Conexión con VMware
Crear y administrar conexiones y recursos describe los asistentes que crean una conexión. La siguiente información incluye detalles específicos de los entornos de virtualización de VMware.
Nota:
Antes de crear una conexión con VMware, debe terminar de configurar su cuenta de VMware como ubicación de recursos. Consulte Entornos de virtualización de VMware.
Permisos requeridos
Cree una cuenta de usuario de VMware y uno o varios roles de VMware con un conjunto de los permisos que se describen en este artículo. Base la creación de roles en un nivel específico de granularidad necesaria sobre los permisos del usuario para solicitar las distintas operaciones de Citrix DaaS en cualquier momento. Para conceder los permisos específicos al usuario en cualquier momento, asócielos al rol correspondiente, en el nivel de centro de datos como mínimo, con la opción Propagar a elementos secundarios seleccionada. Sin embargo, para los permisos de StorageProfile
y un permiso Tags
específico, aplique los permisos en el nivel del servidor vCenter raíz, sin propagar a los niveles secundarios. Consulte las notas de cada una de esas tablas.
En estas tablas, se muestran las asignaciones entre las operaciones de Citrix DaaS y los permisos mínimos requeridos de VMware.
Agregar conexiones y recursos
SDK | Interfaz de usuario |
---|---|
System.Anonymous, System.Read y System.View | Se agrega automáticamente. Puede usar el rol integrado de solo lectura. |
Administración de energía
SDK | Interfaz de usuario |
---|---|
VirtualMachine.Interact.PowerOff | Virtual machine > Interaction > Power Off |
VirtualMachine.Interact.PowerOn | Virtual machine > Interaction > Power On |
VirtualMachine.Interact.Reset | Virtual machine > Interaction > Reset |
VirtualMachine.Interact.Suspend | Virtual machine > Interaction > Suspend |
Datastore.Browse | Datastore > Browse datastore |
Aprovisionar máquinas (Machine Creation Services)
Para aprovisionar máquinas mediante MCS, son obligatorios los siguientes permisos:
SDK | Interfaz de usuario |
---|---|
Datastore.AllocateSpace | Datastore > Allocate space |
Datastore.Browse | Datastore > Browse datastore |
Datastore.FileManagement | Datastore > Low level file operations |
Network.Assign | Network > Assign network |
Resource.AssignVMToPool | Resource > Assign virtual machine to resource pool |
VirtualMachine.Config.AddExistingDisk | Virtual machine > Configuration > Add existing disk |
VirtualMachine.Config.AddNewDisk | Virtual machine > Configuration > Add new disk |
Virtual machine.Config.Add or remove device | Virtual machine > Configuration > Add or remove device |
VirtualMachine.Config.AdvancedConfig | Virtual machine > Configuration > Advanced |
VirtualMachine.Config.RemoveDisk | Virtual machine > Configuration > Remove disk |
VirtualMachine.Config.CPUCount | Virtual machine > Configuration > Change CPU count |
VirtualMachine.Config.Memory | Virtual machine > Configuration > Change memory |
VirtualMachine.Config.Settings | Virtual machine > Configuration > Change settings |
VirtualMachine.Interact.PowerOff | Virtual machine > Interaction > Power Off |
VirtualMachine.Interact.PowerOn | Virtual machine > Interaction > Power On |
VirtualMachine.Interact.Reset | Virtual machine > Interaction > Reset |
VirtualMachine.Interact.Suspend | Virtual machine > Interaction > Suspend |
VirtualMachine.Inventory.CreateFromExisting | Virtual machine > Inventory > Create from existing |
VirtualMachine.Inventory.Create | Virtual machine > Inventory > Create new |
VirtualMachine.Inventory.Delete | Virtual machine > Inventory > Remove |
VirtualMachine.Provisioning.Clone | Virtual machine > Provisioning > Clone virtual machine |
VirtualMachine.State.CreateSnapshot | vSphere 5.0, Update 2, vSphere 5.1, Update 1, and vSphere 6.x, Update 1: Virtual machine > State > Create snapshot; vSphere 5.5: Virtual machine > Snapshot management > Create snapshot; vSphere 8.0: Virtual machine > Snapshot management > Create snapshot |
Actualizar y revertir imagen
SDK | Interfaz de usuario |
---|---|
