创建一个Google云平台目录
创建机器目录描述创建计算机目录的向导。以下信息涵盖了特定于Google云环境的详细信息。
注意:
在创建Google云平台(GCP)目录之前,您需要完成与GCP的连接的创建。看到连接到谷歌云环境.
准备主虚拟机实例和持久磁盘
提示:
持久化磁盘是Google Cloud中虚拟磁盘的术语。
要准备主VM实例,请创建并配置一个VM实例,其属性与计划的机器编目中克隆VDA实例所需的配置相匹配。该配置不仅适用于实例大小和类型。它还包括元数据、标记、GPU分配、网络标记和服务帐户属性等实例属性。
作为主控过程的一部分,MCS使用您的主VM实例来创建Google Cloud实例模板.然后使用实例模板创建包含机器编目的克隆VDA实例。克隆实例将继承创建虚拟机模板的主虚拟机实例的属性(VPC、子网、持久化磁盘属性除外)。
根据具体情况配置主VM实例的属性后,启动实例,然后为实例准备持久磁盘。
建议手动创建磁盘快照。这样做可以让您使用有意义的命名约定来跟踪版本,为管理主映像的早期版本提供更多选项,并节省创建机器目录的时间。如果您不创建自己的快照,MCS会为您创建一个临时快照(在供应过程结束时删除)。
创建机器目录
注意:
在创建机器目录之前先创建资源。在配置机器目录时,使用Google Cloud建立的命名约定。看到桶和对象命名指南了解更多信息。
遵循创建机器目录.以下描述是Google Cloud目录所独有的。
从管理>全配置中,选择机目录在左边窗格中。
选择创建机器目录在操作栏中。
在机器类型页面,选择Multi-session操作系统然后选择下一个.
- Citrix DaaS还支持单会话操作系统。
在机管理页,选择电源管理的机器和思杰机器创建服务选项,然后选择下一个.如果有多个资源,请在菜单中选择一个资源。
在主形象页面,选择虚拟机和目录的最低功能级别,然后选择下一个.如果希望使用单租户功能,请确保选择一个节点组属性配置正确的映像。看到启用区域选择.
在存储页,选择用于包含此机器目录的操作系统的存储类型。以下每种存储选项都具有独特的价格和性能特征。(始终使用分区标准持久磁盘创建标识磁盘。)
- 标准持久磁盘
- 均衡持久磁盘
- SSD持久盘
有关Google Cloud存储选项的详细信息,请参见https://cloud.google.com/compute/docs/disks/.
在虚拟机界面,指定需要创建的虚拟机数量,查看虚拟机的详细规格,然后选择下一个.如果为机器编目使用单独的租户节点组,请确保选择只有保留的唯一租户节点所在的分区可用。看到启用区域选择.
在磁盘设置页面中,可以进行如下配置:
选择是否开启回写缓存。启用回写缓存后,您可以执行以下操作:
- 配置用于缓存临时数据的磁盘大小和内存大小。有关更多信息,请参见为临时数据配置缓存.
- 选择回写缓存盘的存储类型。可用于回写缓存磁盘的存储选项如下:
- 标准持久磁盘
- 均衡持久磁盘
- SSD持久盘
GCP存储选项请参见https://cloud.google.com/compute/docs/disks/.
- 选择回写缓存盘的类型。
- 使用非持久化回写缓存盘.选中后,发放的虚拟机不保留回写缓存盘。在电源周期内删除磁盘,所有重定向到该磁盘的数据将丢失。
- 使用持久回写缓存磁盘.选中后,发放的虚拟机将保留回写缓存盘。启用此选项会增加存储成本。
当开启MCS I/O功能时,可选择在下电周期是否为vda保留系统盘。有关更多信息,请参见启用MCS存储优化更新.
选择是否使用您自己的密钥来保护磁盘内容。要使用该特性,必须首先创建自己的客户管理加密密钥(cmek)。有关更多信息,请参见使用客户管理加密密钥(CMEK).
