谷歌云平台虚拟化环境

Citrix虚拟应用程序和桌面服务可以让你在谷歌云平台(GCP)上配置和管理机器。本文将指导您如何使用机器创建服务(MCS)在Citrix虚拟应用程序或Citrix虚拟桌面服务部署中提供虚拟机。

需求

• Citrix云帐户。本文描述的功能仅在Citrix Cloud中可用。
• Citrix虚拟应用和桌面服务订阅。有关详细信息，请参阅开始．
• 一个GCP项目。该项目存储与计算机目录相关联的所有计算资源。它可以是现有的项目或者一个新的。
• 在谷歌云项目中启用四个api。有关详细信息，请参阅启用谷歌云接口．
• GCP服务帐户。服务帐户验证到谷歌云，使访问项目。有关详细信息，请参阅配置谷歌云服务帐号．
• 启用谷歌私有访问。有关详细信息，请参阅Enable-private-google-access．

启用谷歌云接口

要通过Citrix虚拟应用和桌面完全配置界面使用谷歌云功能，使您的谷歌云项目这些API：

• 计算引擎API
• 云资源管理器API
• IAM (Identity and Access Management)接口
• 云构建API

从GCP控制台，完成以下步骤:

1. 在左上方的菜单中，选择API和服务>仪表板．

2. 在指示板屏幕上，确保已启用计算引擎API。如果没有，请执行以下步骤：

   1. 导航到API和服务>库．

   2. 在搜索框中，键入计算引擎．

   3. 从搜索结果中，选择计算引擎API．

   4. 在计算引擎API页面上，选择启用．

3. 启用云资源管理器API。

   1. 导航到API和服务>库．

   2. 在搜索框中，键入云资源管理器．

   3. 从搜索结果中，选择云资源管理器API．

   4. 在云资源管理器API页面上，选择启用．API的状态出现了。

4. 同样的,使IAM (Identity and Access Management)接口和云构建API．

配置谷歌云服务帐号

谷歌云服务帐户允许您在GCP项目中创建和管理资源。如本文所述，需要谷歌云服务帐户来供应和管理机器。谷歌Cloud帐号通过a认证到Citrix Cloud关键由谷歌Cloud生成。每个帐户(个人或服务)包含定义项目管理的各种角色。

我们建议您创建一个服务帐户。要做到这一点，请遵循以下步骤:

1. 在GCP控制台中，导航到IAM与管理>服务帐户．

2. 在服务帐户页面上，选择创建服务帐户．

3. 在创建服务帐户页，键入所需信息，然后选择创建．

在创建服务帐户，请考虑以下几点：

• 您可以选择取消保存并退出服务帐户细节未完成的页面授予此服务帐户对项目的访问权限和授予用户对该服务帐户的访问权页面。您可以稍后执行这些可选步骤。

• 如果您选择跳过这些可选配置步骤，则新创建的服务帐户不会显示在IAM&管理>IAM页面。

• 要显示与服务帐户关联的角色，请添加角色，但不要跳过可选步骤。此过程确保配置的服务帐户出现角色。

在创建服务帐户时，有一个为帐户创建密钥的选项。在Citrix服务中创建连接时需要此键。密钥包含在凭据文件(.json)中。文件被自动下载并保存到下载文件夹，在您创建密钥之后。在创建密钥时，请确保将密钥类型设置为JSON。否则，Citrix Full Configuration界面无法解析。

提示:

使用服务帐户页。出于安全考虑，我们建议您定期更换密钥。您可以通过编辑现有的GCP连接来为Citrix虚拟应用程序和桌面应用程序提供新的密钥。

此外，您需要授予您的服务帐户访问您的GCP项目所需的权限:

1. 在GCP控制台中，导航到IAM&管理>IAM．在我页面中，找到您创建的服务帐户，然后选择铅笔图标编辑服务帐户。

2. 在编辑权限页面上，选择添加另一个角色将以下角色逐个添加到您的服务帐户中，然后选择保存．

   • 计算管理
   • 存储管理员
   • 云构建编辑器
   • 服务帐户用户
   • 云数据存储用户

3. 更新分配给项目的云构建服务帐户的角色：

   1. 在GCP控制台中，导航到IAM&管理>IAM．
   2. 在我页，找到Cloud Build服务帐户，然后选择铅笔图标来编辑服务帐户。您可以通过用户名来识别Cloud Build服务帐户，其格式如下:< your_gcp_project_ID_number > @cloudbuild.gserviceaccount.com．
   3. 在编辑权限页面上，选择添加另一个角色一，就下列角色添加到您的云服务构建一个帐户，然后选择保存．
      • 云构建服务账户
      • 计算实例管理
      • 服务帐户用户

