PoC-Handbuch: Gemeinsame VPC-Unterstützung der Google Cloud Platform (GCP) mit Citrix DaaS

Übersicht

Citrix DaaS unterstützt die gemeinsame VPC der Google Cloud Platform (GCP). Dieses Dokument behandelt:

• Ein Überblick über die Citrix Unterstützung für Google Cloud Shared VPCs.

• Ein Überblick über die Terminologie in Bezug auf Google Cloud Shared VPCs.

• Konfigurieren einer Google Cloud-Umgebung zur Unterstützung der Verwendung von Shared VPCs.

• Verwendung von Google Shared VPCs für Hostverbindungen und die Bereitstellung von Maschinenkatalogen.

• Häufige Fehlerbedingungen und wie diese behoben werden können.

Voraussetzungen

In diesem Dokument werden Kenntnisse über Google Cloud und die Verwendung von Citrix DaaS für die Bereitstellung von Maschinenkatalogen in einem Google Cloud-Projekt vorausgesetzt.

Informationen zum Einrichten eines GCP-Projekts für Citrix DaaS finden Sie in derProduktdokumentation.

Zusammenfassung

Die Unterstützung von Citrix MCS für die Bereitstellung und Verwaltung von Maschinenkatalogen, die auf Shared VPCs bereitgestellt werden, entspricht funktional dem, was heute in Local VPCs unterstützt wird.

Es gibt zwei Arten, wie sie sich unterscheiden:

• Dem Dienstkonto, das zum Erstellen der Hostverbindung verwendet wird, müssen einige weitere Berechtigungen erteilt werden, damit MCS auf die Shared VPC-Ressourcen zugreifen und diese verwenden kann.

• Der Site-Administrator muss zwei Firewallregeln erstellen, jeweils eine für Ingress und Egress, die während des Image-Mastering-Prozesses verwendet werden.

Beides将发生在diesem做kument ausführlicher erörtert.

Google Cloud Geteilte VPCs

GCP Shared VPCs bestehen aus einem Host-Projekt, aus dem die gemeinsam genutzten Subnetze zur Verfügung gestellt werden, und einem oder mehreren Serviceprojekten, die die Ressourcen nutzen.

Die Verwendung von Shared VPCs ist eine gute Option für größere Installationen, da sie eine zentralere Kontrolle, Nutzung und Verwaltung von gemeinsam genutzten Google-Cloud-Ressourcen für Unternehmen bieten. Google Cloud beschreibt es so:

“Shared VPC ermöglicht es einemUnternehmen, Ressourcen aus mehreren Projekten mit einem gemeinsamenVirtual Private Cloud (VPC) -Netzwerkzu verbinden, sodass sie mithilfe interner IPs aus diesem Netzwerk sicher und effizient miteinander kommunizieren können. Wenn Sie Shared VPC verwenden, bestimmen Sie ein Projekt als Hostprojekt und hängen ein oder mehrere andere Dienstprojekte an dieses an. Die VPC-Netzwerke im Hostprojekt werden als Shared VPC-Netzwerke bezeichnet.Geeignete Ressourcenaus Serviceprojekten können Subnetze im Shared VPC-Netzwerk verwenden. “

Der obige Absatz wurde von derGoogle-Dokumentationsseiteübernommen.

Neue Berechtigungen erforderlich

贝der劳动麻省理工学院Citrix DaaS和谷歌云μss beim Erstellen der Hostverbindung ein GCP-Dienstkonto mit bestimmten Berechtigungen bereitgestellt werden. Wie oben erwähnt, müssen für die Verwendung von GCP Shared VPCs allen Dienstkonten, die zum Erstellen von Shared VPC-basierten Hostverbindungen verwendet werden, zusätzliche Berechtigungen erteilt werden.

Technisch gesehen sind die erforderlichen Berechtigungen nicht “neu”, da sie bereits für die Verwendung von Citrix DaaS mit GCP und lokalen VPCs erforderlich sind. Die Änderung besteht darin, dass die Berechtigungen erteilt werden müssen, um den Zugriff auf die freigegebenen VPC-Ressourcen zu ermöglichen. Dies wird durch Hinzufügen des Dienstkontos zu den IAM-Rollen für das Hostprojekt erreicht und im Abschnitt “How To” dieses Dokuments ausführlich behandelt.

Hinweis:

Informationen zu den Berechtigungen, die für das aktuell ausgelieferte Citrix DaaS-Produkt erforderlich sind, finden Sie auf der Citrix-Dokumentationssite unterRessourcenstandorte.

Insgesamt müssen dem mit der Hostverbindung verknüpften Dienstkonto maximal vier zusätzliche Berechtigungen erteilt werden:

1. compute.firewalls.list - Pflichtfeld

   Diese Berechtigung ist erforderlich, damit Citrix MCS die Liste der Firewallregeln abrufen kann, die in der Shared VPC vorhanden sind (siehe unten ausführlich).

