Guía de PoC: compatibilidad con VPC compartida de Google Cloud Platform (GCP) con Citrix DaaS

Información general

Citrix DaaS admite la VPC compartida de Google Cloud Platform (GCP). Este documento abarca:

• Descripción general de la compatibilidad con Citrix para las VPC compartidas de Google Cloud.

• Descripción general de la terminología relacionada con las VPC compartidas de Google Cloud.

• Configuración de un entorno de Google Cloud para admitir el uso de VPC compartidas.

• Uso de VPC compartidas de Google para conexiones de host y aprovisionamiento de catálogos de máquinas.

• Condiciones de error comunes y cómo resolverlas.

Requisitos previos

En este documento se presupone que tiene conocimiento de Google Cloud y el uso de Citrix DaaS para aprovisionar catálogos de máquinas en un proyecto de Google Cloud.

Para configurar un proyecto de GCP para Citrix DaaS, consulte ladocumentación del producto.

Resumen

La compatibilidad con Citrix MCS para aprovisionar y administrar catálogos de máquinas implementados en VPC compartidas es funcionalmente equivalente a lo que se admite actualmente en las VPC locales.

Hay dos maneras en que difieren:

• Se deben conceder algunos permisos más a la cuenta de servicio utilizada para crear la conexión de host para permitir que MCS acceda y utilice los recursos de VPC compartidos.

• El administrador del sitio debe crear dos reglas de firewall, una para la entrada y la salida, que se utilizarán durante el proceso de masterización de imágenes.

Ambos se examinarán con mayor detalle más adelante en el presente documento.

VPC compartidas de Google Cloud

Las VPC compartidas de GCP se componen de un proyecto host, desde el que se ponen a disposición las subredes compartidas, y uno o más proyectos de servicio que utilizan los recursos.

El uso de VPC compartidas es una buena opción para instalaciones más grandes, ya que proporcionan un control, uso y administración más centralizados de los recursos compartidos en la nube corporativa de Google. Google Cloud lo describe de esta manera:

“La VPC compartida permite a unaorganizaciónconectar recursos de varios proyectos a unared de nube privada virtual (VPC)缩写,de modo puedan comunicarse之间si deforma segura y eficiente mediante IP internas de esa red. Al utilizar VPC compartida, designa un proyecto como proyecto host y adjuntar uno o más proyectos de servicio a él. Las redes VPC del proyecto host se denominan redes VPC compartidas.Los recursos elegibles de losproyectos de servicio pueden usar subredes en la red de VPC compartida. “

El párrafo anterior se ha tomado delsitio de documentación de Google.

Nuevos permisos necesarios

Al trabajar con Citrix DaaS y Google Cloud, se debe proporcionar una cuenta de servicio de GCP con permisos específicos al crear la conexión de host. Como se indicó anteriormente, para utilizar las VPC compartidas de GCP se deben conceder algunos permisos adicionales a las cuentas de servicio utilizadas para crear conexiones de host basadas en VPC compartidas.

Técnicamente hablando, los permisos necesarios no son “nuevos”, ya que ya son necesarios para utilizar Citrix DaaS con GCP y VPC locales. El cambio consiste en que los permisos deben concederse para permitir el acceso a los recursos de VPC compartida. Esto se logra agregando la Cuenta de Servicio a los Roles de IAM para el Proyecto Host y se tratará en detalle en la sección “Cómo” de este documento.

Nota:

Para revisar los permisos necesarios para el producto Citrix DaaS que se envía actualmente, consulte el sitio de documentación de Citrixque describe las ubicaciones de recursos.

En total, se deben conceder un máximo de cuatro permisos adicionales a la cuenta de servicio asociada a la conexión de host:

1. compute.firewalls.list - Obligatorio

   Este permiso es necesario para permitir que Citrix MCS recupere la lista de reglas de firewall presentes en la VPC compartida (que se describe en detalle a continuación).

2. compute.networks.list - Obligatorio

   Este permiso es necesario para permitir que Citrix MCS identifique las redes VPC compartidas disponibles para la cuenta de servicio.

3. compute.subnetworks.list —Puede serobligatorio (ver más abajo)

   Este permiso es necesario para permitir que MCS identifique las subredes dentro de las VPC compartidas visibles.