Datastore.AllocateSpace | Datastore > Allocate space |
Datastore.Browse | Datastore > Browse datastore |
Datastore.FileManagement | Datastore > Low level file operations |
Network.Assign | Network > Assign network |
Resource.AssignVMToPool | Resource > Assign virtual machine to resource pool |
VirtualMachine.Config.AddExistingDisk | Virtual machine > Configuration > Add existing disk |
VirtualMachine.Config.AddNewDisk | Virtual machine > Configuration > Add new disk |
VirtualMachine.Config.AdvancedConfig | Virtual machine > Configuration > Advanced |
VirtualMachine.Config.RemoveDisk | Virtual machine > Configuration > Remove disk |
VirtualMachine.Interact.PowerOff | Virtual machine > Interaction > Power Off |
VirtualMachine.Interact.PowerOn | Virtual machine > Interaction > Power On |
VirtualMachine.Interact.Reset | Virtual machine > Interaction > Reset |
VirtualMachine.Inventory.CreateFromExisting | Virtual machine > Inventory > Create from existing |
VirtualMachine.Inventory.Create | Virtual machine > Inventory > Create new |
VirtualMachine.Inventory.Delete | Virtual machine > Inventory > Remove |
VirtualMachine.Provisioning.Clone | Virtual machine > Provisioning > Clone virtual machine |
Eliminar máquinas aprovisionadas
SDK | Interfaz de usuario |
---|---|
Datastore.Browse | Datastore > Browse datastore |
Datastore.FileManagement | Datastore > Low level file operations |
VirtualMachine.Config.RemoveDisk | Virtual machine > Configuration > Remove disk |
VirtualMachine.Interact.PowerOff | Virtual machine > Interaction > Power Off |
VirtualMachine.Inventory.Delete | Virtual machine > Inventory > Remove |
Perfil de almacenamiento (vSAN)
Para ver, crear o eliminar directivas de almacenamiento durante la creación de catálogos en un almacén de datos de vSAN, son obligatorios los siguientes permisos:
SDK | Interfaz de usuario |
---|---|
StorageProfile.Update | PROFILE-DRIVEN STORAGE > Profile-driven storage update. Para vSphere 8: VM storage policies > Update VM storage policies |
StorageProfile.View | PROFILE-DRIVEN STORAGE > Profile-driven storage view. Para vSphere 8: VM storage policies > View VM storage policies |
Nota:
Aplique los permisos del perfil de almacenamiento en el nivel del servidor vCenter raíz, sin propagar a los niveles secundarios.
Etiquetas y atributos personalizados
Las etiquetas y los atributos personalizados permiten adjuntar metadatos a las máquinas virtuales creadas en el inventario de vSphere y facilitan la búsqueda y el filtrado de estos objetos. Para crear, modificar, asignar y eliminar etiquetas o categorías, son obligatorios los siguientes permisos:
SDK | Interfaz de usuario |
---|---|
InventoryService.Tagging.CreateTag | vSphere Tagging > Create vSphere Tag |
InventoryService.Tagging.CreateCategory | vSphere Tagging > Create vSphere Tag Category |
InventoryService.Tagging.EditTag | vSphere Tagging > Edit vSphere Tag |
InventoryService.Tagging.EditCategory | vSphere Tagging > Edit vSphere Tag Category |
InventoryService.Tagging.DeleteTag | vSphere Tagging > Delete vSphere Tag |
InventoryService.Tagging.DeleteCategory | vSphere Tagging > Delete vSphere Tag Category |
InventoryService.Tagging.AttachTag | vSphere Tagging > Assign or Unassign vSphere Tag |
InventoryService.Tagging.ObjectAttachable | vSphere Tagging > Assign or Unassign vSphere Tag on Object |
Global.ManageCustomFields | Global > Manage custom attributes |
Global.SetCustomField | Global > Set custom attribute |
Nota:
- Cuando MCS crea un catálogo de máquinas, etiqueta las máquinas virtuales de destino con etiquetas con nombres especiales. Estas etiquetas diferencian la imagen maestra de las máquinas virtuales creadas por MCS e impiden el uso de máquinas virtuales creadas por MCS para la preparación de imágenes. Puede identificar la diferencia por el valor del atributo
XdProvisioned
en vCenter. El atributo se establece en True si MCS crea las máquinas virtuales.- Aplique el permiso
InventoryService.Tagging.AttachTag
en el nivel del servidor vCenter raíz, sin propagar a los niveles secundarios.