2. compute.networks.list——Pflichtfeld

   Diese Berechtigung ist erforderlich, damit Citrix MCS die für das Dienstkonto verfügbaren Shared VPC-Netzwerke identifizieren kann.

3. compute.subnetworks.list —Kann Pflichtfeld sein(siehe unten)

   Diese Berechtigung ist erforderlich, damit MCS die Subnetze innerhalb der sichtbaren Shared VPCs identifizieren kann.

   Hinweis:

   Diese Berechtigung ist bereits für die Verwendung von Local VPCs erforderlich, muss aber auch im Shared VPC Host-Projekt zugewiesen werden.

4. compute.subnetworks.use -Kann obligatorisch sein(siehe unten)

   Diese Berechtigung ist erforderlich, um die Subnetzressourcen in den bereitgestellten Maschinenkatalogen zu nutzen.

   Hinweis:

   Diese Berechtigung ist bereits für die Verwendung von Local VPCs erforderlich, muss aber auch im Shared VPC Host Project zugewiesen werden.

Die letzten beiden Punkte werden als “May be强制性的“bezeichnet, da贝姆Umgang麻省理工学院的估计值erechtigungen zwei verschiedene Ansätze zu berücksichtigen sind:

• Berechtigungenauf Projektebene

  • Ermöglicht Zugriff auf alle freigegebenen VPCs im Hostprojekt.

  • Erfordert, dass die Berechtigungen #3 und #4 dem Dienstkonto zugewiesen werden müssen.

• Berechtigungenauf Subnetebene

  • Ermöglicht den Zugriff auf einzelne Subnetze in der freigegebenen VPC.

  • Die Berechtigungen #3 und #4 sind intrinsisch für die Zuweisung auf Subnetzebene und müssen daher nicht direkt dem Dienstkonto zugewiesen werden.

Beispiele für beide Ansätze finden Sie unten im Abschnitt “How To” dieses Dokuments.

Beide Ansätze werden gleich gut funktionieren. Wählen Sie den Berechtigungstyp aus, der Ihren Anforderungen und Sicherheitsstandards entspricht. Nähere Informationen zum Unterschied zwischen Berechtigungen auf Projektebene und Subnetzebene finden Sie in derGoogle Cloud-Dokumentation.

Host-Projekt

Um Shared VPCs in Google Cloud zu verwenden, bestimmen und aktivieren Sie zunächst ein Google Cloud-Projekt als Hostprojekt. Dieses Hostprojekt enthält ein oder mehrere gemeinsam genutzte VPC-Netzwerke, die von anderen Google Cloud-Projekten innerhalb der Organisation genutzt werden.

Das Konfigurieren des Shared VPC Host Project, das Erstellen von Subnetzen und das Teilen des gesamten Projekts oder bestimmter Subnetze mit anderen Google Cloud Projects sind rein mit Google Cloud verbundene Aktivitäten und nicht im Rahmen dieses Dokuments enthalten. Die Google Cloud-Dokumentation zum Erstellen und Arbeiten mit Shared VPCs finden Siehier.

Firewallregeln

Ein wichtiger Schritt bei der Verarbeitung hinter den Kulissen, der bei der Bereitstellung oder Aktualisierung eines Maschinenkatalogs auftritt, wird alsMasteringbezeichnet. Dies ist der Fall, wenn das ausgewählte Maschinenimage kopiert und darauf vorbereitet wird, die Masterimage-Systemdatenträger für den Katalog zu sein. Während des Mastering wird dieser Datenträger an eine temporäre virtuelle Maschine, dieVorbereitungsmaschine, angeschlossen und gestartet, damit Vorbereitungsskripts ausgeführt werden können. Diese virtuelle Maschine muss in einer isolierten Umgebung ausgeführt werden, die dengesamtenein- und ausgehenden Netzwerkverkehr verhindert. Dies wird durch ein PaarDeny-All-Firewallregelnerreicht; eine für eingehenden und eine für ausgehenden Verkehr.

Bei der Verwendung von GCP Local VPCs erstellt MCS dieses Firewallregelpaar im laufenden Betrieb, wendet sie zum Mastering auf die Maschine an und entfernt sie, wenn das Mastering abgeschlossen ist.

