谷歌云平台(GCP)与Citrix虚拟应用程序和桌面共享vpc支持
概述
Citrix虚拟应用程序和桌面服务支持谷歌云平台(GCP)共享VPC。本文档涵盖:
Citrix对谷歌云共享VPC的支持概述。
与谷歌云共享VPC相关的术语概述。
配置谷歌云环境以支持使用共享VPC。
使用谷歌共享VPC进行主机连接和计算机目录配置。
常见错误情况以及如何解决它们。
必备条件
本文档假定了解谷歌云以及使用Citrix虚拟应用程序和桌面服务在谷歌云项目中置备计算机目录的知识。
要为Citrix虚拟应用程序和桌面服务设置GCP项目,请参阅产品文档。
摘要
Citrix MCS对配置配置配置配置共享共享共享vpc的手机目录的支持在功能上等同于当今本地VPC支持的功能。
它们有两种不成的方案:
必须向用于创建主机连接的服务账户授予更多权限,以允许MCS访问和使用共享VPC资源。
站点致理性员必须创建两两个防火墙规则规则规则,每个规则用于入口和出口,以便在映像映像致理性传播中间使用。
这两个问题将在本文后面进行更详细的讨论。
谷歌云共享vpc
GCP共享vpc由一击手机项目(共共子网可从中使用)和一脚寿司多个利用这些资源的服务服务项目成。
对于大型安装而言,使用共享VPC是一个不错的选择,因为它们可以更集中地控制,使用和管理共享的公司谷歌云资源。谷歌云以这种方式描述它:
“共享VPC允许组织将多个项目中的资源连接到公用虚拟销有云(VPC)网站,以便它们可以使用该网络中的内部IP安全高效地彼此通信。使用共享VPC时,您将项目指定为托管项目,并将一个或多个其他服务项目附加到该项目。宿主项目中的VPC网络称为共享VPC网络。服务项目中的合格的资源可以使用共享VPC网络中的子网。”
以上段落取自谷歌文档站点.
需要新权限
使用Citrix虚拟应用程序和桌面以及谷歌云时,创建主机连接时必须提供具有特定权限的GCP服务帐户。如上所述,要使用GCP共享VPC,必须向用于创建基于共享VPC的主机连接的任何服务账户授予一些额外权限。
从技术上讲,所需的无限并不仅仅是“新的”,因为它们已经是将citrix虚拟应用程序和桌面与gcp和本地vpc结合作的必要它们。更改共享vpc资源。这是通讯将服务账户添加到主机项目的的的,本文的“如何操作用”分公司介绍介绍。
注意:
要查看当前发货的Citrix虚拟应用程序和桌面产品所需的权限,请参阅Citrix文档网站描述资源位置。
总体而言,必须向与主机连接关联的服务帐户授予最多四个额外权限:
计算.firewalls.list——强制性
此权限对于允许Citrix MCS检索共享VPC上存在的防火墙规则列表是必要的(下文将详细讨论)。
计算.Networks.List-
此权限对于允许Citrix MCS识别服务帐户可用的共享VPC网络是必需的。
计算.subnetworks。列表,可能是强制性的(见下文)
此权限对于允许MCS识别可见共享VPC中的子网是必要的。
注意:
使用本地vpc已经需要此权可执行,但也必须在共享vpc手机项目中间分量。
计算.subnetworks.use -可能是强制性的(见下文)
此权限是使用已置备计算机目录中的子网资源所必需的。
注意:
使用本地vpc已经需要此权可执行,但也必须在共享vpc手机项目中间分量。
最后最后两项被为“可能是必需的”,因为在处理这些权限时需要考虑两种不同的方法:
项目级限制性
允许访问主机项目中的所有共享VPC。
要求必须将 #3 和 #4 权限分配给服务帐号。
子网级限制性
允许访问共享VPC中的特定子网。
权帐户
本文档的“如何操作“部分提供了这两种方法的示例。
任何一种方法都将同样有效。请选择更符合贵组织需求和安全标准的模型。有关项目级别和子网级别的权限之间的区别的更加详细的信息,可从谷歌云文章中获取。
主持项目