   Nota:

   Este permiso ya es necesario para usar VPC locales, pero también debe asignarse en el proyecto Host de VPC compartido.

4. compute.subnetworks.use -Puede serobligatorio (ver más abajo)

   Este permiso es necesario para utilizar los recursos de subred en los catálogos de máquinas aprovisionadas.

   Nota:

   Este permiso ya es necesario para usar VPC locales, pero también debe asignarse en el proyecto Host VPC Compartido.

Los dos últimos ítems se señalan como “Puede serobligatorio” porque hay dos enfoques diferentes que deben tenerse en cuenta al tratar estos permisos:

• Permisosa nivel de proyecto

  • Permite el acceso a todas las nubes VPC compartidas dentro del proyecto host.

  • Requiere que los permisos #3 y #4 se deben asignar a la cuenta de servicio.

• Permisos anivel de subred

  • Permite el acceso a subredes específicas dentro de la nube VPC compartida.

  • Los permisos #3 y #4 son intrínsecos a la asignación de nivel de subred y, por lo tanto, no es necesario asignarlos directamente a la cuenta de servicio.

A continuación se ofrecen ejemplos de ambos enfoques en la sección “Cómo” de este documento.

Cualquiera de los dos enfoques funcionara igualmente bien. Seleccione el modelo más acorde con las necesidades y las normas de seguridad de la organización. Puede obtener información más detallada sobre la diferencia entre los permisos de nivel de proyecto y de subred en ladocumentación de Google Cloud.

Proyecto Anfitrión

Para utilizar VPC compartidas en Google Cloud, primero designe y habilite un proyecto de Google Cloud para que sea el Proyecto Host. Este proyecto host contiene una o más redes VPC compartidas utilizadas por otros proyectos de Google Cloud dentro de la organización.

La configuración del Proyecto Host VPC Compartido, la creación de subredes y el uso compartido de todo el proyecto o subredes específicas con otros proyectos de Google Cloud son actividades puramente relacionadas con Google Cloud y no están incluidas en el ámbito de este documento. Puede encontrar la documentación de Google Cloud relacionada con la creación y el trabajo con VPC compartidasaquí.

Reglas de firewall

Un paso clave en el procesamiento entre bastidores que se produce al aprovisionar o actualizar un catálogo de máquinas se denominamasterización. Esto es cuando la imagen de máquina seleccionada se copia y se prepara para ser el disco del sistema de imágenes maestras del catálogo. Durante la masterización, este disco se conecta a una máquina virtual temporal, la máquina depreparación, y se inicia para permitir la ejecución de scripts de preparación. Esta máquina virtual debe ejecutarse en un entorno aislado que impidatodoel tráfico de red entrante y saliente. Esto se logra a través de un par de reglas de firewallDeny-All; una para la entrada y otra para la salida.

Cuando se utilizan VPC locales de GCP, MCS crea este par de reglas de firewall sobre la marcha en la red local, las aplica a la máquina para mastering y las elimina cuando se ha completado el mastering.

Citrix recomienda mantener al mínimo el número de permisos nuevos necesarios para utilizar VPC compartidas, ya que las VPC compartidas son recursos corporativos de mayor nivel y suelen tener protocolos de seguridad más rígidos. Por este motivo, el administrador del sitio debe crear un par de reglas de firewall (una entrada y una salida) en cada VPC compartida con la prioridad más alta y aplicar una nuevaetiqueta de destinoa cada una de las reglas. El valor de Etiqueta de destino es:

citrix-provisioning-quarantine-firewall

Cuando MCS crea o actualiza un catálogo de máquinas, buscará reglas de firewall que contengan esta etiqueta de destino, examinará las reglas para determinar si son correctas y las aplicará al equipo depreparación.

Si no se encuentran las reglas del firewall, o si se encuentran las reglas, pero las reglas o la prioridad son incorrectas, se devolverá un mensaje de este formulario:

无法找到有效的入口和出口检疫firewall rules for VPC \ in project \. Please ensure you have created deny all firewall rules with the network tagcitrix-provisioning-quarantine-firewall and proper priority. Refer to Citrix Documentation for details.