Citrix empfiehlt, die Anzahl der neuen Berechtigungen, die für die Verwendung von Shared VPCs erforderlich sind, auf ein Minimum zu beschränken, da Shared VPCs Unternehmensressourcen auf höherer Ebene sind und in der Regel über strittigere Sicherheitsprotokolle verfügen. Aus diesem Grund muss der Site-Administrator ein Paar Firewallregeln (eine für eingehenden und eine für ausgehenden Verkehr) für jede Shared VPC mit der höchsten Priorität erstellen und auf jede der Regeln ein neuesTarget Taganwenden. Der Wert für Target Tag ist:

citrix-provisioning-quarantine-firewall

Wenn MCS einen Maschinenkatalog erstellt oder aktualisiert, sucht es nach Firewallregeln, die dieses Target-Tag enthalten, untersucht die Regeln auf Korrektheit und wendet sie auf dieVorbereitungsmaschinean.

Wenn die Firewallregeln nicht gefunden werden oder die Regeln gefunden werden, die Regeln oder Prioritäten jedoch nicht korrekt sind, wird eine Meldung dieses Formulars zurückgegeben:

Unable to find valid INGRESS and EGRESS quarantine firewall rules for VPC \ in project \. Please ensure you have created deny all firewall rules with the network tagcitrix-provisioning-quarantine-firewall and proper priority. Refer to Citrix Documentation for details.

Cloud Connectors

Wenn Sie eine Shared VPC für Citrix DaaS-Maschinenkataloge verwenden, erstellen Sie zwei oder mehr Cloud Connectors, um auf den Domänencontroller zuzugreifen, der sich in der freigegebenen VPC befindet. In diesem Fall empfiehlt es sich, eine GCP-Maschineninstanz in Ihrem lokalen Projekt zu erstellen und der Instanz eine zusätzliche Netzwerkschnittstelle hinzuzufügen. Die erste Schnittstelle wäre mit einem Subnetz in der Shared VPC verbunden. Die zweite Netzwerkschnittstelle würde eine Verbindung zu einem Subnetz in Ihrer lokalen VPC herstellen, um den Zugriff für die administrative Kontrolle und Wartung über Ihren Local VPC Bastion Server zu ermöglichen.

Leider können Sie einer GCP-Instanz keine Netzwerkschnittstelle hinzufügen, nachdem sie erstellt wurde. Dies ist ein einfacher Prozess und wird im Folgenden in einem der How Tu -Einträge behandelt.

So geht’s Abschnitt

Der folgende Abschnitt enthält eine Reihe von Anleitungsbeispielen, die Ihnen helfen, die Schritte zum Durchführen der Konfigurationsänderungen zu verstehen, die für die Verwendung von Google Shared VPCs mit Citrix DaaS erforderlich sind.

Die in Screenshots von Google Console vorgestellten Beispiele finden alle in einem hypothetischen Google-Projekt namensShared VPC Project 1statt.

How To: Erstellen einer neuen IAM-Rolle

Einige zusätzliche Berechtigungen müssen dem Dienstkonto gewährt werden, das beim Erstellen der Hostverbindung verwendet wird. Da die Absicht der Bereitstellung auf gemeinsam genutzten VPCs darin besteht, die Bereitstellung mehrerer Projekte in derselben freigegebenen VPC zu ermöglichen, besteht der effizienteste Ansatz darin, eine neue Rolle im Host-Projekt mit den gewünschten Berechtigungen zu erstellen und diese Rolle dann jedem Dienstkonto zuzuweisen, das Zugriff auf die Shared VPC erfordert.

Im Folgenden erstellen wir die auf Projektebene die RolleCitrix-ProjectLevel-SharedVpcRole.Die Rolle auf Subnetzebene folgt einfach den gleichen Schritten für die ersten beiden zugewiesenen Berechtigungssätze.

IAM & Admin in der Google Console

Greifen Sie in der Google Cloud Console auf die KonfigurationsoptionIAM & Adminzu:

Rolle erstellen

Wählen SieRolle erstellenaus:

Leerer Bildschirm “Rolle erstellen”

Es erscheint ein Bildschirm, der dem Folgenden ähnelt:

Geben Sie den Namen ein und ADD PERMISSION

Geben Sie denRollennamenan. Klicken Sie aufBERECHTIGUNGEN HINZUFÜGEN, um das Update anzuwenden

Dialogfeld “Berechtigungen hinzufügen”

Nachdem Sie aufADD PERMISSIONSgeklickt haben, erscheint ein Bildschirm, der dem folgenden ähnelt.

Beachten Sie, dass in diesem Bild das TexteingabefeldTabelle filternhervorgehoben wurde:

compute.firewalls.list hinzufügen Berechtigung

Wenn Sie auf das TexteingabefeldTabelle filternklicken, wird ein Kontextmenü angezeigt:

Kopieren Sie die Zeichenfolgecompute.firewalls.listund fügen Sie sie in das Textfeld ein, wie unten gezeigt:

Die Auswahl des Eintragscompute.firewalls.list, der aus der Berechtigungstabelle herausgefiltert wurde, führt zu diesem Dialog:

Klicken Sie auf das Umschaltfeld, um die Berechtigung zu aktivieren:

Klicken Sie aufHINZUFÜGEN.