要在谷歌云中使用共享VPC,请首先指定并启用一个谷歌云项目作为托管项目。此主机项目包含组织内其他谷歌云项目使用的一个或多个共享VPC网络。
配置共享VPC主机项目,创建子网以及与其他谷歌云项目共享整个项目或特定子网,纯粹是与谷歌云相关的活动,不包括在本文档的范围内。可以在此处找到找到与和使用共享vpc相关的谷象云文章。
防火墙规则
置备或更新计算机目录时发生的幕后处理的关键步骤称为母带化。这是复制选定的手机映像并设备好作为目录的主映像映像磁盘磁盘的时代。在母带母带程中的时,此磁盘连接到临时机即准备机,然后驾驶以允许制备脚本行行。此手机需要在隔离环境中间行,以防止所有入站和出站网络流量。这是通过一对否认所有防火墙规则完成的;一个用于入口,一个用于出口。
使GCP当地VPC时,用MCS会在本地网络中动态创建此防火墙规则对,将它们应用到计算机进行母带控制,并在主控完成后将其删除。
Citrix建议将使用共享VPC所需的新权限数量保持在最低水平,因为共享VPC是更高级别的公司资源,通常具有更严格的安全协议。因此,站点管理员必须在每个具有最高优先级的共享VPC上创建一对防火墙规则(一个入口和一个出口),并对每个规则应用新的目标标签。”目标标签” 值为:
citrix-provisioning-quarantine-firewall
当MCS创建或更新计算机目录时,它将搜索包含此目标标签的防火墙规则,检查规则的正确性,然后将它们应用的到准备手机。
如果未找到防火墙规则或找到规则,但规则或优先级不正确,则将返回以下形式的消息:
无法为项目\
云连接器
对Citrix虚拟应用程序和桌面计算机目录使用共享VPC时,您将创建两个或多个云连接器以访问驻留在共享VPC中的域控制器。这种情况下,建议在本地项目中创建一个GCP计算机实例,然后向实例添加额外的网络接口。第一个接口将连接到共享VPC中的子网。第二个网络接口将连接到本地 VPC 中的子网,以允许通过本地 VPC 堡垒服务器进行管理控制和维护。
很遗憾,在创建GCP实例之后,您无法将网络接口添加到该实例。这是一个简单的过程,下文将在“如何操作“条目之一中介绍。
如何分区
以下部分包含一系列教学示例,可帮助您了解执行将谷歌虚拟应用程序和桌面共享VPC与Citrix结合使用所需的配置更改的步骤。
谷歌控制台屏幕截图中提供的示例都将在名为共享VPC项目1的假设谷歌项目中进行。
如何:创建新的我角色
在宿主项目中创建具有出现的新的新的角色,然后将该角色分类
下面我们将创建名为Citrix-ProjectLevel-Sharedvpcrole的项目级角色。对于分配的前两组权限,子网级角色只需遵循相同的步骤。
谷歌控制台中的IAM和管理
在谷歌控制台中访问我和管理员配置选项:
创建角色
选择创建角色:
空“创建角色”屏幕
出现出现类似以内容的屏幕:
填写名称并添加权限
指定角色名称。单击添加权限以应用更新:
添加权限对话框
单击”添加权限”后,将出现类似于下面一次的屏幕。
请注意,在此图片中,“筛选表“文本输入字段被突出显示:
添加计算.firewalls。表权限
单击筛选器表文本输入字段将显示上下文菜单:
将compute.firewalls.list复制并粘贴(或键入)到文本字段中,如下所示:
选择已从权限表中过滤掉的compute.firewalls.list条目会出现以下对话框:
单击切换框以启用过:
单击添加。
创建角色屏幕将重新出现。请注意,已将compute.firewalls.list权限添加到角色中:
添加计算te.networks.list权限
使用与上述相同的步骤,加加compute.networks.list只有,请务必选择正当的规则。如下所示,在筛选器材表字段中输入权限文本时,将列出两个权限。选择compute.networks.list条目:
单击添加。
加加到我们的角色中的两个强制强制强制限量:
项目级别级别子网站