Operaciones de cifrado
Los privilegios relativos a las operaciones de cifrado determinan quién puede realizar los distintos tipos de operaciones de cifrado en los diferentes tipos de objetos. El proveedor de claves nativas de vSphere usa los privilegios de Cryptographer.*
. Para las operaciones de cifrado, se requieren los siguientes permisos mínimos:
Nota:
Estos permisos son necesarios para crear catálogos de máquinas de MCS con una máquina virtual equipada con vTPM.
SDK | Interfaz de usuario |
---|---|
Cryptographer.Access | Privileges > All Privileges > Cryptographic operations > Direct Access |
Cryptographer.AddDisk | Privileges > All Privileges > Cryptographic operations > Add disk |
Cryptographer.Clone | Privileges > All Privileges > Cryptographic operations > Clone |
Cryptographer.Encrypt | Privileges > All Privileges > Cryptographic operations > Encrypt |
Cryptographer.EncryptNew | Privileges > All Privileges > Cryptographic operations > Encrypt new |
Cryptographer.Decrypt | Privileges > All Privileges > Cryptographic operations > Decrypt |
Cryptographer.Migrate | Privileges > All Privileges > Cryptographic operations > Migrate |
Cryptographer.ReadKeyServersInfo | Privileges > All Privileges > Cryptographic operations > Read KMS information |
Aprovisionar máquinas (Citrix Provisioning)
Estos permisos para clonar e implementar una plantilla son necesarios para aprovisionar máquinas virtuales mediante el asistente Citrix Virtual Apps and Desktops Setup Wizard y el asistente Export Devices Wizard a través de la consola de Citrix Provisioning. Establezca los permisos al crear una conexión de alojamiento. Necesita todos los permisos de Aprovisionar máquinas (Machine Creation Services) y lo siguiente:
SDK | Interfaz de usuario |
---|---|
VirtualMachine.Config.AddRemoveDevice | Virtual machine > Configuration > Add or remove device |
VirtualMachine.Config.CPUCount | Virtual machine > Configuration > Change CPU Count |
VirtualMachine.Config.Memory | Virtual machine > Configuration > Memory |
VirtualMachine.Config.Settings | Virtual machine > Configuration > Settings |
VirtualMachine.Provisioning.CloneTemplate | Virtual machine > Provisioning > Clone template |
VirtualMachine.Provisioning.DeployTemplate | Virtual machine > Provisioning > Deploy template |
VApp.Export | vApp > Export |
Nota:
VApp.Export
es necesario para crear catálogos de máquinas de MCS mediante perfiles de máquina.
Protección de las conexiones con el entorno VMware
El uso de conexiones HTTPS/SSL
con vCenter requiere que Citrix DaaS confíe en la conexión.
Existen dos opciones:
- (Recomendada) La base de datos Citrix DaaS tiene instalada la huella digital SSL. Citrix DaaS utiliza esta huella digital en cada Cloud Connector para establecer la confianza en las conexiones a vCenter.
- (Alternativa) Cada Cloud Connector confía en el certificado de vCenter y los servicios del Cloud Connector reutilizan esta confianza. Esta confianza puede proceder de un:
- Certificado de vCenter emitido por una CA en la que confía Windows, lo que establece la confianza entre Windows y vCenter.
- Certificado de vCenter instalado en Windows, lo que establece la confianza entre Windows y vCenter
Nota:
El certificado de vCenter y la huella digital SSL de VMware no son necesarios para las soluciones de VMware Cloud ni de sus partners.