Der BildschirmRolle erstellenwird wieder angezeigt. Beachten Sie, dass die Berechtigungcompute.firewalls.listder Rolle hinzugefügt wurde:

compute.networks.list hinzufügen Berechtigung

Fügen Sie mit den gleichen Schritten wie oben die Berechtigungcompute.networks.listhinzu. Stellen Sie jedoch sicher, dass Sie die richtige Regel auswählen. Wie Sie unten sehen können, werden beim Eingeben des Berechtigungstexts in dasFiltertabellenfeldzwei Berechtigungen aufgeführt. Wählen Sie den Eintragcompute.networks.list:

Klicken Sie aufHINZUFÜGEN.

Die zwei obligatorischen Berechtigungen, die unserer Rolle hinzugefügt wurden:

Projektebene oder Subnet-Level

Bestimmen Sie, welche Zugriffsebene die Rolle hat, z. B. Zugriff auf Projektebene oder ein eingeschränkteres Modell mithilfe des Zugriffs auf Subnetze. Für die Zwecke dieses Dokuments erstellen wir derzeit die Rolle mit dem NamenCitrix-ProjectLevel-SharedVpc Role, daher fügen wir die Berechtigungencompute.subnetworks.listundcompute.subnetworks.usemithilfe der oben genannten Schritte hinzu. Der resultierende Bildschirm sieht so aus, wobei die vier Berechtigungen erteilt wurden, bevor Sie aufErstellenklicken:

Klicken Sie aufCREATE.

Hinweis:

Wenn die Rolle auf Subnetebene hier erstellt wurde, hätten wir aufCREATEgeklickt, anstatt die beiden zusätzlichen Berechtigungencompute.subnetworks.listundcompute.subnetworks.usehinzuzufügen.

Citrix-ProjectLevel-SharedVpc Role Created

Gewusst wie: Hinzufügen eines Dienstkontos zur IAM-Rolle des Hostprojekts

Nachdem wir das neue erstellt habenCitrix-ProjectLevel-SharedVpc Role, müssen wir ihm innerhalb des Hostprojekts ein Dienstkonto hinzufügen. In diesem Beispiel verwenden wir ein Dienstkonto mit dem Namencitrix-shared-vpc-service-account.

Navigiere zu IAM & Admin

Der erste Schritt besteht darin, zum BildschirmIAM & Rolesfür das Projekt zu navigieren. Wählen Sie in der KonsoleIAM und Adminaus. Wählen SieIAM:

Fenster “Projektberechtigungen”

Fügen Sie Mitglieder mit den angegebenen Berechtigungen hinzu. Klicken Sie aufHINZUFÜGEN, um die Mitgliederliste anzuzeigen:

Bereich “Mitglieder hinzufügen”

Wenn Sie aufHINZUFÜGENklicken, wird ein kleines Panel wie in der Abbildung unten gezeigt angezeigt. Die Daten werden im folgenden Schritt eingegeben.

Dienstkonto hinzufügen

Beginnen Sie mit der Eingabe des Namens Ihres Dienstkontos in das Feld. Während der Eingabe durchsucht Google Cloud die Projekte, auf die Sie zugreifen können, und eine eingeschränkte Liste möglicher Übereinstimmungen vorlegen. In diesem Fall haben wir eine Übereinstimmung (die direkt unter dem Ausfüllen angezeigt wird), also wählen wir diesen Eintrag aus:

Rollen-Selektion

Nachdem Sie denMitgliedsnamen(in unserem Fall das Dienstkonto) angegeben haben, wählen Sie eine Rolle aus, die das Dienstkonto wie im Shared VPC-Projekt funktionieren soll. Starten Sie diesen Prozess, indem Sie auf die angegebene Liste klicken:

Auswählen einer Rolle

Beachten Sie, dass der Prozess “Rolle auswählen”dem Prozess “Rolle auswählen” dem vorherigen How To - Create a New IAM-Rolle entspricht. In diesem Fall werden mehrere weitere Optionen sowie das Ausfüllen angezeigt.

Geben Sie die Rolle

Da wir die Rolle kennen, die wir anwenden möchten, können wir anfangen zu tippen. Sobald die beabsichtigte Rolle angezeigt wird, wählen Sie die Rolle aus:

Auswählen und speichern

Nachdem Sie die Rolle ausgewählt haben, klicken Sie aufSpeichern:

Wir haben das Dienstkonto nun erfolgreich zum Hostprojekt hinzugefügt.