Cloud Connectors

Al usar una VPC compartida para catálogos de máquinas de Citrix DaaS, creará dos o más Cloud Connectors para acceder al controlador de dominio que reside en la VPC compartida. En este caso, la recomendación es crear una instancia de máquina GCP en su proyecto local y agregar una interfaz de red adicional a la instancia. La primera interfaz estaría conectada a una subred en la VPC compartida. La segunda interfaz de red se conectaría a una subred de su VPC local para permitir el acceso para el control administrativo y el mantenimiento a través del servidor local de VPC Bastion Server.

Desafortunadamente, no puede agregar una interfaz de red a una instancia de GCP después de haber sido creada. Es un proceso simple y se cubre a continuación en una de las entradas Cómo.

Cómo a la sección

La siguiente sección contiene una serie de ejemplos instructivos que le ayudarán a comprender los pasos para realizar los cambios de configuración necesarios para usar las VPC compartidas de Google con Citrix DaaS.

Los ejemplos presentados en capturas de pantalla de Google Console tendrán lugar en un proyecto hipotético de Google llamado ProyectoVPC Compartido 1.

Cómo: Crear un nuevo rol de IAM

Es necesario otorgar algunos permisos adicionales a la cuenta de servicio utilizada al crear la conexión de host. Dado que la intención de implementar en VPC compartidas es permitir que varios proyectos se implementen en la misma VPC compartida, el enfoque más eficiente es crear un nuevo rol en el proyecto host con los permisos deseados y, a continuación, asignar ese rol a cualquier cuenta de servicio que requiera acceso a la VPC compartida.

A continuación crearemos el rol de nivel de proyecto denominadoCitrix-ProjectLevel-SharedVPCrole.El rol Nivel de subred simplemente sigue los mismos pasos para los dos primeros conjuntos de permisos asignados.

IAM y Admin en Google Console

Accede a la opción de configuración deIAM & Adminen Google Cloud Console:

Crear rol

SeleccioneCrear rol:

Pantalla de creación de rol vacía

Aparece una pantalla similar a la siguiente:

Rellene el nombre y ADD PERMISO

Especifique elnombre del rol. Haga clic enAGREGAR PERMISOSpara aplicar la actualización:

Cuadro de diálogo Agregar permisos

Después de hacer clic enAgregar permisos, aparece una pantalla parecida a la siguiente vez.

Tenga en cuenta que en esta imagen se ha resaltado el campo de entrada de texto “Tabla de filtro”:

Agregar permiso de compute.firewalls.list

Al hacer clic en el campo de entrada de textoTabla de filtrose muestra un menú contextual:

Copie y pegue (o escriba) la cadenacompute.firewalls.listen el campo de texto, como se muestra a continuación:

Al seleccionar la entradacompute.firewalls.listque se ha filtrado de la tabla de permisos se obtiene este cuadro de diálogo:

Haga clic en el cuadro de alternancia para habilitar el permiso:

Haga clic enAGREGAR.

La pantallaCrear rolvuelve a aparecer. Tenga en cuenta que el permisocompute.firewalls.listse ha agregado al rol:

Agregar permiso de compute.networks.list

Con los mismos pasos que se indican anteriormente, agregue el permisocompute.networks.list. Sin embargo, asegúrese de seleccionar la regla adecuada. Como puede ver a continuación, cuando se introduce el texto del permiso en el campo de latabla de filtro, se muestran dos permisos. Elija la entradacompute.networks.list:

Haga clic enAGREGAR.

Los dos permisos obligatorios agregados a nuestro rol:

Nivel de proyecto o nivel de subred

Determine qué nivel de acceso tiene el rol, como el acceso a nivel de proyecto, o un modelo más restringido mediante el acceso a nivel de subred. A los efectos de este documento, actualmente estamos creando el rol llamadoCitrix-ProjectLevel-SharedVpc Role, por lo que agregaremos los permisoscompute.subnetworks.listycompute.subnetworks.usesiguiendo los mismos pasos utilizados anteriormente. La pantalla resultante se ve así, con los cuatro permisos concedidos, justo antes de hacer clic enCrear:

Haga clic enCREATE.

Nota:

Si el rol a nivel de subred se hubiera creado aquí, habríamos hecho clic enCREATEen lugar de agregar los dos permisos adicionalescompute.subnetworks.listycompute.subnetworks.use.

