谷歌云环境
Citrix DaaS(以前是Citrix虚拟应用程序和桌面服务)允许您在谷歌云上配置和管理机器。
需求
- Citrix Cloud帐户。本文中描述的特性仅在Citrix Cloud中可用。
- Citrix DaaS订阅。详细信息请参见开始.
- 一个谷歌云项目。项目存储与机器目录关联的所有计算资源。它可以是现有的项目,也可以是新项目。
- 在您的谷歌Cloud项目中启用四个api。详细信息请参见启用谷歌云api.
- 谷歌云服务帐号。服务帐户向谷歌Cloud进行身份验证以启用对项目的访问。详细信息请参见配置和更新服务帐户.
- 开启谷歌私有访问。详细信息请参见Enable-private-google-access.
启用谷歌云api
若要通过Citrix虚拟应用程序和桌面完全配置界面使用谷歌云功能,请在谷歌云项目中启用以下api:
- 计算引擎API
- 云资源管理器API
- IAM (Identity and Access Management)接口
- 云构建API
从谷歌Cloud控制台完成以下步骤:
在左上菜单中,选择api和服务>仪表盘.
在指示板界面,确保“计算引擎API”已开启。如果没有,请遵循以下步骤:
导航到api和服务>库.
在搜索框中输入计算引擎.
从搜索结果中选择计算引擎API.
在计算引擎API页面,选择启用.
启用云资源管理器API。
导航到api和服务>库.
在搜索框中输入云资源管理器.
从搜索结果中选择云资源管理器API.
在云资源管理器API页面,选择启用.将显示API的状态。
同样的,使IAM (Identity and Access Management)接口而且云构建API.
您还可以使用谷歌Cloud Shell来启用api。这样做:
- 打开谷歌控制台并加载Cloud Shell。
在Cloud Shell中执行以下4条命令:
- Gcloud服务启用了compute.googleapis.com
- Gcloud服务启用cloudresourcemanager.googleapis.com
- Gcloud服务启用了iam.googleapis.com
- Gcloud服务启用cloudbuild.googleapis.com
- 点击授权如果云外壳提示。
配置和更新服务帐户
Citrix Cloud在谷歌Cloud项目中使用两个单独的服务帐户:
Citrix云服务帐户: Citrix Cloud通过该服务帐户可以访问谷歌项目、发放和管理机器。谷歌云帐户使用Citrix Cloud进行身份验证关键由谷歌Cloud生成。
您必须手动创建该服务帐户。
您可以使用电子邮件地址标识此服务帐户。例如,
< my-service-account > @ <项目id > .iam.gserviceaccount.com.每个帐户(个人或服务)都有不同的角色来定义项目的管理。为该服务帐户授予以下角色:
- 计算管理
- 存储管理
- 云构建编辑器
- 服务帐户用户
- 云数据存储用户
云构建服务帐户:启用所有api后自动发放启用谷歌云api.
的开头的电子邮件地址可以标识此服务帐户项目ID这个词cloudbuild.例如,
<项目id > @cloudbuild.gserviceaccount.com为该服务帐户授予以下角色:
- 云构建服务帐户
- 计算实例管理
- 服务帐户用户
创建Citrix云服务帐户
要创建Citrix云服务帐户,请执行以下步骤:
- 在谷歌云控制台中,导航到IAM & Admin >服务账号.
- 在服务帐户页面,选择创建服务帐户.
- 在创建服务帐户页,输入所需信息,然后选择创建并继续.
在授予此服务帐户对项目的访问权页面,点击选择角色下拉菜单,选择需要的角色。点击+添加另一个角色如果您想添加更多角色。
注意:
在创建新的服务帐户时,启用所有api以获得可用角色的完整列表。
- 点击继续
- 在授予用户访问此服务帐户的权限页,添加用户或组以授予他们在此服务帐户中执行操作的访问权限。
- 点击完成.