Gewusst wie: Berechtigungen auf Subnetzebene

Wenn Sie sich entschieden haben, den Zugriff auf Subnetzebene anstelle des Zugriffs auf Projektebene zu verwenden, müssen Sie die Dienstkonten, die mit der freigegebenen VPC verwendet werden sollen, als Mitglieder für jedes Subnetz hinzufügen, das die Ressourcen darstellt, auf die zugegriffen werden soll. In diesem Abschnitt werden wir das angegebene Dienstkontosharedvpc-sa\@citrix-mcs-documentation.iam.gserviceaccount.commit Zugriff auf ein einzelnes Subnetz in unserer Shared VPC bereitstellen.

Navigieren Sie zu VPC > Shared VPC

Der erste Schritt besteht darin, in Google Console zum Bildschirm Shared VPC zu navigieren:

Erster freigegebener VPC-Bildschirm

死是死Zielseite毛穴谷歌云康索尔e Shared VPC-Bildschirm. Dieses Projekt zeigt fünf Subnetze. Das Dienstkonto in diesem Beispiel erfordert Zugriff auf das zweiteSubnet-Subnetz(das letzte Subnetz in der Liste unten).

Aktivieren Sie das Kontrollkästchen neben dem zweitenSubnetz-Subnetz:

Wählen Sie das Subnetz für den Zugriff auf das Dienstkonto aus

Nachdem das Kontrollkästchen für das letzte Subnetz aktiviert wurde, beachten Sie, dass die OptionADD MEMBERoben rechts auf dem Bildschirm angezeigt wird.

Es是欧什怒tzlich, dass diese Übung die Anzahl der Benutzer notiert, mit denen dieses Subnetz freigegeben wurde. Wie angegeben hat ein Benutzer Zugriff auf dieses Subnetz.

Klicken Sie aufMITGLIED HINZUFÜGEN:

Geben Sie einen neuen Mitgliedsnamen ein

Ähnlich wie bei den Schritten, die erforderlich sind, um das Dienstkonto zum Hostprojekt im vorhergehenden Abschnitt How Tor hinzuzufügen, muss der Name des neuen Mitglieds auch hier angegeben werden. Nach dem Ausfüllen des Namens listet Google Cloud alle zugehörigen Artikel (wie zuvor) auf, damit wir das entsprechende Dienstkonto auswählen können. In diesem Fall handelt es sich um einen einzelnen Eintrag.

Doppelklicken Sie auf dasDienstkonto, um es auszuwählen:

Wählen Sie eine Rolle für das neue Mitglied

Nachdem ein Dienstkonto ausgewählt wurde, muss auch eine Rolle für das neue Mitglied ausgewählt werden:

1. Klicken Sie in der Liste aufRolle auswählen.

2. Doppelklicken Sie auf die RolleCompute-Netzwerkbenutzer.

Rolle ausgewählt

Das Bild zeigt, dass das Dienstkonto und die Rolle angegeben wurden. Der einzige verbleibende Schritt besteht darin, aufSAVEzu klicken, um die Änderungen zu übernehmen:

Der Benutzer wurde dem Subnetz hinzugefügt

Nachdem die Änderungen gespeichert wurden, wird der Hauptbildschirm für freigegebene VPC angezeigt. Beachten Sie, dass die Anzahl der Benutzer, die Zugriff auf das letzte Subnetz haben, wie erwartet auf zwei gestiegen ist:

How To: Hinzufügen eines Project CloudBuild Service-Kontos zur freigegebenen VPC

Jedes Google Cloud-Abonnement hat ein Dienstkonto, das nach der Projekt-ID-Nummer gefolgt voncloudbuild.gserviceaccountbenannt ist. Ein Beispiel für einen vollständigen Namen (unter Verwendung einer erfundenen Projekt-ID) lautet:

705794712345 bei cloudbuild.gserviceaccount.

Diesescloudbuild-Dienstkontomuss ebenfalls als Mitglied der Shared VPC hinzugefügt werden, genauso wie das Dienstkonto, das Sie zum Erstellen von Hostverbindungen verwenden, in Schritt 3 vonHow To: Add Service Account to Host Project IAM-Rollewar.

Sie können bestimmen, wie hoch die Projekt-ID-Nummer für Ihr Projekt ist, indem Sie im Google Cloud Console-MenüStartseiteundDashboardauswählen:

Suchen Sie dieProjektnummerim BereichProjektinformationendes Bildschirms.

Geben Sie die Kombination aus Projektnummer/cloudbuild.gserviceaccount in das FeldMitglied hinzufügenein. Weisen Sie eine Rolle desComputer-Netzwerkbenutzerszu:

Wählen SieSpeichern.

Gewusst wie: Firewallregeln

Das Erstellen der benötigten Firewallregeln ist etwas einfacher als das Erstellen der Rollen.

Wählen Sie Host-Projekt

Wie bereits in diesem Dokument erwähnt, müssen die beiden Firewallregeln im Hostprojekt erstellt werden.

Stellen Sie sicher, dass Sie dasHostprojektausgewählt haben.