Función Citrix-ProjectLevel-SharedVPC creada

Cómo: Agregar cuenta de servicio al rol de IAM del proyecto de host

Ahora que hemos creado el nuevoCitrix-ProjectLevel-SharedVpc Role, necesitamos agregarle una Cuenta de Servicio dentro del Proyecto Host. Para este ejemplo, usaremos una cuenta de servicio denominadacitrix-shared-vpc-service-account.

Vaya a IAM & Admin

El primer paso es navegar a la pantallaIAM & Rolesdel proyecto. En la consola, seleccioneIAM y Admin. SeleccioneIAM:

Pantalla Permisos de proyecto

Agregar miembros con los permisos especificados. Haga clic enAGREGARpara mostrar la lista de miembros:

Panel Agregar miembros

Al hacer clic enADDse muestra un pequeño panel como se muestra en la imagen siguiente. Los datos se introducirán en el siguiente paso.

Agregar cuenta de servicio

Comience a escribir el nombre de su cuenta de servicio en el campo. A medida que escribes, Google Cloud buscará los proyectos a los que tengas permisos de acceso y presentará una lista limitada de posibles coincidencias. En este caso, tenemos una coincidencia (que se muestra directamente debajo del relleno), por lo que seleccionamos esa entrada:

Selección de roles

Después de especificar elnombre del miembro(en nuestro caso, la cuenta de servicio), seleccione un rol para que la Cuenta de servicio funcione como en el Proyecto VPC compartido. Inicie este proceso haciendo clic en la lista indicada:

Selección de un rol

Tenga en cuenta que el procesoSeleccionar un roles similar a los utilizados en el anterior How To - Create a New IAM Role. En este caso, se muestran varias opciones más, así como el relleno.

Especificar el rol

Ya que conocemos el rol que queremos aplicar, podemos empezar a escribir. Una vez que aparezca el rol deseado, seleccione el rol:

Seleccionar y guardar

Después de seleccionar el rol, haga clic enGuardar:

Ahora hemos agregado correctamente la cuenta de servicio al proyecto host.

Cómo: Permisos a nivel de subred

Si ha optado por utilizar el acceso a nivel de subred en lugar del acceso a nivel de proyecto, debe agregar las cuentas de servicio que se utilizarán con la VPC compartida como miembros para cada subred que represente los recursos a los que se tiene acceso. Para esta sección Cómo, vamos a proporcionar la cuenta de servicio nombradasharedvpc-sa\@citrix-mcs-documentation.iam.gserviceaccount.comcon acceso a una sola subred en nuestra VPC compartida.

Vaya a VPC > VPC compartida

El primer paso es navegar a la pantalla VPC compartida en Google Console:

Pantalla inicial de VPC compartida

Esta es la página de inicio de la pantalla VPC compartida de Google Cloud Console. Este proyecto muestra cinco subredes. La cuenta de servicio de este ejemplo requiere acceso a la segundasubred de buenasubred (la última subred de la lista siguiente).

Active la casilla de verificación situada junto a la segundasubred correcta desubred:

Seleccione la subred para el acceso a la cuenta de servicio

Ahora que se ha seleccionado la casilla de verificación de la última subred, tenga en cuenta que la opciónAGREGAR MIEMBROaparece en la parte superior derecha de la pantalla.

También es útil para este ejercicio tomar nota del número de usuarios con los que se ha compartido esta subred. Como se ha indicado, un usuario tiene acceso a esta subred.

Haga clic enAGREGAR MIEMBRO:

Rellenar nuevo nombre de miembro

德manera类似洛杉矶出来necesarios帕拉阿格雷gar la cuenta de servicio al proyecto host en la sección How To anterior, el nombre de miembro nuevo también debe proporcionarse aquí. Después de rellenar el nombre, Google Cloud enumera todos los elementos relacionados (como antes) para que podamos seleccionar la Cuenta de Servicio correspondiente. En este caso, se trata de una sola entrada.