注意:
它只在管理>全配置接口。
创建密钥后,您可以从列表中选择其中一个密钥。创建目录后不能更改密钥。Google Cloud不支持在现有的持久化磁盘或映像上旋转键。因此,在提供目录之后,该目录将绑定到键的特定版本。如果该密钥被禁用或销毁,则使用该密钥加密的实例和磁盘将无法使用,直到重新启用或恢复该密钥。
在机身份页,选择活动目录帐户,然后选择下一个.
- 如果你选择创建新的Active Directory帐户,选择一个域,然后输入表示在Active Directory中创建的已分配虚拟机计算机帐户的命名方案的字符序列。帐户命名方案长度范围为1 ~ 64个字符,不能包含空格、非ascii字符和特殊字符。
- 如果你选择使用现有的Active Directory帐户中,选择浏览以导航到所选计算机的现有Active Directory计算机帐户。
在域凭据页面,选择输入凭证,输入用户名和密码,选择保存,然后选择下一个.
- 您键入的凭据必须具有执行Active Directory帐户操作的权限。
在作用域页,为机器目录选择作用域,然后选择下一个.
- 您可以选择可选的作用域或选择自定义范围根据需要自定义作用域。
在总结页,确认信息,为目录指定名称,然后选择完成.
注意:
目录名长度范围为1 ~ 39个字符,且不能只包含空格或字符
\ /;: #。* ?= < > | [] {} " ' ()”).
机器目录的创建可能需要很长时间才能完成。完成后,将列出目录。您可以在Google Cloud控制台中验证机器是否在目标节点组上创建。
使用PowerShell创建具有持久回写缓存磁盘的目录
要配置具有持久回写缓存磁盘的目录,请使用PowerShell参数New-ProvScheme CustomProperties.
提示:
使用PowerShell参数
New-ProvScheme CustomProperties仅适用于基于云的托管连接。如果您希望为本地解决方案(例如,Citrix Hypervisor)提供使用持久回写缓存磁盘的机器,则不需要PowerShell,因为磁盘会自动持久。
这个参数支持一个额外的属性,PersistWBC,用于确定MCS配置的计算机的回写缓存磁盘如何持续存在。的PersistWBC属性时才使用UseWriteBackCache参数指定时,当WriteBackCacheDiskSize参数表示创建磁盘成功。
注意:
此行为适用于Azure和GCP,其中在电源循环时删除并重新创建默认的MCSIO回写缓存磁盘。您可以选择持久化磁盘,以避免删除和重新创建MCSIO回写缓存磁盘。
中的属性示例CustomProperties支持前参数PersistWBC包括:
注意:
此示例仅适用于Azure。这些属性在GCP环境中是不同的。
属性中省略这些属性时,请考虑它们包含默认值CustomProperties参数。的PersistWBC属性有两个可能的值:真正的或假.