VPC Netzwerk > Firewall

Navigieren Sie im Google Console-Menü zuVPC > Firewall, wie unten gezeigt:

Schaltfläche Firewallregel erstellen

Am oberen Rand des Firewall-Bildschirms in Google Console enthält eine Schaltfläche zum Erstellen einer neuen Regel.

Klicken Sie aufCREATE FIREWALL RULE:

Neuen Firewall-Bildschirm erstellen

Der Bildschirm zum Erstellen neuer Firewallregeln ist unten dargestellt:

Ingress-Regel: Daten ausfüllen

Erstellen Sie zunächst die erforderlicheDeny-All Ingress-Regel, indem Sie den folgenden Feldern Werte hinzufügen oder ändern:

• Name

  Geben Sie Ihrer Deny-All Ingress-Firewallregel einen Namen. Beispiel:citrix-deny-all-ingress-rule.

• Netzwerk

  Wählen Sie das Shared VPC-Netzwerk, gegen das diese Ingress-Firewallregel angewendet wird. Zum Beispiel:gcp-test-vpc.

• Priorität

  Der Wert in diesem Bereich ist entscheidend. In der Welt der Firewallregeln gilt: Jeniedrigerder Prioritätswert ist, destohöherist die Regel im Vordergrund. Aus diesem Grund haben alle Standardregeln einen Wert von 66536, sodass alle benutzerdefinierten Regeln, die einen Wert unter 65536 haben, Vorrang vor einer der Standardregeln haben.

  Für diese beiden Regeln müssen sie die Regeln mit der höchsten Priorität im Netzwerk haben. Wir werden einen Wert von 10 verwenden.

• Richtung des Verkehrs

  Die Standardeinstellung für das Erstellen einer neuen Regel istIngress, die bereits ausgewählt sein sollte.

• Aktion bei Spiel

  Dieser Wert wird standardmäßig aufZulassengesetzt. Wir müssen es inDenyändern.

• Ziele

  Dies ist das andere sehr kritische Gebiet. Der Standardtyp von Zielen istAngegebene Ziel-Tags, die genau das ist, was wir wollen. Geben Sie im TextfeldTarget Tagsden Wertcitrix-provisioning-quarantine-firewall ein.

• Quell-Filter

  Für den Quellfilter behalten wir den Standardfiltertyp derIP-Bereichebei und geben einen Bereich ein, der demgesamtenDatenverkehr entspricht. Dafür verwenden wir einen Wert von 0.0.0.0/0.

• Protokolle und Ports

  Wählen Sie unter Protokolle und Ports die OptionAlle verweigern aus.

Der fertige Bildschirm sollte so aussehen:

Klicken Sie aufCREATEund generieren Sie die neue Regel.

Egress-Regel: Daten ausfüllen

Die Ausgangsregel ist fast identisch mit der zuvor erstellten Ingress-Regel. Verwenden Sie dieCREATE FIREWALL RULEwie oben beschrieben erneut und füllen Sie die Felder wie unten beschrieben aus:

• Name

  Geben Sie Ihrer Deny-All Egress-Firewallregel einen Namen. Hier werden wir siecitrix-deny-all-egress-rulenennen.

• Netzwerk

  Wählen Sie hier das gleiche Shared VPC-Netzwerk aus, das beim Erstellen der obigen Ingress-Firewallregel verwendet wurde. Zum Beispiel:gcp-test-vpc.

• Priorität

  Wie oben erwähnt, werden wir einen Wert von 10 verwenden.

• Richtung des Verkehrs

  Für diese Regel müssen wir von der Standardeinstellung wechseln undEgressauswählen.

• Aktion bei Spiel

  Dieser Wert wird standardmäßig aufZulassengesetzt. Wir müssen es inDenyändern.

• Ziele

  Geben Sie den Wertcitrix-provisioning-quarantine-firewallin das FeldZiel-Tagsein.

• Quell-Filter

  Für denQuellfilterbehalten wir den Standardfiltertyp vonIP-Bereichenbei und geben einen Bereich ein, der demgesamtenDatenverkehr entspricht. Dafür verwenden wir einen Wert von 0.0.0.0/0.

• Protokolle und Ports

  Wählen Sie unterProtokolle und Portsdie OptionAlle verweigernaus.

Der fertige Bildschirm sollte so aussehen:

Klicken Sie aufCREATE, um die neue Regel zu generieren.

Die beiden notwendigen Firewallregeln wurden erstellt. Wenn bei der Bereitstellung von Maschinenkatalogen mehrere gemeinsam genutzte VPCs verwendet werden, wiederholen Sie die oben ausgeführten Schritte. Erstellen Sie zwei Regeln für jedes der identifizierten Shared VPCs in ihren jeweiligen Host-Projekten.