Huella digital SSL de VMware
La funcionalidad de la huella digital SSL de VMware resuelve un error frecuente que se daba al crear una conexión de host a un hipervisor VMware vSphere. Anteriormente, los administradores tenían que crear manualmente una relación de confianza entre los Delivery Controllers administrados por Citrix que hubiera en el sitio y el certificado del hipervisor antes de crear una conexión. La función huella digital SSL de VMware elimina ese requisito manual: la huella digital del certificado que no es de confianza se almacena en la base de datos del sitio, de modo que el hipervisor puede identificarse continuamente como hipervisor de confianza por Citrix DaaS o, incluso si no es por esta, por los Controllers.
Al crear una conexión de host de vSphere, un cuadro de diálogo le permite ver el certificado de la máquina a la que se está conectando. Por lo que puede elegir si quiere confiar en ella.
La huella digital SSL de VMware se puede actualizar posteriormente con el SDK de PowerShell Set-Item -LiteralPath "<FullPath_to_connection>" -username $cred.username -Securepassword $cred.password -SslThumbprint "<New ThumbPrint>" -hypervisorAddress <vcenter URL>
.
Sugerencia:
La huella digital del certificado debe escribirse en mayúsculas.
Obtener e importar un certificado
Para proteger las comunicaciones de vSphere, Citrix recomienda utilizar HTTPS en lugar de HTTP. HTTPS requiere certificados digitales. Citrix recomienda utilizar un certificado digital emitido por una entidad de certificación conforme a la directiva de seguridad de la organización.
Si no puede utilizar un certificado digital emitido por una entidad de certificación y las directivas de seguridad de la organización lo permiten, puede utilizar el certificado autofirmado instalado por VMware. Agregue el certificado de VMware vCenter a cada Cloud Connector.
-
Agregue el nombre de dominio completo (FQDN) del equipo que ejecuta vCenter Server al archivo hosts de ese servidor, ubicado en %SystemRoot%/WINDOWS/system32/Drivers/etc/. Este paso solo es necesario si el nombre FQDN del equipo que ejecuta vCenter Server aún no está presente en el sistema de nombres de dominio.
-
Obtenga el certificado de vCenter con alguno de los tres métodos siguientes:
Desde el servidor vCenter:
- Copie el archivo rui.crt desde el servidor vCenter a una ubicación accesible en los Cloud Connectors.
- En el Cloud Connector, vaya a la ubicación donde está el certificado exportado y abra el archivo rui.crt.
Descargue el certificado mediante un explorador web: Si utiliza Internet Explorer, en función de la cuenta de usuario, deberá hacer clic con el botón secundario en Internet Explorer y elegir Ejecutar como administrador para descargar o instalar el certificado.
- Abra el explorador web y establezca una conexión web segura con el servidor vCenter (por ejemplo https://server1.domain1.com).
- Acepte las advertencias de seguridad.
- Haga clic en la barra de dirección donde aparece el error de certificado.
- Haga clic en Certificate is not valid y, a continuación, en la ficha Details.
- Haga clic en Export.
- Guarde el certificado exportado.
- Vaya a la ubicación del certificado exportado y abra el archivo CER.
Impórtelo directamente desde Internet Explorer ejecutado como administrador:
- Abra el explorador web y establezca una conexión web segura con el servidor vCenter (por ejemplo https://server1.domain1.com).
- Acepte las advertencias de seguridad.
- Haga clic en la barra de dirección donde aparece el error de certificado.
- Vea el certificado.
-
Importe el certificado en el almacén de certificados de cada Cloud Connector.
- Haga clic en Instalar certificado, seleccione Máquina local y, a continuación, haga clic en Siguiente.
- Seleccione Colocar todos los certificados en el siguiente almacén y, a continuación, haga clic en Examinar. En una versión posterior compatible, seleccione Personas de confianza y, a continuación, haga clic en Aceptar. Haga clic en Siguiente y, a continuación, en Finalizar.
Importante:
Si cambia el nombre del servidor vSphere después de la instalación, debe generar un certificado autofirmado nuevo en ese servidor antes de importar el certificado nuevo.
Qué hacer a continuación
- Si está en el proceso de implementación inicial, consulte Crear catálogos de máquinas.
- Para obtener información específica de VMware, consulte Crear un catálogo de VMware.