设置PersistWBC财产真正的当Citrix虚拟应用程序和桌面系统管理员从管理界面关闭计算机时,不删除回写缓存磁盘。
设置PersistWBC财产假当Citrix虚拟应用程序和桌面系统管理员从管理界面关闭计算机时,删除回写缓存磁盘。
注意:
如果
PersistWBC属性省略时,该属性默认为假当机器从管理界面关闭时,回写缓存将被删除。
例如,使用CustomProperties要设置的参数PersistWBC正确的:
重要的是:
的
PersistWBC属性只能使用New-ProvSchemePowerShell cmdlet。试图改变CustomProperties在机器关闭时,配置方案的创建对机器编目和回写缓存磁盘的持久性没有影响。
例如,设置New-ProvScheme属性时使用回写缓存PersistWBC属性为true:
New-ProvScheme -CleanOnBoot -CustomProperties "提高启动性能与MCSIO
当启用MCSIO时,您可以提高Azure和GCP管理磁盘的启动性能。使用PowerShellPersistOSDisk的自定义属性。New-ProvScheme命令,配置该特性。的相关选项New-ProvScheme包括:
要启用该特性,请设置PersistOSDisk自定义属性真正的.例如:
New-ProvScheme -CleanOnBoot -CustomProperties "使用机器概要文件创建机器目录
当您创建一个目录来使用机器创建服务(MCS)供应机器时,您可以使用机器配置文件从虚拟机捕获硬件属性,并将它们应用于目录中新供应的虚拟机。当MachineProfile参数,则从主镜像虚拟机或快照中捕获硬件属性。有些属性是显式定义的,例如,StorageType,CatalogZones和CryptoKeyIs从机器配置文件中忽略。
- 要使用机器配置文件创建目录,请使用
New-ProvScheme命令。例如,New-ProvScheme -MachineProfile "到虚拟机的路径".如果没有指定MachineProfile参数,从主镜像虚拟机捕获硬件属性。 - 要使用新机器配置文件更新目录,请使用
Set-ProvScheme命令。例如,Set-ProvScheme -MachineProfile "新虚拟机路径".该命令不会改变目录中现有虚拟机的机器配置文件。只有新创建的虚拟机添加到目录中才有新的机器配置文件。 - 您也可以更新主映像,但是,当您更新主映像时,硬件属性不会更新。如果要更新硬件属性,则需要使用
Set-ProvScheme命令。这些更改只适用于目录中的新机器。要更新现有机器的硬件属性,可以使用Request-ProvVMUpdate命令。
创建使用机器概要文件作为实例模板的机器目录
您可以选择一个GCP实例模板作为机器概要文件的输入。实例模板是GCP中的轻量级资源,因此非常经济有效。
使用PowerShell命令创建一个新的机器目录,将machine profile作为实例模板:
- 打开PowerShell窗口。
- 运行
asnp citrix *来加载citrix特有的PowerShell模块。 使用以下命令在GCP项目中查找实例模板:
cd XDHyp: \ HostingUnits \ < HostingUnitName > \ instanceTemplates。文件夹< !——NeedCopy >使用NewProvScheme命令以machine profile作为实例模板创建一个新的机器目录:
New-ProvScheme -ProvisioningSchemeName-HostingUnitName -IdentityPoolName <身份池名称> -MasterImageVM xdhp:\HostingUnits\ \Base.vm\Base。快照- machine - profile xdhp:\HostingUnits\ \ instancetemplate .folder\mytemplate。模板< !——NeedCopy > 有关New-ProvScheme命令的详细信息请参见https://developer-docs.citrix.com/projects/citrix-daas-sdk/en/latest/MachineCreation/New-ProvScheme/.
- 使用PowerShell命令完成机器目录的创建。
将现有机器目录的机器配置文件更改为实例模板。
- 打开PowerShell窗口。
- 运行
asnp citrix *来加载citrix特有的PowerShell模块。 执行如下命令:
Set-ProvScheme -ProvisioningSchemeName-MachineProfile xdhp:\HostingUnits\ \ instancetemplate .folder\ 。模板< !——NeedCopy > Set-ProvScheme命令的详细信息请参见https://developer-docs.citrix.com/projects/citrix-daas-sdk/en/latest/MachineCreation/Set-ProvScheme/.
使用PowerShell创建屏蔽虚拟机目录
您可以创建具有屏蔽虚拟机属性的MCS机器目录。屏蔽虚拟机通过一组安全控制来加强,这些控制提供了计算引擎实例的可验证完整性,使用高级平台安全功能,如安全启动、虚拟可信平台模块、UEFI固件和完整性监控。
MCS支持使用机器配置文件工作流创建目录。如果使用机器配置文件工作流,则必须启用虚拟机实例的屏蔽虚拟机属性。然后,您可以使用此VM实例作为机器配置文件输入。
使用机器配置文件工作流创建带有屏蔽VM的MCS机器目录。
- 在Google Cloud控制台中启用虚拟机实例的屏蔽虚拟机选项。看到快速入门:启用屏蔽虚拟机选项.