How To: Hinzufügen einer Netzwerkschnittstelle zu Cloud Connector-Instanz

Wenn Sie Cloud Connectors für die Verwendung mit der Shared VPC erstellen, muss der Instanzbei der Erstellung eine zusätzliche Netzwerkschnittstelle hinzugefügt werden.

Zusätzliche Netzwerkschnittstellen können nicht hinzugefügt werden, sobald die Instanz existiert. So fügen Sie die zweite Netzwerkschnittstelle hinzu:

Der anfängliche Bereich für Netzwerkeinstellungen für eine GCP-Instanz

Dies ist der erste Bereich für Netzwerkeinstellungen, der beim ersten Erstellen einer Netzwerkinstanz angezeigt wird

Da wir die erste Netzwerkinstanz für die Shared VPC verwenden möchten, klicken Sie auf dasBleistift-Symbol, um in denBearbeitungsmoduszu wechseln.

Der Bildschirm mit erweiterten Netzwerkeinstellungen ist unten. Ein wichtiger Punkt ist, dass wir jetzt die Option fürNetzwerke sehen können, die mit mir geteilt wurden (aus dem Hostprojekt: citrix-shared-vpc-project-1)direkt unter demNetzwerkschnittstellen-Banner:

DasBedienfeld “Netzwerkeinstellungen” mit ausgewähltem Fenster “Gemeinsame VPC“ zeigt Folgendes

• Das共享VPC-Netzwerkwurde ausgewählt.

• DasSubnetz-Subnetzwurde ausgewählt.

• Die Einstellung auf eine externe IP-Adresse wurde aufNonegeändert.

Klicken Sie aufFertigum die Änderungen zu speichern. Klicken Sie aufNetzwerkschnittstelle hinzufügen.

Zweite Netzwerkschnittstelle hinzufügen

Wir haben jetzt unser erstes Interface mit der Shared VPC verbunden (wie angegeben). Wir können die zweite Schnittstelle mit den gleichen Schritten konfigurieren, die normalerweise bei der Erstellung eines neuen Cloud Connector verwendet wird. Wählen Sie ein Netzwerk oder ein Subnetz aus, treffen Sie eine Entscheidung über eine externe IP-Adresse und klicken Sie dann aufFertig:

Gewusst wie: Erstellen einer Hostverbindung und einer Hosting-Einheit

Das Erstellen einer Hostverbindung für die Verwendung mit Shared VPCs unterscheidet sich nicht wesentlich von der Erstellung einer für die Verwendung mit einer lokalen VPC. Der Unterschied besteht in der Auswahl der Ressourcen, die der Hostverbindung zugeordnet werden sollen. Verwenden Sie beim Erstellen einer Hostverbindung für den Zugriff auf freigegebene VPC-Ressourcen die JSON-Dateien für das Projekt, in dem sich die bereitgestellten Maschinen befinden.

Anmeldeinformationen und Verbindungsname

Das Erstellen einer Hostverbindung für die Verwendung von freigegebenen VPC-Ressourcen ähnelt dem Erstellen anderer GCP-bezogener Hostverbindungen:

Wählen Sie Projekt und Region

Sobald Ihr Projekt, das in der folgenden Abbildung alsDeveloper Projectangezeigt wird, der auf die Shared VPC zugreifen kann, hinzugefügt wurde, sehen Sie möglicherweise sowohl Ihr Projekt als auch das Shared VPC-Projekt in Studio.Es ist wichtig sicherzustellen, dass Sie das Projekt auswählen, in dem sich der bereitgestellte Maschinenkatalog befinden soll, undnichtdie Shared VPC:

Ressourcen wählen

Wählen Sie die Ressourcen aus, die mit der Hostverbindung verknüpft sind.

Beachten Sie Folgendes:

• Der für die Ressourcen angegebene Name lautetSharedVPCResources.

• Die Liste der virtuellen Netzwerke, aus denen Sie auswählen können, enthält die aus dem lokalen Projekt sowie die aus der Shared VPC, die durch(Shared)an die Netzwerknamen angehängt wird.

Hinweis:

Wenn keine Netzwerke mitSharedan den Namen angehängt werden, klicken Sie auf die SchaltflächeZurückund vergewissern Sie sich, dass Sie das richtige Projekt ausgewählt haben. Wenn Sie überprüfen, dass das ausgewählte Projekt korrekt ist und immer noch keine freigegebenen VPCs angezeigt werden, ist in der Google Cloud Console etwas falsch konfiguriert. Weitere Informationen zuhäufig auftretenden Problemen und Fehlernfinden Sie weiter unten in diesem Dokument.