Haga doble clic en lacuenta de serviciopara seleccionarla:

Seleccionar un rol para el nuevo miembro

Después de seleccionar una cuenta de servicio, también se debe elegir un rol para el nuevo miembro:

1. En la lista, haga clic enSeleccionar un rol.

2. Haga doble clic en la función deusuario de red de cálculo.

Rol seleccionado

La imagen muestra que se han especificado la cuenta de servicio y el rol. El único paso restante es hacer clic enGUARDARpara confirmar los cambios:

El usuario se ha agregado a la subred

Una vez guardados los cambios, aparece la pantalla principal de VPC compartida. Observe que el número de usuarios que tienen acceso a la última subred ha aumentado, como se esperaba, a dos:

Cómo: Agregar cuenta de servicio de Project CloudBuild a la VPC compartida

Cada suscripción a Google Cloud tiene una cuenta de servicio que lleva el nombre del número de ID del proyecto seguido decloudbuild.gserviceaccount. Un ejemplo de nombre completo (mediante un ID de proyecto inventado) es:

705794712345@ cloudbuild.gserviceaccount.

Estacuenta de servicio de cloudbuildtambién debe agregarse como miembro de la VPC compartida de la misma manera que la cuenta de servicio que usó para crear conexiones de host en el paso 3 deHow To: Add Service Account to Host Project IAM Role.

Para determinar cuál es el número de ID del proyecto, seleccioneInicioyDashboarden el menú de Google Cloud Console:

Busque elnúmero de proyectoen el áreaInformación del proyectode la pantalla.

简述zca la combinación número de proyecto/cloudbuild.gserviceaccount en el campoAgregar miembro. Asignar un rol deusuario de red de equipos:

SeleccioneGuardar.

Cómo: Reglas del firewall

Crear las reglas de firewall necesarias es un poco más fácil que crear los roles.

Seleccionar proyecto anfitrión

Como se señaló anteriormente en este documento, las dos reglas de firewall deben crearse en el Proyecto Host.

Asegúrese de que ha seleccionado elproyecto anfitrión.

Red VPC > Firewall

En el menú de Google Console, vaya aVPC > Firewall, como se muestra a continuación:

Botón Crear regla de firewall

La parte superior de la pantalla Firewall de Google Console incluye un botón para crear una nueva regla.

Haga clic enCREATE FIREWALL

Crear nueva pantalla de firewall

A continuación se muestra la pantalla utilizada para crear nuevas reglas de firewall:

Regla de entrada: Rellenar datos

En primer lugar, cree la reglaDeny-All Ingressnecesaria agregando o cambiando valores a los siguientes campos:

• Nombre

  Dale un nombre a su regla de firewall de Deny-All Ingress. Por ejemplo,citrix-deny-all-ingress-rule.

• Red

  Seleccione la red VPC compartida contra la que se aplicará la regla de firewall de entrada. Por ejemplo:gcp-test-vpc.

• Prioridad

  El valor de este campo es crítico. En el mundo de las reglas de firewall, cuantomenorsea el valor de prioridad,mayor serála regla en prioridad. Esta es la razón por la que todas las reglas predeterminadas tienen un valor de 66536, de modo que cualquier regla personalizada, que tenga un valor inferior a 65536, tendrá prioridad sobre cualquiera de las reglas predeterminadas.

  Para estas dos reglas necesitamos que tengan las reglas de máxima prioridad en la red. Usaremos un valor de 10.

• Dirección del tráfico

  El valor predeterminado para crear una nueva regla esIngress, que ya debería estar seleccionado.

• Acción en el partido

  Este valor seráPermitirpor defecto. Tenemos que cambiarlo aDenegar.

• Objetivos

  Este es el otro campo muy crítico. El tipo predeterminado de destinos esEtiquetas de destino especificadas, que es precisamente lo que queremos. En el cuadro de texto etiquetadoEtiquetas de destino, introduzca el valorcitrix-provisioning-quarantine-firewall.

• Filtro de origen

  Para el filtro de origen conservaremos el tipo de filtro predeterminado deintervalos de direcciones IPe introduciremos un intervalo que coincida contodoel tráfico. Para eso usamos un valor de 0.0.0.0/0.

• Protocolos y puertos

  En Protocolos y puertos, seleccioneDenegar todo.

La pantalla completada debería verse así:

Haga clic enCREARy genere la nueva regla.

Regla de salida: Rellenar datos

La regla de salida es casi idéntica a la regla de entrada creada anteriormente. Utilice de nuevo laREGLA CREATE FIREWALLcomo se hizo anteriormente y rellene los campos como se detalla a continuación:

• Nombre

  Dale un nombre a su regla de firewall de Deny-All Egress. Aquí lo llamaremoscitrix-deny-all-egress-rule.