使用子网级访问权限确定角色具有的访问级别,例如项目级访问权限或更受限的模型。出于本文档的目的,我们当前正在创建名为Citrix-ProjectLevel-SharedVPC角色的角色,因此我们将使用上述步骤添加compute.subnetworks.list和compute.subnetworks.use单身。在单一“创建”之前,生成的屏幕看起来像这样,已授予四个权限:
单击创建(创建)。
注意:
如果子网级角色是在此创建的,我们本来会单击创建,而不是添加两个额外的compute.subnetworks.list和compute.subnetworks.use单限制。
Citrix-ProjectLevel-SharedvPC角色已创建
如何:将服务账号加载到托管iam角色
在我们已经已经创建新的Citrix-ProjectLevel-SharedVPC角色,我们需要在宿主项目中向向向向其个服务帐户。在本地,我们将使用名为citrix-shared-vpc-service-account的服务帐户。
导航到iam和管理
第一步是导航到项目的我和角色屏幕。在控制台中,选择我和管理员。选择我:
项目权
加加具备指定极限的成型。单击添加以显示成员列表:
加加成员面板
单击”添加”将显示一个小面板,如下图所示。将在以下步骤中输入数据。
加加服务帐户
开始在字段中键入服务帐户的名称。在您输入时,Google Cloud 将搜索您有权访问的项目,并显示缩小可能匹配项目的列表。在这种情况下,我们有一个匹配项(直接显示在填写下方),因此我们选择该条目:
角色选择
在指定.成员名称(在我们的例子中为服务帐号)后,选择服务账号的角色,以便像在共享VPC项目中一样运行。通过单击指示的列表开始此过程:
选择角色
请注意。”选择角色“流程与之前的“如何操作,创建新我角色”中使用的流程类似。在这种情况下,将显示其他几个选项以及填写。
指定角色
既然我们知道我们想申请的角色,我们就可以开始输入。出现预期角色后,选择角色:
选择并保存
选择角色角色,单一保存:
我们现在已成功将服务帐户添加到主机项目中。
如何:子网站限额
如果您选择使用子网页名为sharedvpc-sa \ @citrix-mcs-documentation.iam.gserviceaccount.com的服务账户提供对共享VPC中单个子网的访问权限。
导航到vpc>共享vpc
第一步是导航到谷歌控制台中的共享VPC屏幕:
初始共享VPC屏幕
这是谷歌云主机共享VPC屏幕的登录页面。该项目显示了五个子网。本示例中的服务帐户需要访问第二个子网良好的子网(下面列表中的最后一个子网)。
选中第二个子网良好子网旁边的复选框:
选择访问服务帐户的子网
在已选中最后一尾网的复选框,请注意,添加成员选项出现在屏幕的右上角。
本练习还应应与与子网的用途数量。
点击添加成员:
填写新成员名目
与前面的“如何执行”部分中将服务帐户添加到宿主项目所需的步骤类似,此处也需要提供新成员名称。填写名称后,谷歌云将列出所有相关项目(如以前一样),以便我们可以选择相关的服务帐号。在这种情况下,它只是一个条目。
双击服务帐户以将其选中:
为新成员选择
选择服务帐户后,还需要为新成员选择一个角色:
在列表中,单击选择角色。
双击计算网络用户角色。
已选择角色
该图显示已指定服务和角色。剩下的第一个是单身“保存“以提交更改:
用来还加加到子网
保存更改后,将显示共享VPC的主屏幕。请注意,有权访问最后一个子网的用户数量正如预期的那样增加到两个:
如何:将项目CloudBuild服务账号添加到共享VPC
每个谷歌云订阅都有一个服务帐号,该帐号以项目ID号命名,后跟cloudbuild.gservicecount。一个全名示例(使用作用的项目id)是:
705794712345 @ cloudbuild.gserviceaccount。