- 通过使用VM实例创建具有机器配置文件工作流的MCS机器目录。
- 打开PowerShell窗口
- 运行
asnp citrix *来加载citrix特有的PowerShell模块。 - 如果尚未创建标识池,请创建标识池。
运行
New-ProvScheme命令。例如:New-ProvScheme -ProvisioningSchemeName-HostingUnitName gcp-hostint-unit -MasterImageVM XDHyp:\HostingUnits\gcp-hostint-unit\catalog-vda。vm -machine - profile XDHyp:\HostingUnits\gcp-hostint-unit\catalog-machine。vm < !——NeedCopy >
- 完成创建机器目录。
用新的机器配置文件更新机器目录:
运行
Set-ProvScheme命令。例如:Set-ProvScheme -ProvisioningSchemeName-MasterImageVM xdhp:\HostingUnits\ \catalog-vda。vm -machine - profile "DHyp:\HostingUnits\ \catalog-machine。vm < !——NeedCopy >
应用中所做的更改Set-ProvScheme在已有的虚拟机中,执行Request-ProvVMUpdate命令。
运行
Request-ProvVMUpdate命令。例如:Request-ProvVMUpdate -ProvisioningSchemeName-VMName 重启虚拟机。
导入手动创建的Google Cloud机器
你可以创建与谷歌云的连接然后创建一个包含Google Cloud机器的目录.然后,您可以通过Citrix DaaS手动启动Google Cloud机器。使用此功能,您可以:
- 将手动创建的Google Cloud多会话操作系统机器导入到Citrix Virtual Apps and台式机目录中。
- 从Citrix虚拟应用程序和桌面目录中删除手动创建的Google Cloud多会话操作系统机器。
- 使用现有的Citrix Virtual Apps和桌面电源管理功能来管理Google Cloud Windows多会话操作系统机器。例如,为这些机器设置一个重启时间表。
此功能不需要更改现有的Citrix Virtual Apps和台式机配置工作流,也不需要删除任何现有功能。我们建议您使用MCS在Citrix DaaS的完整配置界面中配置机器,而不是导入手动创建的Google Cloud机器。
共享虚拟私有云
共享vpc (Shared Virtual Private cloud)由一个主机项目和一个或多个使用共享子网资源的服务项目组成。共享vpc是大型安装的理想选择,因为它们提供了对共享企业Google云资源的集中控制、使用和管理。有关更多信息,请参见谷歌文档网站.
有了这个特性,机器创建服务(MCS)支持配置和管理部署到共享vpc的机器目录。这种支持在功能上等同于当前本地vpc提供的支持,但在两个方面有所不同:
- 必须向用于创建主机连接的服务帐户授予额外权限。MCS通过该流程可以访问和使用共享VPC资源。
- 您必须创建两个防火墙规则,分别用于入口和出口。这些防火墙规则在图像处理过程中使用。
需要新的权限
创建主机连接时需要一个具有特定权限的Google Cloud服务帐户。用于创建基于共享VPC的主机连接的业务帐户必须具有这些附加权限。
提示:
这些附加权限对于Citrix DaaS来说并不新鲜。用于方便本地vpc的实现。使用共享VPC时,用户可以访问其他共享VPC的资源。
与主机连接关联的业务帐户,最多需要额外授予4种权限,才能支持共享VPC:
- compute.firewalls.list—该权限为必选权限。它允许MCS检索共享VPC中存在的防火墙规则列表。
- compute.networks.list—该权限为必选权限。MCS可以识别业务帐户可以使用的共享VPC网络。
- compute.subnetworks.list—根据使用vpc的方式,该权限为可选权限。它允许MCS识别可见的共享vpc中的子网。使用本地VPC时需要设置该权限,共享VPC主机项目时也需要设置该权限。
- compute.subnetworks.use—根据使用vpc的方式,该权限为可选权限。有必要使用所提供的机器目录中的子网资源。使用本地VPC时已需要该权限,共享VPC主机项目中也需要该权限。
在使用这些权限时,请考虑根据用于创建机器目录的权限类型有不同的方法:
- 项目级权限:
- 允许访问主机项目内的所有共享vpc。
- 要求必须将权限#3和#4分配给服务帐户。
- Subnet-level许可:
- 允许访问共享VPC内的指定子网。
- 权限#3和#4是子网级别分配所固有的,因此不需要直接分配给服务帐户。
选择与您的组织需求和安全标准相匹配的方法。
提示:
有关项目级和子网级权限之间差异的详细信息,请参阅谷歌云文档.