启用私有Google访问

当虚拟机的网络接口没有外部IP地址时，报文只能发送到其他内部IP地址的目的地。开启私有访问时，虚拟机将连接谷歌API和相关服务使用的外部IP地址集。为了确保子网中的虚拟机可以访问谷歌api而不需要提供MCS的公网IP地址:

1. 在GCP中，访问VPC网络配置．
2. 在子网详情屏幕中，打开私人谷歌访问．

有关更多信息，请参见配置谷歌私有接入．

重要的是:

如果您的网络被配置为阻止虚拟机接入互联网，确保您的组织承担与启用了到虚拟机所连接的子网私人谷歌访问相关的风险。

添加一个连接

在Full Configuration界面中，请遵循创建连接和资源. 以下说明将指导您设置主机连接：

1. 从管理>完整配置中,选择举办在左窗格中。

2. 选择添加连接和资源在操作栏。

3. 在连接页面上，选择创建新连接和Studio工具，然后选择下一个．

   • 连接类型．选择谷歌云平台从菜单中。
   • 服务帐户关键. 导入Google凭据文件（.json）中包含的密钥。为此，请找到凭证文件，用记事本（或任何文本编辑器）打开该文件，然后复制内容。之后，返回连接页面上，选择导入密钥，粘贴内容，然后选择保存．
   • 服务帐户ID．该字段将自动使用来自导入密钥的信息进行填充。
   • 连接名. 类型a name for the connection.

4. 在区域页，从菜单中选择项目名称，选择包含要使用的资源的区域，然后选择下一个．

5. 在网络页，键入资源的名称，从菜单中选择虚拟网络，选择子集，然后选择下一个．资源名称有助于识别区域和网络组合。虚拟网络(共享)后缀附加到他们的名字表示共享的VPC。如果您配置共享VPC子网级IAM角色，共享VPC的只有特定的子网出现在子网列表上。

   注意:

   • 资源名长度范围为1 ~ 64个字符，不能由空格和中文字符组成\ /;: #。* ?= < > | [] {} " ' ()”)．

6. 在概括页，确认信息，然后选择完成退出添加连接和资源窗口。

创建连接和资源后，连接和创建资源被列出。要配置的连接，选择连接，然后选择在动作条适用的选项。

类似地，您可以删除、重命名或测试在连接下创建的资源。为此，选择连接下的资源，然后在操作栏中选择适用的选项。

准备一个主虚拟机实例和一个持久化磁盘

提示:

持久磁盘是虚拟磁盘的GCP术语。

要准备主VM实例，请创建并配置一个VM实例，其属性与计划机器目录中克隆的VDA实例所需的配置相匹配。配置不仅适用于实例大小和类型。它还包括实例属性，如元数据、标记、GPU分配、网络标记和服务帐户属性。

作为主控进程的一部分，MCS使用主VM实例来创建GCP实例模板．然后使用实例模板创建包含机器目录的克隆VDA实例。克隆实例继承创建模板的主虚拟机实例的属性(VPC、子网、磁盘持久化属性除外)。

在根据您的具体情况配置主VM实例的属性之后，启动该实例，然后为该实例准备持久磁盘。

建议您手动创建磁盘的快照。这样可以使用有意义的命名约定来跟踪版本，为管理主映像的早期版本提供更多选项，并节省创建机器目录的时间。如果您不创建自己的快照，MCS将为您创建一个快照。您可以使用它在GCP图像库中创建自定义图像。

创建机器目录

注意:

在创建机器目录之前创建资源。在配置机器目录时使用GCP建立的命名约定。看到桶和对象命名指南为更多的信息。

按照指导创建机器目录．以下描述仅适用于GCP目录。

1. 从管理>完整配置中,选择机目录在左窗格中。

2. 选择创建机器目录在操作栏。

3. 在操作系统页面上，选择多会话操作系统然后选择下一个．

   • Citrix虚拟应用程序和台式机服务还支持单会话操作系统。

4. 在机管理页面,选择电源管理的机器和Citrix机器创建服务选项，然后选择下一个．如果有多个资源，请从菜单中选择一个。

5. 在主形象页中，选择一个VM和用于目录中的最低功能级别，然后选择下一个．如果希望使用唯一的租户功能，请确保选择节点组属性配置正确的映像。看到启用区域选择．

6. 在虚拟机页面，指定需要创建的虚拟机数量，查看虚拟机的详细规格，然后选择下一个. 如果将唯一租户节点组用于计算机目录，请确保选择只有预留单租户节点所在分区。看到启用区域选择．

7. 在磁盘设置页，选择是否使用您自己的密钥来保护磁盘内容。要使用该特性，您必须首先创建自己的客户管理加密密钥(CMEKs)。有关更多信息，请参见使用客户管理加密密钥(CMEK)．

   注意:

   这个功能可以预览。它仅在管理>完整配置界面

   创建关键点后，可以从列表中选择其中一个关键点。创建目录后，不能更改键。谷歌云平台不支持在现有的永久磁盘或映像上旋转键。因此，设置目录后，目录将绑定到密钥的特定版本。如果该密钥被禁用或销毁，则使用该密钥加密的实例和磁盘将变得不可用，直到该密钥重新启用或恢复。

8. 在机身份，选择Active Directory帐户，然后选择下一个．

   • 如果您选择创建新的Active Directory帐户，选择域，然后输入在Active Directory中创建的发放虚拟机计算机帐户的命名方案的字符顺序。帐户命名方案长度为1 ~ 64个字符，不能包含空格、非ascii字符和特殊字符。
   • 如果您选择使用现有的Active Directory帐户中,选择浏览导航到所选计算机的现有Active Directory计算机帐户。

9. 在域凭据页面上，选择输入凭证，输入用户名和密码，选择保存，然后选择下一个．

   • 您键入的凭据必须具有执行Active Directory帐户操作的权限。

10. 在范围页，选择计算机目录的作用域，然后选择下一个．

    • 您可以选择可选的范围或选择定制范围根据需要自定义作用域。

11. 在概括页面，确认信息，为目录指定一个名称，然后选择完成．

    注意:

    目录名称可以包含1-39个字符，并且不能只包含空格或字符\ /;: #。* ?= < > | [] {} " ' ()”)．

机器目录创建可能需要很长时间才能完成。当它完成时，将列出目录。您可以验证机器是在GCP控制台中目标节点组上创建的。

将机器添加到目录中

要将计算机添加到目录中，请执行以下步骤:

1. 从管理>完整配置中,选择机目录在左窗格中。

2. 选择您要添加计算机的机器目录。

3. 选择增加机器在操作栏。

4. 在虚拟机页，指定要添加的计算机数量，然后进行选择下一个．

5. 在电脑账户，选择Active Directory帐户，然后选择下一个．

6. 在域凭据页面上，选择输入凭证，输入用户名和密码，选择保存，然后选择下一个．

7. 在概括页，确认信息，然后选择完成．

更新机

这个特性在您想要更新主映像或最小功能级别的情况下非常有用。

要更新机器，请遵循以下步骤:

1. 从管理>完整配置中,选择机目录在左窗格中。

2. 选择包含要更新的计算机的计算机目录。

3. 选择更新机在操作栏。

4. 在主形象页中，选择一个VM和用于目录中的最低功能级别，然后选择下一个．

5. 在推广策略页，指定要更新计算机的时间，然后选择下一个．

6. 在概括页，确认信息，然后选择完成．

要回滚计算机更新，请执行以下步骤:

重要的是:

不要重命名、删除或移动主映像。否则无法回滚升级。

1. 从管理>完整配置中,选择机目录在左窗格中。

2. 选择您要回滚机器更新机器目录。

3. 选择回滚机更新在操作栏。

4. 在概述页，确认信息，然后选择下一个．

5. 在推广策略页，配置推出策略，然后选择下一个．

6. 在概括页，确认信息，然后选择完成．

电源管理

Citrix虚拟应用程序和桌面服务可以让你管理GCP机器。使用搜索节点，以定位要进行电源管理的计算机。以下电源动作可用：

• 删去
• 开始
• 重新启动
• 强制重新启动
• 关闭
• 强制关闭
• 添加到交付组
• 管理标签
• 开启维护模式

您还可以使用Autoscale来管理GCP机器。为此，将GCP机器添加到交付组，然后为该交付组启用自动缩放功能。有关自动缩放的更多信息，请参见自动定量．

导入手工创建的GCP机器

你可以创建到GCP的连接然后创建含有目录GCP机. 然后，您可以通过Citrix虚拟应用程序和桌面服务手动重启GCP机器。使用此功能，您可以：

• 将手动创建的GCP多会话操作系统计算机导入Citrix虚拟应用程序和桌面计算机目录。
• 从Citrix虚拟应用程序和桌面目录中删除手动创建的GCP多会话操作系统机器。
• 使用现有的Citrix虚拟应用程序和桌面电源管理功能来管理GCP Windows多会话操作系统机器。例如，为这些机器设置重新启动时间表。

该功能不需要更改现有的Citrix虚拟应用和桌面配置工作流，也不需要删除任何现有功能。我们建议您使用MCS在Citrix服务的Full Configuration界面中提供机器，而不是导入手工创建的GCP机器。

共享虚拟私有云

vpc (Shared Virtual Private cloud)由一个主机项目和一个或多个使用该资源的业务项目组成。对于大型安装来说，共享vpc是理想的选择，因为它们提供了对共享企业谷歌云资源的集中控制、使用和管理。有关更多信息，请参见谷歌文档网站．

通过此功能，机器创建服务（MCS）支持配置和管理部署到共享VPC的机器目录。这种支持在功能上等同于当前在本地专有网络中提供的支持，在两个方面有所不同：

1. 您必须向用于创建主机连接的服务帐户授予额外的权限。通过该进程，MCS可以访问和使用共享VPC资源。
2. 您必须创建两个防火墙规则，分别用于入口和出口。这些防火墙规则在图像控制过程中使用。

需要新的权限

创建主机连接时，需要使用具有特定权限的GCP服务帐户。在创建基于共享VPC的主机连接时，需要对所有的业务帐户授予这些附加权限。

提示:

这些额外的权限对Citrix虚拟应用和桌面服务来说并不新鲜。它们被用来促进地方vpc的实施。通过共享VPC，可以访问其他共享VPC资源。

最多四个额外的权限必须被授予与主机连接，支持共享VPC相关的服务帐户：

1. compute.firewalls.list—必选。MCS可以检索共享VPC中的防火墙规则列表。
2. compute.networks.list—必选。MCS用于识别业务帐户可使用的共享VPC网络。
3. compute.subnetworks.list–此权限是可选的，具体取决于您使用专有网络的方式。它允许MCS识别可见共享VPC内的子网。使用本地专有网络时，已经需要此权限，但也必须在共享专有网络主机项目中分配此权限。
4. compute.subnetworks.use- 此权限取决于你如何使用的VPC是可选的。有必要在置备机器目录使用子网资源。此权限已经需要使用当地的VPC，但也必须在共享VPC主体项目进行分配。

使用这些权限时，请考虑基于用于创建机器目录的权限类型的不同方法：

• 项目级权限:
  • 允许访问主机项目中的所有共享VPC。
  • 必须将权限＃3和＃4分配给服务帐户。
• Subnet-level许可:
  • 允许访问共享VPC内的特定子网。
  • 权限#3和#4是子网级分配固有的，因此不需要直接分配给服务帐户。

选择符合您的组织需求和安全标准的做法。

提示:

有关项目级和子网级权限之间的差异的详细信息，请参阅谷歌云文档．

防火墙规则

在准备机器目录期间，准备一个机器映像作为目录的主映像系统磁盘。当发生此过程时，磁盘将临时连接到虚拟机。该虚拟机必须运行在一个隔离的环境中，该环境阻止所有入站和出站网络流量。这是通过一对deny-all防火墙规则实现的;一个用于入口，一个用于出口。当使用GCP本地VCPs时，MCS在本地网络中创建这个防火墙，并将其应用到机器上以便掌握。掌握完成后，防火墙规则将从映像中删除。