Ressourcen ausgewählt

Die folgende Abbildung zeigt, dass das virtuellegcp-test-vpc (Shared)Netzwerk im vorherigen Schritt ausgewählt wurde. Es zeigt auch, dass das Subnetz mit dem Namensubnet-goodausgewählt wurde. Klicken Sie aufWeiter.

Bildschirm “Zusammenfassung”

Nachdem Sie aufWeiter geklickt haben,erscheint derBildschirm Zusammenfassung. In diesem Bildschirm sollten Sie Folgendes berücksichtigen:

• Das Projekt istDeveloper Project.

• Das virtuelle Netzwerk istgcp-test-vpc, eines aus der Shared VPC.

• Das Subnetz istSubnet-gut.

Gewusst wie: Erstellen eines Katalogs

Von diesem Zeitpunkt an wird alles wie Katalogerstellung, Starten/Stoppen von Maschinen, Aktualisieren von Maschinen usw. genauso ausgeführt, wie es bei der Verwendung von Local VPCs der Fall ist.

Häufig auftretende Probleme und Fehler

Die Arbeit mit einem komplexen System mit Abhängigkeiten kann zu unerwarteten Situationen führen. Im Folgenden finden Sie einige häufig auftretende Probleme und Fehler, die bei der Einrichtung und Konfiguration für die Verwendung von Citrix DaaS und GCP Shared VPCs auftreten können.

Fehlende oder falsche Firewallregeln

Wenn die Firewallregeln nicht gefunden werden oder die Regeln gefunden werden, die Regeln oder Prioritäten jedoch nicht korrekt sind, wird eine Meldung dieses Formulars zurückgegeben:

“Es konnten keine gültigen INGRESS- und EGRESS-Quarantäne-Firewallregeln für VPC gefunden werden im Projekt . “Bitte stellen Sie sicher, dass Sie Firewallregeln mit dem Netzwerk-Tag “Citrix-Provisioning-Quarantäne-Firewall” und der richtigen Priorität erstellt haben. “ “Einzelheiten finden Sie in der Citrix Dokumentation. “);

Wenn diese Meldung angezeigt wird, müssen Sie die Firewallregeln, ihre Prioritäten und die Netzwerke überprüfen, für die sie gelten. Einzelheiten finden Sie im AbschnittVorgehensweise — Firewallregeln.

Fehlende gemeinsam genutzte Ressourcen beim Erstellen einer Hostverbindung

Es gibt einige Gründe, warum diese Situation eintreten kann:

Das falsche Projekt wurde beim Erstellen der Host-Verbindung ausgewählt

Wenn beispielsweise das Shared VPC Host-Projekt beim Erstellen der Hostverbindung anstelle Ihres Projekts ausgewählt wurde, sehen Sie weiterhin die Netzwerkressourcen aus der Shared VPC, an die siejedochnicht(Shared)angehängt werden.

Wenn Sie die freigegebenen Subnetze ohne diese zusätzlichen Informationen sehen, wurde die Hostverbindung wahrscheinlich mit dem falschen Dienstkonto hergestellt.

WeitereInformationen finden Sie unter Host-Verbindung und Hosting-Einheit erstellen.

民主党Dienstkonto,一张falsche罗尔zugewiesen

Wenn dem Dienstkonto die falsche Rolle zugewiesen wurde, können Sie möglicherweise nicht auf die gewünschten Ressourcen in der freigegebenen VPC zugreifen. Weitere Informationen findenSie unter Vorgehensweise - Hinzufügen eines Dienstkontos zur Hostprojekt-IAM-Rolle.

Rolle erteilte unvollständige oder falsche Berechtigungen

Die richtige Rolle kann dem Dienstkonto zugewiesen werden, aber die Rolle selbst ist möglicherweise unvollständig. Weitere Informationen findenSie unter Vorgehensweise — Erstellen einer neuen IAM-Rolle.

Dienstkonto wurde nicht als Subnet-Mitglied hinzugefügt

Wenn Sie den Zugriff auf Subnetzebene verwenden, stellen Sie sicher, dass das Dienstkonto als Mitglied (Benutzer) der gewünschten Subnetzressourcen ordnungsgemäß hinzugefügt wurde. Weitere Informationen finden Sie unterVorgehensweise — Berechtigungen auf Subnetzebene.

Pfadfehler in Studio kann nicht gefunden werden

Wenn beim Erstellen eines Katalogs in Studio des Formulars eine Fehlermeldung angezeigt wird:

Cannot find path “XDHyp:\\Connections …” because it does not exist

Es ist sehr wahrscheinlich, dass kein neuer Cloud Connector erstellt wurde, um die Nutzung der Shared VPC-Ressourcen zu erleichtern. Es ist einfach zu übersehen, nachdem Sie alle oben genannten Schritte durchlaufen haben, um alles zu konfigurieren. InCloud Connectorsfinden Sie wichtige Hinweise zur Erstellung dieser Connectors.