防火墙规则
在准备机器目录的过程中,准备一个机器映像作为目录的主映像系统磁盘。当这个过程发生时,磁盘被临时附加到一个虚拟机。该虚拟机必须在隔离的环境中运行,以防止所有流入和流出的网络流量。这是通过一对拒绝所有防火墙规则完成的;一个用于入口,一个用于出口。当使用Google Cloud本地vcp时,MCS在本地网络中创建此防火墙,并将其应用于主机。控制完成后,将从映像中删除防火墙规则。
我们建议将使用共享vpc所需的新权限数量保持在最低限度。共享vpc是更高级的公司资源,通常具有更严格的安全协议。因此,需要在共享VPC资源的主机工程中创建一对防火墙规则,分别用于入口和出口。给他们分配最高的优先级。将一个新的目标标签应用到这些规则中,使用以下值:
citrix-provisioning-quarantine-firewall
当MCS创建或更新机器目录时,它会搜索包含此目标标记的防火墙规则。然后检查规则的正确性,并将其应用到用于为目录准备主映像的机器上。如果没有找到防火墙规则,或者找到了规则,但规则或规则优先级不正确,则显示类似如下信息:
"无法在项目
配置共享VPC
在Citrix DaaS的“Full Configuration”界面中,将共享VPC添加为主机连接前,需要完成以下步骤,将待发放项目的业务帐户添加到共享VPC中。
- 创建IAM角色。
- 将用于创建CVAD主机连接的业务帐户添加到共享VPC主机项目IAM角色中。
- 将待发放项目的Cloud Build服务帐户添加到共享VPC主机项目IAM角色中。
- 创建防火墙规则。
创建IAM角色
确定角色的访问级别-项目级访问或者一个更受限制的模型子网级访问.
IAM角色的项目级访问权限.对于项目级IAM角色,包括以下权限:
- compute.firewalls.list
- compute.networks.list
- compute.subnetworks.list
- compute.subnetworks.use
创建一个项目级IAM角色。
- 在Google Cloud控制台中,导航到IAM & Admin > Roles.
- 在角色页面,选择创建角色.
- 在创建角色页,指定角色名称。选择添加权限.
- 在添加权限页,分别向角色添加权限。要添加权限,请在文件中键入权限的名称过滤表字段。选择权限,然后选择添加.
- 选择创建.
子网级IAM角色.此角色省略了权限的添加compute.subnetworks.list和compute.subnetworks.use在选择创建角色.对于这个IAM访问级别,权限compute.firewalls.list和compute.networks.list必须应用于新角色。
创建子网级IAM角色。
- 在Google Cloud控制台中,导航到VPC网络>共享VPC.的共享VPC页面,显示主机业务群组所属共享VPC网络的子网。
- 在共享VPC页面,选择需要访问的子网。
- 在右上角,选择添加成员添加服务帐户。
- 在添加成员页面,完成以下步骤:
- 在新成员字段中,键入服务帐户的名称,然后在菜单中选择服务帐户。
- 选择选择角色字段,然后计算网络用户.
- 选择保存.
- 在Google Cloud控制台中,导航到IAM & Admin>角色.
- 在角色页面,选择创建角色.
- 在创建角色页,指定角色名称。选择添加权限.