还需要将此CloudBuild服务帐户添加为共享VPC的成员,其方式与您在如何:将服务账号加载到托管iam角色的步骤 3 中用于创建主机连接的服务账号的方式相同。
您可以通过在谷歌云控制台菜单中选择”主页”和“控制面板“来确定项目的项目id形是什么:
在那的“项目信息“区域下找到项目编的号。
在添加成员字段中输入项目编号/ cloudbuild.gservice账户组合。分配整机网站用途的角色:
选择保存。
如何:防火墙规则
创建所需的防火墙规则比创建角色容易一些。
选择主机项目
如本文档前面所述,需要在宿主项目中创建两个防火墙规则。
确保您已经选择了宿主项目。
VPC网络>防火墙
从谷歌控制控制台菜单中,导航到VPC>防火墙,如下所示:
创建防火墙规则按钮
谷歌控制台中的防火墙屏幕顶部包含一个用于创建新规则的按钮。
单击创建防火墙规则:
创建新的防火墙屏幕
用于创建新防火墙规则的屏幕如下所示:
入口规则:填写数据
首先,通过向以下字段添加或更改值来创建所需的拒绝别没有♥规则:
名字
为拒绝所有进入防火墙规则命名。例如,
citrix-deny-all-ingress-rule。网络
选择此入口防火墙规则将针对的共享VPC网络。例如
GCP-Test-VPC。优先级
该字段中的值至关重要。在防火墙规则的世界中,优先级值越低,规则的优先级越高。这就是为什么所有默认规则的值都为 66536,因此任何自定义规则(其值小于 65536)都优先于任何默认规则。
对于这两条规则,我们需要它们在网络上拥有最高优先级的规则。我们将使用 10 的值。
交通方向
创建新规则的默认设置为入口,应该已经被选中。
比赛时的操作
此值将默认为“允许”。我们需要将其更改为拒绝。
目标
这是另一个非常关键的领域。目标的默认类型是指定的目标标签,这正是我们想要的。在标有目标标签的文本框中,输入值citrix置备隔离防火墙。
来源器械
对于对于滤器,我们将保留IP范围的默认筛选器类型,并输入匹配所有为此,我们使用0.0.0 / 0的值。
协议和端口
在协议和下,选择全部拒绝。
完成的屏幕应该是这样的:
单击Cr并生成新规则。
出口规则:填写数据
出口规则与之前创建的入口规则几乎相同。如上所示,再次使用C列阿特FIREWALE规则,然后填写下面详细说明的字段:
名字
为“拒绝别无,”防火墙规则名录。在这里的我们将它称之期为Citrix-Deny-Gegress♥。
网络
在此处选择创建上述入口防火墙规则时使用的同一共享VPC网络。例如
GCP-Test-VPC。优先级
如上所述,我们将使用值10。
交通方向
对于此规则,我们需要更改默认值,然后选择”出口”。
比赛时的操作
此值将默认为“允许”。我们需要将其更改为拒绝。
目标
在目标标签字段中输入Citrix置备隔离防火墙的值。
来源器械
对于源过滤器,我们将保留IP范围的默认筛选器类型,并输入匹配所有为此,我们使用0.0.0 / 0的值。
协议和端口
在协议和端口下,选择全部拒绝。
完成的屏幕应该是这样的:
单击”创建“以生成新规则。
已创建了两个必要的防火墙规则。如果在部署计算机目录时将使用多个共享VPC,请重复上述步骤。在各自的主机项目中,为每个已识别的共享VPC创建两个规则。
如何:将网络接口添加到云连接器实例
创建用于共享vpc的云连接器时,需要在创建实例时向其添加额外的网络接口。
实例存在后,无法添加其他网络接口。要添加第二个网络接口:
GCP实例的初始网络设置
这是首次创建网络实例时显示的网络设置的初始面板
由于我们想将第一个网络实例用于共享VPC,因此单击铅笔图标进入编辑模式。
扩展的网络设置屏幕如下。值得注意的一个关键事项是,我们现在可以直接在网络接口横幅下方看到与我共享的网络选项(来自主机项目:citrix-shared-vpc-project-1):
选择了共享VPC的“网络设置”面板显示:
已选择共享VPC网络。
