限”和“授予用户对此服务帐户的访问权限”步骤是可选的。如果您选择跳过这些可选配置步骤,则新创建的服务帐户不会显示在“IAM 和管理 > IAM”页面中。
- 要显示与服务帐户关联的角色,请添加角色而不跳过可选步骤。此过程可确保为配置的服务帐户显示角色。
Citrix 云服务帐户密钥
Citrix Cloud 服务帐户密钥是创建 Citrix DaaS 连接所必需的。该密钥包含在凭据文件 (.json) 中。创建密钥后,该文件会自动下载并保存到“下载”文件夹中。创建密钥时,请务必将密钥类型设置为 JSON。否则,Web Studio 无法解析它。
要创建服务帐号密钥,请导航到 IAM 和管理 > 服务帐号,然后单击 Citrix Cloud 服务帐号的电子邮件地址。切换到密钥选项卡,然后选择添加密钥 > 创建新密钥。确保选择 JSON 作为密钥类型。
提示:
使用 Google Cloud 控制台中的服务帐号页面创建密钥。我们建议您定期更改密钥以确保安全。您可以通过编辑现有 Google Cloud 连接,向 Citrix Virtual Apps and Desktops 应用程序提供新密钥。
向 Citrix Cloud 服务帐号添加角色
要向 Citrix Cloud 服务帐号添加角色,请执行以下操作:
- 在 Google 云控制台中,导航到 IAM 和管理 > IAM。
-
在 IAM > 权限页面上,找到您创建的服务帐号,该帐号可通过电子邮件地址进行识别。
例如,
<my-service-account>@<project-id>.iam.gserviceaccount.com - 选择铅笔图标以编辑服务帐号主体的访问权限。
- 在所选主体选项的编辑“项目 ID”的访问权限页面上,选择添加其他角色以逐个将所需角色添加到您的服务帐号,然后选择保存。
向 Cloud Build 服务帐号添加角色
要向 Cloud Build 服务帐号添加角色,请执行以下操作:
- 在 Google Cloud 控制台中,导航到 身份与访问管理和管理 > 身份与访问管理。
-
在 IAM 页面上,找到 Cloud Build 服务帐号,该帐号可通过以项目 ID 和单词 cloudbuild 开头的电子邮件地址进行识别。
例如,
<project-id>@cloudbuild.gserviceaccount.com - 选择铅笔图标以编辑 Cloud Build 帐户角色。
-
在所选主体选项的“编辑对‘项目 ID’的访问权限”页面上,选择“添加另一个角色”以逐个将所需角色添加到您的 Cloud Build 服务帐户,然后选择“保存”。
注意:
启用所有 API 以获取完整的角色列表。
2024 年 4 月 29 日之后
Citrix Cloud 在 Google Cloud 项目中使用两个单独的服务帐户:
-
Citrix Cloud 服务帐户:此服务帐户使 Citrix Cloud 能够访问 Google 项目、预配和管理计算机。此服务帐户使用 Google Cloud 生成的密钥向 Google Cloud 进行身份验证。
您必须手动创建此服务帐户。
您可以通过电子邮件地址识别此服务帐户。例如,
<my-service-account>@<project-id>.iam.gserviceaccount.com。 -
Cloud Compute 服务帐户:在您启用启用 Google Cloud API中提到的所有 API 后,此服务帐户会自动预配。要查看所有自动创建的服务帐户,请在 Google Cloud 控制台中导航到“IAM 和管理 > IAM”,然后选中“包括 Google 提供的角色授予”复选框。此帐户具有 IAM 基本编辑者角色以执行操作。但是,如果您删除默认权限以获得更精细的控制,则必须添加需要以下权限的“存储管理员”角色:
- 资源管理器.项目.获取
- 创建存储对象
- 获取存储对象
- 列出存储对象
您可以通过以“项目 ID”和单词“compute”开头的电子邮件地址识别此服务帐户。例如,
<project-id>-compute@developer.gserviceaccount.com.请检查服务帐户是否已获得以下角色权限。
- 云构建服务帐号
- Compute 实例管理员
- 服务帐户用户
创建 Citrix 云服务账号
要创建 Citrix Cloud 服务帐户,请执行以下步骤:
- 在 Google Cloud 控制台中,导航到 IAM 和管理 > 服务帐户。
- 在 服务帐户 页面上,选择 创建服务帐户。
- 在 创建服务帐户 页面上,输入所需信息,然后选择 创建并继续。
-
在 授予此服务帐户对项目的访问权限 页面上,单击 选择角色 下拉菜单并选择所需角色。如果要添加更多角色,请单击 +添加其他角色。
每个帐户(个人或服务)都具有定义项目管理的各种角色。向此服务帐户授予以下角色:
- 计算管理员
- 存储管理员
- 云构建编辑者
- 服务帐户用户
- 云数据存储用户
- 云密钥管理服务加密操作员
Cloud KMS 加密操作员需要以下权限:
- cloudkms.cryptoKeys.get
- cloudkms.cryptoKeys.list
- cloudkms.keyRings.get
- cloudkms.keyRings.list
注意:
启用所有 API 以获取创建新服务帐户时可用的完整角色列表。