- 在添加权限页,分别向角色添加权限。要添加权限,请在文件中键入权限的名称过滤表字段。选择权限,然后选择添加.
- 选择创建.
为主机项目IAM角色添加业务帐户
创建IAM角色后,需要按照以下步骤为主机项目添加业务帐户。
- 在Google Cloud控制台中,导航到主机项目,然后到IAM & Admin > IAM.
- 在我页面,选择添加添加服务帐户。
- 在添加成员页面:
- 在新成员字段中,键入服务帐户的名称,然后在菜单中选择服务帐户。
- 选择一个角色字段,键入您创建的IAM角色,然后在菜单中选择该角色。
- 选择保存.
现在已经为主机项目配置了服务帐户。
在共享VPC中添加云构建业务帐号
每个Google Cloud订阅都有一个服务帐户,该帐户以项目ID号命名,后面跟着cloudbuild.gserviceaccount.例如:705794712345 @cloudbuild.gserviceaccount.
您可以通过选择来确定项目的项目ID号首页和指示板在Google Cloud控制台:
找到项目数量以下项目信息屏幕的面积。
将Cloud Build业务帐户添加到共享VPC中,操作步骤如下:
- 在Google Cloud控制台中,导航到主机项目,然后到IAM & Admin>我.
- 在权限页面,选择添加添加一个帐户。
- 在添加成员页面,完成以下步骤:
- 在新成员字段,键入Cloud Build服务帐户的名称,然后在菜单中选择您的服务帐户。
- 选择选择角色字段,类型
计算机网络用户,然后在菜单中选择角色。 - 选择保存.
创建防火墙规则
作为主控过程的一部分,MCS复制选定的机器映像,并使用它为目录准备主控映像系统磁盘。在母版期间,MCS将磁盘附加到一个临时虚拟机,然后该虚拟机运行准备脚本。该虚拟机必须运行在隔离的环境中,禁止所有流入和流出的网络流量。要创建一个孤立的环境,MCS需要两个否认所有防火墙规则(入口规则和出口规则)。因此,需要创建两个防火墙规则主持的项目如下:
- 在Google Cloud控制台中,导航到主机项目,然后到“VPC网络>防火墙”.
- 在防火墙页面,选择创建防火墙规则.
- 在创建防火墙规则页,填写以下内容:
- 名字.为规则键入一个名称。
- 网络.选择入口防火墙规则应用的共享VPC网络。
- 优先级.该值越小,规则的优先级越高。我们建议设置较小的值(例如,10)。
- 交通方向.选择入口.
- 比赛行动.选择否认.
- 目标.使用默认值,指定目标标签.
- 目标标记.类型
citrix-provisioning-quarantine-firewall. - 源滤波器.使用默认值,IP范围.
- 源IP范围.键入与所有流量匹配的范围。类型
0.0.0.0/0. - 协议和端口.选择否认所有.
- 选择创建创建规则。
- 重复步骤1-4创建另一个规则。为交通方向中,选择出口.
添加连接
将网络接口添加到Cloud Connector实例后,添加连接.
启用区域选择
Citrix DaaS支持区域选择。通过选择分区,您可以指定要在哪个分区中创建虚拟机。通过区域选择,管理员可以在他们选择的区域中放置唯一的租户节点。要配置单租户,您必须在Google Cloud上完成以下操作:
- 预留一个Google Cloud单租户节点
- 创建VDA主映像
保留一个Google Cloud单租户节点
要保留单租户节点,请参阅Google Cloud文档.
重要的是:
节点模板用于描述节点组中保留系统的性能特征。这些特征包括vgpu的数量、分配给节点的内存量,以及在节点上创建的机器所使用的机器类型。有关更多信息,请参阅Google Cloud文档.
创建VDA主映像
要成功地在单租户节点上部署机器,在创建主虚拟机映像时需要采取额外的步骤。Google Cloud上的机器实例有一个属性叫做节点关联标签.作为部署到单租户节点的目录的主映像使用的实例需要一个节点亲和标签匹配的名字目标节点组.要做到这一点,请牢记以下几点:
- 对于新实例,在创建实例时在Google Cloud控制台中设置标签。有关详情,请参阅创建实例时设置节点关联标签.