• Red

  Seleccione aquí la misma red VPC compartida que se utilizó al crear la regla de firewall de entrada anterior. Por ejemplo:gcp-test-vpc.

• Prioridad

  Como se señaló anteriormente, usaremos un valor de 10.

• Dirección del tráfico

  Para esta regla, tenemos que cambiar de la predeterminada y seleccionarEgress.

• Acción en el partido

  Este valor seráPermitirpor defecto. Tenemos que cambiarlo aDenegar.

• Objetivos

  简述zca el valorcitrix-provisioning-quarantine-firewallen el campoEtiquetas de destino.

• Filtro de origen

  Para elfiltro de origen, conservaremos el tipo de filtro predeterminado deintervalos de direcciones IPe introduciremos un intervalo que coincida contodoel tráfico. Para eso usamos un valor de 0.0.0.0/0.

• Protocolos y puertos

  EnProtocolos y puertos, seleccioneDenegar todo.

La pantalla completada debería verse así:

Haga clic enCREARpara generar la nueva regla.

Se han creado las dos reglas de firewall necesarias. Si se utilizarán varias VPC compartidas al implementar catálogos de máquinas, repita los pasos realizados anteriormente. Cree dos reglas para cada una de las VPC compartidas identificadas en sus respectivos proyectos de host.

Cómo: Agregar interfaz de red a instancias de Cloud Connector

Al crear Cloud Connectors para su uso con la VPC compartida, se debe agregar una interfaz de red adicional a la instanciacuando se crea.

No se pueden agregar interfaces de red adicionales una vez que existe la instancia. Para agregar la segunda interfaz de red:

El panel de configuración de red inicial para una instancia de GCP

Este es el panel inicial para la configuración de red que se presenta al crear por primera vez una instancia de red

Dado que queremos utilizar la primera instancia de red para la VPC compartida, haga clic en el iconoLápizpara entrar en el modoModificar.

La pantalla ampliada de configuración de red está a continuación. Un elemento clave a tener en cuenta es que ahora podemos ver la opción deRedes compartidas conmigo (desde el proyecto host: Citrix-shared-vpc-project-1)directamente debajo del banner deInterfaz de Red:

Elpanel Configuración de red con el panel VPC compartida seleccionadamuestra:

• Se ha seleccionado la red VPC compartida.

• Se ha seleccionado lasubred correctade subred.

• Modificó la configuración a una dirección IP externa aNinguno.

Haga clic enListopara guardar los cambios. Haga clic enAgregar interfaz de red.

Agregar segunda interfaz de red

Ahora tenemos nuestra primera interfaz conectada a la VPC compartida (como se indica). Podemos configurar la segunda interfaz siguiendo los mismos pasos que normalmente se usaría al crear un nuevo Cloud Connector. Seleccione una red, subred, tome una decisión sobre una dirección IP externa y, a continuación, haga clic enListo:

Cómo: Creación de la conexión de host y la unidad de alojamiento

Crear una conexión de host para su uso con VPC compartidas no es muy diferente de lo que es para crear una para su uso con una VPC local. La diferencia radica en seleccionar los recursos que se asociarán a la conexión de host. Al crear una conexión de host para acceder a recursos de VPC compartidos, utilice los archivos JSON de cuenta de servicio relacionados con el proyecto en el que residen las máquinas aprovisionadas.

Credenciales y nombre de conexión

La creación de una conexión de host para utilizar recursos de VPC compartidos es similar a la creación de cualquier otra conexión de host relacionada con GCP:

Seleccionar proyecto y región

Una vez en el proyecto, mostrado comoProyecto de desarrolladoren la siguiente ilustración, se haya agregado a la lista que puede tener acceso a la VPC compartida, puede ver tanto el proyectocomoel proyecto de VPC compartida en Studio. Es importante asegurarse de seleccionar el proyecto donde debe residir el catálogo de máquinas implementado ynola VPC compartida:

Seleccionar recursos

Seleccione los recursos asociados a la Conexión de Host.

Se deben tener en cuenta las siguientes cuestiones:

• El nombre dado para los recursos esSharedVPCResources.