- 进入IAM主控制台。
- 标识创建的服务帐户。
- 验证角色是否已成功分配。
注意事项:
在创建服务帐户时,需要考虑以下因素:
的步骤授予此服务帐户对项目的访问权而且授予用户访问此服务帐户的权限是可选的。如果选择跳过这些可选配置步骤,则在界面中不会显示新创建的业务帐户IAM & Admin > IAM页面。
如果需要显示与服务帐户关联的角色,请在不跳过可选步骤的情况下添加角色。该过程确保为配置的服务帐户显示角色。
Citrix Cloud Service帐户密钥
在创建服务帐户时,可以选择为该帐户创建密钥。在Citrix DaaS中创建连接时需要此密钥。密钥包含在凭证文件(.json)中。文件将自动下载并保存到下载创建密钥后的文件夹。在创建密钥时,请确保将密钥类型设置为JSON。否则,Citrix Full Configuration界面无法解析。
提示:
创建密钥服务帐户“谷歌云控制台”页。为了安全起见,我们建议您定期更改密钥。您可以通过编辑现有的谷歌云连接来为Citrix Virtual Apps and台式机应用程序提供新的密钥。
为Citrix Cloud Service Account添加角色
为Citrix Cloud Service Account添加角色。
- 在谷歌云控制台中,导航到IAM & Admin > IAM.
在Iam >权限页,找到您创建的服务帐户,该帐户可用电子邮件地址标识。
例如,
< my-service-account > @ <项目id > .iam.gserviceaccount.com- 选择铅笔图标以编辑对服务帐户主体的访问。
- 在编辑“project-id”的访问权限页中选定的主体选项,选择添加另一个角色将需要的角色逐个添加到服务帐户中,然后选择保存.
向云生成服务帐户添加角色
向“云构建服务帐户”添加角色:
- 在谷歌云控制台中,导航到IAM & Admin > IAM.
在我页,找到云生成服务帐户,该帐户可通过以项目ID这个词cloudbuild.
例如,
<项目id > @cloudbuild.gserviceaccount.com- 选择铅笔图标以编辑Cloud Build帐户角色。
在编辑访问“项目id”页面对于所选的主体选项,请选择添加另一个角色将所需的角色逐个添加到您的Cloud Build服务帐户,然后选择保存.
注意:
启用所有api以获得完整的角色列表。
存储权限和桶管理
Citrix DaaS改进了报告云构建失败的过程谷歌云服务.该服务运行在谷歌云上。Citrix DaaS创建一个名为Citrix-mcs-cloud-build-logs -{区域}-{5个随机字符}其中谷歌云服务捕获构建日志信息。在此桶上设置了一个选项,该选项在30天之后删除内容。此过程要求用于连接的服务帐户的“谷歌Cloud”权限设置为storage.buckets.update.如果服务帐户没有此权限,则Citrix DaaS将忽略错误,继续进行目录创建过程。如果没有此权限,生成日志的大小将增加,并需要手动清理。
开启谷歌私有访问
当虚拟机的网络接口上没有外部IP地址时,报文会发送到其他内部IP地址。启用私有访问时,虚拟机将连接谷歌API和相关服务使用的外部IP地址集。
注意:
谷歌私有访问是否开启,所有有公网IP地址和没有公网IP地址的虚拟机都必须能够访问谷歌公共api,特别是在环境中安装了第三方组网设备的情况下。
为了确保子网内的虚拟机在发放MCS时,不需要公网IP地址,也可以访问谷歌接口。
- 在“谷歌Cloud”中,访问VPC网络配置.
- 在子网详细信息界面,打开谷歌私有访问.
有关更多信息,请参见配置谷歌私网访问.
重要的是:
如果您的网络配置为阻止虚拟机访问Internet,请确保您的组织承担为虚拟机所连接的子网启用私有谷歌访问所带来的风险。
下一步去哪里
- 对于一个简单的概念验证部署,安装VDA在将应用程序或桌面提供给用户的机器上。
- 有关创建和管理连接,请参见连接到谷歌云环境.
- 检查安装和配置过程中的所有步骤.