- 对于现有实例,通过使用gcloud命令行。有关详情,请参阅为现有实例设置节点关联标签.
注意:
如果您打算对共享VPC使用单租户,请参见共享虚拟私有云.
创建实例时设置节点关联标签
设置节点亲和性标签。
在Google Cloud控制台中,导航到“计算引擎>虚拟机实例”.
在VM实例页面,选择创建实例.
在实例创建页,键入或配置所需的信息,然后选择管理、安全、磁盘、网络、单租户打开设置面板。
在独家租赁选项卡上,选择浏览查看当前项目中可用的节点组。的Sole-tenant节点页面出现,显示可用节点组的列表。
在Sole-tenant节点页,从列表中选择适用的节点组,然后选择选择回到独家租赁选项卡。节点关联标签字段填充您选择的信息。此设置确保将从实例创建的机器编目部署到所选节点组。
选择创建创建实例。
为现有实例设置节点关联标签
设置节点亲和性标签。
在Google Cloud Shell终端窗口中使用Gcloud计算实例命令,设置节点亲和标签。包含以下信息gcloud命令:
- 虚拟机名称.例如,使用已有的虚拟机名称为
* 2019 -共识基础.* - 节点组名称.使用前面创建的节点组名称。例如,
mh-sole-tenant-node-group-1. - 实例所在的区域.例如,虚拟机位于
* us-east-1b *区.
例如,在终端窗口中输入以下命令:
Gcloud计算实例设置调度“s2019-vda-base”——node-group=“mah -sole-tenant-node-group-1”——zone=“us-east1-b”
有关的更多信息Gcloud计算实例命令,请参阅Google开发人员工具文档https://cloud.google.com/sdk/gcloud/reference/beta/compute/instances/set-scheduling.
- 虚拟机名称.例如,使用已有的虚拟机名称为
导航到虚拟机实例详细信息页,并验证节点关联性字段用标签填充。
创建机器目录
设置节点关联标签后,配置机器目录.
使用客户管理加密密钥(CMEK)
您可以对MCS目录使用客户管理加密密钥(CMEK)。在使用此功能时,您分配了Google云密钥管理服务CryptoKey加密/解密角色转换为计算引擎服务代理。Citrix DaaS帐户在密钥所在项目中必须具有正确的权限。指通过使用云KMS密钥帮助保护资源了解更多信息。
计算引擎服务代理的格式如下:服务——<项目_Number > @compute-system.iam.gserviceaccount.com.此表单不同于默认的计算引擎服务帐户。
注意:
此计算引擎服务帐户可能不会出现在Google控制台中我的权限显示。在这种情况下,使用
gcloud命令,如通过使用云KMS密钥帮助保护资源.
为Citrix DaaS帐户分配权限
可以通过多种方式配置Google Cloud KMS权限。你可以提供项目级别KMS权限或资源水平公里的权限。看到权限和角色了解更多信息。
项目级权限
一种选择是为Citrix DaaS帐户提供项目级权限,以浏览Cloud KMS资源。为此,创建一个自定义角色,并添加以下权限:
cloudkms.keyRings.listcloudkms.keyRings.getcloudkms.cryptokeys.listcloudkms.cryptokeys.get
将此自定义角色分配给您的Citrix DaaS帐户。这允许您浏览目录中相关项目中的区域键。
资源级权限
对于另一个选项,资源级权限,在Google Cloud控制台中,浏览到cryptoKey用于MCS配置。将Citrix DaaS帐户添加到用于目录配置的密钥环或密钥中。
提示:
使用此选项时,您无法在目录中浏览项目的区域密钥,因为Citrix DaaS帐户在Cloud KMS资源上没有项目级列表权限。但是,您仍然可以使用CMEK通过指定正确的
cryptoKeyId在ProvScheme自定义属性,如下所述。
使用自定义属性配置CMEK
当通过PowerShell创建您的配置方案,指定CryptoKeyId财产ProvScheme CustomProperties.例如:
' 的cryptoKeyId必须以以下格式指定:
projectId:位置:keyRingName: cryptoKeyName
比如,如果你想用钥匙my-example-key钥匙圈内my-example-key-ring在该地区us-east1项目IDmy-example-project-1,你的ProvScheme自定义设置类似于:
' 与此配置方案相关的所有MCS配置的磁盘和映像都使用此客户管理的加密密钥。
提示:
如果使用全局键,则客户属性位置必须显示
全球而不是地区名称,在上面的示例中为us-east1.例如:<属性xsi:type="StringProperty" Name="CryptoKeyId" Value="my-example-project-1:global:my-example-key-ring:my-example-key" />.