我们建议将使用Shared vpc所需的新权限数量保持在最低水平。共享vpc是更高级别的企业资源，通常具有更严格的安全协议。为此，需要在共享VPC资源的host工程上创建一对防火墙规则，一对规则用于入口，一对规则用于出口。给它们分配最高的优先级。对每一个规则应用一个新的目标标记，使用以下值:

citrix配置隔离防火墙

当MCS创建或更新计算机目录，它将搜索包含此目标标签的防火墙规则。然后它检查规则的正确性，并将其应用于用于为目录准备主映像机器。如果找不到防火墙规则，或者规则被发现，但规则或它们的优先级是不正确的，类似于以下出现一条消息：

"无法为项目<项目>中的VPC <名称>找到有效的INGRESS和EGRESS隔离防火墙规则。"请确保您已经创建了带有网络标签‘citrix-provisioning-quarantine-firewall’的‘拒绝所有’防火墙规则，并具有适当的优先级。”详细信息请参阅Citrix文档。

配置共享VPC

将共享VPC作为思杰服务的完整配置接口与主机连接之前，请完成以下步骤从您打算规定到项目中添加服务帐户：

1. 创建IAM角色。
2. 为共享VPC的主机业务群组IAM角色添加用于创建CVAD主机连接的业务帐户。
3. 将您要配置到的项目中的云构建服务帐户添加到共享VPC主机项目IAM角色中。
4. 创建防火墙规则。

创建IAM角色

确定角色的访问级别-项目级别的访问或者使用更严格的模型子网级访问．

IAM角色的项目级访问权限．对于项目级IAM角色，包括如下权限:

• compute.firewalls.list
• compute.networks.list
• compute.subnetworks.list
• compute.subnetworks.use

要创建项目级别IAM角色：

1. 在GCP控制台中，导航到IAM&管理>角色．
2. 在角色页面上，选择创建角色．
3. 在创建角色页中，指定角色名称。选择添加权限．
   1. 在添加权限页，分别向角色添加权限。要添加权限，请在过滤器表字段。选择权限，然后选择添加．
   2. 选择创建．

Subnet-level我角色．该角色省略了权限的添加compute.subnetworks.list和compute.subnetworks.use在选择创建角色．对于这个IAM访问级别，权限compute.firewalls.list和computernetworks.list.必须应用到新的角色上。

创建子网级IAM角色。

1. 在GCP控制台中，导航到VPC网络>共享专有网络．这个共享专有网络页面出现，显示主机项目包含的共享VPC网络的子网。
2. 在共享专有网络页，选择要访问的子网。
3. 在右上角，选择添加成员添加服务帐户。
4. 在添加成员页，完成以下步骤:
   1. 在新成员字段，键入您的服务帐户名称，然后在菜单中选择您的服务帐户。
   2. 选择选择一个角色场，然后计算网络用户．
   3. 选择保存．
5. 在GCP控制台中，导航到IAM与行政部>角色．
6. 在角色页面上，选择创建角色．
7. 在创建角色页中，指定角色名称。选择添加权限．
   1. 在添加权限页，分别向角色添加权限。要添加权限，请在过滤器表字段。选择权限，然后选择添加．
   2. 选择创建．

将服务帐户添加到宿主项目IAM角色

创建IAM角色后，请按照如下步骤为主机工程添加业务帐户。

1. 在GCP控制台中，导航到主机项目，然后导航到IAM&管理>IAM．
2. 在我页面上，选择添加添加服务帐户。
3. 在添加成员页面:
   1. 在新成员字段，键入您的服务帐户名称，然后在菜单中选择您的服务帐户。
   2. 选择Select a role字段，输入您创建的IAM角色，然后在菜单中选择角色。
   3. 选择保存．

现在已为主机项目配置服务帐户。

云构建服务帐户添加到共享VPC

每个谷歌Cloud订阅都有一个以项目ID号命名的服务帐户，然后是cloudbuild.gserviceaccount．例如：705794712345 @cloudbuild.gserviceaccount．

您可以通过选择来确定项目的项目ID号家和指示板在谷歌云控制台:

找到项目编号以下项目信息屏幕面积。

在共享VPC中添加Cloud Build服务帐号的操作如下:

1. 在谷歌Cloud控制台中，导航到主机项目，然后导航到IAM与行政部>我．
2. 在权限页面上，选择添加添加帐户。
3. 在添加成员页，完成以下步骤:
   1. 在新成员字段，键入云构建服务帐户的名称，然后在菜单中选择您的服务帐户。
   2. 选择选择一个角色字段,类型计算机网络用户，然后在菜单中选择角色。
   3. 选择保存．