• La lista de redes virtuales entre las que elegir incluye las del proyecto local, así como las de la VPC compartida, tal como se indica en(Compartida)anexada a los nombres de red.

Nota:

Si no ve ninguna red conSharedanexada al nombre, haga clic en el botónAtrásy compruebe que ha elegido el proyecto correcto. Si comprueba que el proyecto elegido es correcto y sigue sin ver ninguna VPC compartida, hay algo mal configurado en Google Cloud Console. Consulte losproblemas y errores más frecuentesmás adelante en este documento.

Recursos seleccionados

La siguiente ilustración muestra que la red virtualgcp-test-vpc (compartida)se seleccionó en el paso anterior. También muestra que se ha seleccionado lasubred denominada subnet-good. Haga clic enSiguiente:

Pantalla de resumen

Después de hacer clic enSiguiente,aparece lapantalla Resumen. En esta pantalla, considere:

• El proyecto es proyecto dedesarrollador.

• La red virtual esgcp-test-vpc, una de la VPC compartida.

• La subred esbuena para subred.

Cómo: Creación de un Catálogo

Todo desde este punto en adelante, como la creación de catálogos, las máquinas de inicio/parada, la actualización de máquinas, etc., se realiza exactamente igual que cuando se usan VPC locales.

Problemas y errores encontrados habitualmente

Trabajar con cualquier sistema complejo con interdependencias puede dar lugar a situaciones inesperadas. A continuación, encontrará algunos problemas y errores comunes que se pueden encontrar al realizar la instalación y la configuración para usar Citrix DaaS y VPC compartidas de GCP.

Faltan reglas de firewall o incorrectas

Si no se encuentran las reglas del firewall, o si las reglas se encuentran pero las reglas o la prioridad son incorrectas, se devolverá un mensaje de este formulario:

“No se pueden encontrar reglas de firewall de cuarentena de INGRESS y EGRESS válidas para VPC en el proyecto . “Asegúrese de haber creado reglas de firewall ‘denegar todos’ con la etiqueta de red ‘citrix-provisioning-quarantine-firewall’ y la prioridad adecuada. “ “Consulte la documentación de Citrix para obtener más detalles. “);

Si aparece este mensaje, debe revisar las reglas del firewall, sus prioridades y las redes a las que se aplican. Para obtener más información, consulte la secciónProcedimiento: Reglas del firewall.

Falta recursos compartidos al crear una conexión de host

Hay algunas razones por las que esta situación puede ocurrir:

Se seleccionó el proyecto incorrecto al crear la conexión de host

Por ejemplo, si se seleccionó el proyecto de host de VPC compartida al crear la conexión de host en lugar del proyecto, seguirá viendo los recursos de red de la VPC compartida,perono tendrán(Compartido)anexados a ellos.

Si ve las subredes compartidas sin esa información adicional, es probable que la conexión de host se haya realizado con una cuenta de servicio incorrecta.

ConsulteCómo crear una conexión de host y una unidad de alojamiento.

Se asignó un rol incorrecto a la cuenta de servicio

Si se asignó un rol incorrecto a la cuenta de servicio, es posible que no pueda acceder a los recursos deseados en la VPC compartida. ConsulteCómo agregar una cuenta de servicio al rol de IAM del proyecto anfitrión.

Permisos incompletos o incorrectos concedidos a

El rol correcto puede asignarse a la cuenta de servicio, pero el rol mismo puede estar incompleto. ConsulteCómo crear una nueva función de IAM.

Cuenta de servicio no agregada como miembro de subred

Si está utilizando el acceso a nivel de subred, asegúrese de que la cuenta de servicio se ha agregado correctamente como miembro (usuario) de los recursos de subred deseados. ConsulteCómo: permisos a nivel de subred.

No se puede encontrar el error de ruta en Studio

Si recibe un error al crear un catálogo en Studio del formulario:

Cannot find path “XDHyp:\\Connections …” because it does not exist

Lo más probable es que no se haya creado un nuevo Cloud Connector para facilitar el uso de los recursos de VPC compartida. Es algo simple pasar por alto después de pasar por todos los pasos anteriores para configurar todo. ConsulteCloud Connectors对位conocer洛杉矶分之一尤其creación.