- 单击 继续
- 在“授予用户对此服务帐户的访问权限”页面上,添加用户或组以授予他们在此服务帐户中执行操作的权限。
- 单击 完成。
- 导航到 IAM 主控制台。
- 识别已创建的服务帐户。
- 验证角色是否已成功分配。
注意事项:
创建服务帐户时,请考虑以下事项:
- “授予此服务帐户对项目的访问权限”和“授予用户对此服务帐户的访问权限”步骤是可选的。如果您选择跳过这些可选配置步骤,则新创建的服务帐户不会显示在“IAM 和管理 > IAM”页面中。
- 要显示与服务帐户关联的角色,请添加角色而不跳过可选步骤。此过程可确保为配置的服务帐户显示角色。
思杰云服务帐户密钥
在 Citrix DaaS 中创建连接需要 Citrix Cloud 服务帐户密钥。该密钥包含在凭据文件 (.json) 中。创建密钥后,该文件会自动下载并保存到“下载”文件夹中。创建密钥时,请务必将密钥类型设置为 JSON。否则,Web Studio 无法对其进行解析。
要创建服务帐户密钥,请导航到“IAM 和管理 > 服务帐户”,然后单击 Citrix Cloud 服务帐户的电子邮件地址。切换到“密钥”选项卡,然后选择“添加密钥 > 创建新密钥”。请务必选择 JSON 作为密钥类型。
提示:
使用 Google Cloud 控制台中的“服务帐户”页面创建密钥。我们建议您定期更改密钥以确保安全。您可以通过编辑现有 Google Cloud 连接,向 Citrix Virtual Apps and Desktops 应用程序提供新密钥。
向 Citrix Cloud 服务帐户添加角色
要向 Citrix Cloud 服务帐户添加角色,请执行以下操作:
- 在 谷歌云 控制台中,导航到 IAM 和管理 > IAM。
-
在“IAM > 权限”页面上,找到您创建的服务帐户,该帐户可通过电子邮件地址进行识别。
例如,
<my-service-account>@<project-id>.iam.gserviceaccount.com - 选择铅笔图标以编辑服务帐户主体的访问权限。
- 在所选主体选项的“编辑对‘project-id’的访问权限”页面上,选择“添加另一个角色”以逐个将所需角色添加到您的服务帐户,然后选择“保存”。
向 Cloud Compute 服务帐户添加角色
要向 Cloud Compute 服务帐户添加角色,请执行以下操作:
- 在 Google Cloud 控制台中,导航到 身份与访问管理和管理 > 身份与访问管理。
-
在“IAM”页面上,找到 Cloud Compute 服务帐户,该帐户可通过以“项目 ID”和单词“compute”开头的电子邮件地址进行识别。
例如,
<project-id>-compute@developer.gserviceaccount.com - 选择铅笔图标以编辑 Cloud Build 帐户角色。
-
在所选主体选项的“编辑对‘project-id’的访问权限”页面上,选择“添加另一个角色”以逐个将所需角色添加到您的 Cloud Build 服务帐户,然后选择“保存”。
注意:
启用所有 API 以获取完整的角色列表。
存储访问权限和存储桶管理
Citrix Virtual Apps and Desktops 改进了针对 Google Cloud 服务 报告云构建失败的过程。此服务在 Google Cloud 上运行构建。Citrix Virtual Apps and Desktops 创建一个名为 citrix-mcs-cloud-build-logs-{region}-{5 random characters} 的存储桶,Google Cloud 服务在此存储桶中捕获构建日志信息。此存储桶上设置了一个选项,可在 30 天后删除内容。此过程要求用于连接的服务帐户具有设置为 storage.buckets.update 的 Google Cloud 权限。如果服务帐户没有此权限,Citrix Virtual Apps and Desktops 将忽略错误并继续执行目录创建过程。如果没有此权限,构建日志的大小会增加,并且需要手动清理。
启用私有 Google 访问
当虚拟机缺少分配给其网络接口的外部 IP 地址时,数据包只会发送到其他内部 IP 地址目标。启用私有访问后,虚拟机将连接到 Google API 和相关服务使用的外部 IP 地址集。
注意:
无论是否启用私有 Google 访问,所有具有和不具有公共 IP 地址的 VM 都必须能够访问 Google 公共 API,尤其是在环境中安装了第三方网络设备的情况下。
为确保子网中的 VM 可以在没有公共 IP 地址的情况下访问 Google API 以进行 MCS 预配:
- 在谷歌云中,访问 VPC 网络配置。
- 在“子网详细信息”屏幕中,启用 私有 Google 访问。
有关详细信息,请参阅 配置私有 Google 访问。
重要提示:
如果您的网络配置为阻止 VM 访问 Internet,请确保您的组织承担与为 VM 连接的子网启用私有 Google 访问相关的风险。
后续步骤
- 安装核心组件
- 安装虚拟投递代理
- 创建站点
- 有关在 Google Cloud 环境中创建和管理连接的信息,请参阅 连接到 Google Cloud 环境
更多信息
共享
共享
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.