轮换客户管理密钥
Google Cloud不支持在现有的持久化磁盘或映像上旋转键。一旦配置了一台机器,它就被绑定到创建它时正在使用的密钥版本。但是,可以创建密钥的新版本,并且新密钥用于在使用新的主映像更新目录时创建的新配置的机器或资源。
关于钥匙扣的重要注意事项
不能重命名或删除钥匙环。此外,在配置它们时可能会产生不可预见的费用。当删除或移除一个钥匙圈时,Google Cloud会显示一条错误消息:
对不起,您不能删除或重命名密钥或钥匙圈。我们担心允许多个密钥或密钥版本在一段时间内具有相同的资源名称所带来的安全隐患,因此我们决定使名称不可变。(你不能删除它们,因为我们不能做一个真正的删除——仍然需要有一个墓碑来跟踪这个名字被使用过,不能被重用)。我们知道这可能会使事情变得不整洁,但我们没有立即改变这一点的计划。如果您想避免收取密钥的费用或使其不可用,可以通过删除所有密钥版本来实现;钥匙和钥匙圈都不收费,只收取钥匙内的活动密钥版本。< !——NeedCopy >提示:
有关更多信息,请参见从控制台中编辑或删除一个密匙环.
统一的桶级访问兼容性
Citrix DaaS兼容Google Cloud统一的桶级访问控制策略。此功能增强了IAM策略的使用,该策略向服务帐户授予权限,以允许对资源(包括存储桶)进行操作。通过统一的桶级访问控制,Citrix DaaS允许您使用访问控制列表(ACL)来控制对存储桶或存储在其中的对象的访问。看到统一的桶级访问有关Google Cloud统一桶级访问的概述信息。配置信息请参见要求统一的桶级访问.
谷歌云市场
您可以在Google Cloud Marketplace上浏览和选择Citrix提供的图像来创建机器目录。目前,MCS仅支持此功能的机器配置文件工作流。
通过Google Cloud Marketplace搜索Citrix VDA虚拟机产品,请参见https://console.cloud.google.com/marketplace/.
您可以在Google Cloud Marketplace上使用自定义映像或Citrix就绪映像来更新机器目录的映像。
注意:
如果机器配置文件不包含存储类型信息,则该值将从自定义属性派生。
支持的Google Cloud Marketplace图片有:
- Windows 2019单次会话
- Windows 2019多会话
- Ubuntu
使用Citrix就绪映像作为创建机器目录的源的示例:
gcpPool -CleanOnBoot \ -MasterImageVM xdhp:\HostingUnits\ gcpphu \images.folder\citrix-daas-win2019-single-vda-v20220819. xcppool:\HostingUnits\ gcpphu \images.folderpublicimage \ -MachineProfile xdhp:\HostingUnits\GcpHu\Base。vm < !——NeedCopy >下一步该去哪里?
- 如果这是创建的第一个目录,将引导您执行创建交付组.
- 要查看整个配置过程,请参见计划并构建部署.
- 要管理目录,请参见管理机器目录和管理一个谷歌云平台目录.