创建防火墙规则

作为母版处理的一部分，MCS复制选定的机器映像，并使用它为目录准备主映像系统磁盘。在掌握过程中，MCS将磁盘附加到临时虚拟机，然后运行准备脚本。该虚拟机必须运行在一个隔离的环境中，该环境禁止所有入站和出站网络流量。要创建一个隔离的环境，MCS需要两个条件拒绝所有防火墙规则(入口规则和出口规则)。因此，在中创建两条防火墙规则主办项目如下：

1. 在GCP控制台中，导航到主机项目，然后导航到VPC网络>防火墙．
2. 在防火墙页面上，选择创建防火墙规则．
3. 在创建防火墙规则页，完成以下内容:
   • 名称. 键入规则的名称。
   • 网络．选择入口防火墙规则所应用的共享VPC网络。
   • 优先级．该值越小，规则的优先级越高。我们建议使用较小的值(例如，10)。
   • 方向的交通．选择入口．
   • 在比赛行动．选择否认．
   • 目标. 使用默认值，指定的目标标记．
   • 目标标签. 类型citrix配置隔离防火墙．
   • 源过滤器. 使用默认值，IP范围．
   • 源IP范围. 键入与所有流量匹配的范围。类型0.0.0.0/0．
   • 协议和端口．选择否认所有人．
4. 选择创建创建规则。
5. 重复步骤1-4创建另一个规则。为方向的交通中,选择出口．

添加一个连接

添加网络接口连接到云连接器实例后，添加连接．

启用区域选择

Citrix虚拟应用程序和桌面服务支持区域选择。使用区域选择，您可以指定要创建VM的区域。通过区域选择，管理员可以跨他们选择的区域放置唯一的租户节点。要配置唯一租户，您必须在GCP上完成以下内容

• 预留谷歌云平台单租户节点
• 创建VDA主映像

预留谷歌云平台单租户节点

预留一个单独租户节点，请参考谷歌云平台文档．

重要的是:

节点模板用于指示节点组中保留的系统的性能特征。这些特征包括VGPU的数量、分配给节点的内存量以及用于在节点上创建的机器的机器类型。有关更多信息，请参阅谷歌云平台文档．

创建VDA主映像

要在唯一租户节点上成功部署计算机，您需要在创建主VM映像时采取额外步骤。GCP上的计算机实例有一个名为节点关联的标签．作为部署到独立承租者节点的目录的主映像使用的实例需要节点关联的标签匹配的目标节点组．要做到这一点，请记住以下几点:

• 对于新实例，创建实例时将标签设置在Google Cloud控制台中。有关详细信息，请参阅创建实例时需要设置节点亲和性标签．
• 对于已存在的实例，使用gcloud命令行。有关详细信息，请参阅为现有实例设置节点关联标签．

注意:

如果您希望在共享VPC中单独使用租户，请参见共享虚拟私有云．

创建实例时需要设置节点亲和性标签

设置节点亲和性标签。

1. 在GCP控制台中，导航到计算引擎>虚拟机实例．

2. 在VM实例页面上，选择创建实例．

3. 在实例创建页面，键入或配置所需信息，然后选择管理、安全、磁盘、网络、独家租赁打开设置面板。

4. 在独租选项卡上,选择浏览查看当前项目的可用节点组。这个Sole-tenant节点页面出现，显示可用节点组的列表。

5. 在Sole-tenant节点页，从列表中选择适用的节点组，然后选择选择返回到独租标签。节点关联标签字段将填充您选择的信息。此设置确保从实例创建的机器目录将部署到选定的节点组。

6. 选择创建创建实例。

为现有实例设置节点关联标签

设置节点亲和性标签。

1. 在谷歌云壳牌终端窗口，使用gcloud计算实例命令设置节点亲和标记。包括在以下信息gcloud命令:

   • 虚拟机的名称. 例如，使用名为* 2019 -共识基础．*
   • 节点组的名称．使用您先前创建的节点组名称。例如,mh-sole-tenant-node-group-1．
   • 该区域在实例所在．例如，虚拟机位于* us-east-1b *区．

   例如，在终端窗口中输入如下命令:

   • Gcloud计算实例集调度"s2019-vda-base"——node-group="m -sole-tenant-node-group-1"——zone="us-east -b"

   有关的更多信息gcloud计算实例命令，请参阅位于https://cloud.google.com/sdk/gcloud/reference/beta/compute/instances/set-scheduling．

2. 导航到虚拟机实例详细信息页的实例，并验证节点关联性场中填入的标签。

创建机器目录

设置节点亲和性标签后，配置机器目录．

预览：使用客户管理的加密密钥（CMEK）

您可以对MCS目录使用客户管理加密密钥(CMEK)。当使用此功能时，您将分配谷歌云密钥管理服务密码键加密器/ Decrypter的角色切换到计算引擎服务代理。指通过使用云KMS密钥有助于保护资源为更多的信息。

您的计算引擎服务代理的格式如下：服务——<项目_Number > @compute-system.iam.gserviceaccount.com．此表单与默认的计算引擎服务帐户不同。

注意:

该计算引擎服务帐户可能不会出现在谷歌控制台中我的权限显示。在这种情况下，使用thegcloud如在描述的命令通过使用云KMS密钥有助于保护资源．

为“Citrix Virtual Apps”和“desktop Service”帐户分配权限

GCP Cloud KMS权限可以通过多种方式配置。你可以提供项目级别公里权限或资源水平公里的权限。看到权限和角色为更多的信息。

项目级权限

一种选择是为Citrix虚拟应用程序和桌面服务帐户提供项目级权限，以浏览Cloud KMS资源。为此，创建一个自定义角色，并添加以下权限:

• cloudkms.keyRings.list
• cloudkms.keyRings.get
• cloudkms.cryptokeys.list
• cloudkms.cryptokeys.get

将此自定义角色分配到您的Citrix虚拟应用程序和桌面服务帐户。这允许您浏览库存中相关项目的区域密钥。

资源级别权限

对于另一个选项，资源级权限，在GCP控制台中，浏览到加密密钥您使用MCS调配。思杰虚拟应用和桌面服务帐户添加到钥匙圈或您使用目录配置的关键。

提示:

使用此选项，您无法在清单中浏览项目的区域键，因为Citrix Virtual Apps和desktop Service帐户在Cloud KMS资源上没有项目级列表权限。但是，您仍然可以使用CMEK指定正确的目录cryptoKeyId在Provscheme.自定义属性，如下所述。

使用自定义属性配置CMEK

当通过PowerShell创建您的配置方案,指定一个CryptoKeyId财产ProvScheme CustomProperties来．例如：

  ' 

这个cryptoKeyId应以下列格式指定:

专案编号：位置：keyRingName：cryptoKeyName

例如，如果您想使用该键my-example-key在关键环my-example-key-ring在该区域美国东部1和ID为的项目我的示例 - 项目-1你的Provscheme.自定义设置类似于:

“”--需要复制-->

与此配置方案相关的所有MCS配置的磁盘和映像都使用此客户管理的加密密钥。

提示:

如果你使用全局键，客户属性位置必须说全球而不是区域名称，在上面的示例中是美国东部1．例如：．

旋转客户管理密钥

GCP不支持在现有持久磁盘或映像上旋转键。一旦提供了机器，它就绑定到创建它时使用的关键版本。但是，可以创建密钥的新版本，并将该新密钥用于使用新主映像更新目录时创建的新供应的计算机或资源。

约钥匙圈的重要注意事项

不能重命名或删除密钥环。此外，在配置它们时，您可能会招致不可预见的费用。当删除或删除一个密钥环时，GCP显示一个错误消息:

对不起，您不能删除或重命名钥匙或钥匙圈。我们担心允许多个密钥或密钥版本随时间变化而具有相同的资源名会带来的安全影响，所以我们决定使名称不可变。(你不能删除它们，因为我们不能做真正的删除——仍然需要一个墓碑跟踪这个名字已经被使用，不能被重用)。我们知道这会使事情变得不整洁，但我们没有立即改变这一点的计划。如果您想避免为某个密钥计费或以其他方式使其不可用，您可以通过删除所有密钥版本来实现;钥匙和钥匙圈都不收费，只收费钥匙内的活动钥匙版本。<！——NeedCopy >

提示:

有关更多信息，请参见从控制台编辑或删除密匙环．

更多信息

• 连接和资源
• 创建机器目录