选择了子网良好的子网。
将外部IP地址的设置修改为“无”。
单击”完成“保存更改。单一添加网络接口。
加加第二个网站接口
我们只在有七一个连接到vpc(如上所示)。我们可以使用创建新云连接器时通常使使接口个个个。然后单击“完成”:
如何:创建主机连接和托管单元
创建用于享vpc的手机连接连接与与与于于于vpc的手机连接没没与主。创建主机连接连接访问共vpc资源时,请请使使使使使使使使使使使使使使使使使使使用品项目相关的服务账户json文章。
凭据和连接名称
为使用共享vpc资源资源创建主主资源其他其他其他其他其他gcp相关的手机连接:
选择项目和地区
将您的项目(在下图中显示为开发人员项目)添加到可以访问共享VPC的列表后,您可能会在工作室中看到您的项目和共享VPC项目。务必确保选择部署的计算机目录应该驻留的项目,而不是共享vpc:
选择资源
选择与主机连接关联的资源。
请注意以下事项:
为资源指定的名称是SharedvPCRources。
可供选择的虚拟网络列表包括本地项目中的虚拟网络以及来自共享VPC的虚拟网络,如网络名称后附加的(共享)所示。
注意:
如果您没有在名称后看到任何带有共享的网络,请单击”返回“按钮并验证您选择了正确的项目。如果您验证所选项目是否正确,但仍未看到任何共享VPC,则谷歌云主机中的某些内容配置错误。请参阅本文档后面的常遇到的问题和错误。
选择的资源
下图显示在上一步中选择了gcp-test-VPC(共享)虚拟网络。它还显示名为子网 - 好好的子网已被选中。单击下一个(下一步):
摘要屏幕
单击下一步后,将显示摘要屏幕。在此屏幕中,请考虑:
该项目是开发者项目。
虚拟网站是GCP-Test-VPC,一世来自共享vpc。
子网是子网良好的。
如何:创建目录
从此开始,所有内容,例如目录创建,启动/停止计算机,更新计算机等,都与使用本地VPC时完全相同。
常遇到的问题和错误
使用任何任何相互依赖性依赖性系统会意别情况会户外情况。下载可在行户外情况设置和配置以用Citrix虚拟应用和桌面
防火墙规则缺失或不正确
如果未找到防火墙规则,或者找到规则但规则或优先级不正确,则将返回以下形式的消息:
“找不到项目<项目>中的VPC <名称>的有效入口和出口隔离防火墙规则。”请确保您已创建“拒绝所有” 防火墙规则,其网络标记为“citrix-provisioning-quarantine-firewall” 和适当的优先级。“ “有关详细信息,请参阅 Citrix 文档。“);
如果遇到此消息,则必须查看防火墙规则,其优先级以及它们适适使用于于网站。有关是否信息,请请参阅如何 - 防火墙规则。
创建主机连接时缺少共享资源
出现这种情况的原因有几个:
创建主机连接时尚不正常的项目
例如,如果在创建主机连接而不是项目时选择了共享VPC主机项目,则您仍将看到共享VPC中的网络资源,但它们不会增加(共享)。
如果您看到的是没有这些额外信息的共享子网,则主机连接可能是使用错误的服务帐户建立的。
请参阅如何 - 创建主机连接和托管单位。
为服务帐户分配了错误的角色
如果为服务账户分配了错误的角色,则可能无法访问共享VPC中的所需资源。请参阅如何——将服务账号添加到托管项目我角色。
授予角色的权限不完整或不正确
可以将正确的角色分配给服务帐号,但角色本身可能不完整。请参阅操作方法——创建新的我角色。
服务帐号未添加为子网成员
如果您使用的是子网级别访问权限,请确保服务帐户已正确添加为所需子网资源的成员(用户)。请参阅如何 - 子网站限制。
在工作室中找不到路径错误
如果您在表单的工作室中创建目录时收到错误:
无法找到路径“xdhp:\\连接…”,因为它不存在
很可能的情况是,创建新云的连接器不是为了方便使用共享VPC资源。在完成上述所有步骤来配置所有内容之后,您可以忽略一下。有关对其进行创建的重要要点,请参阅云连接器。