Citrix Virtual Apps and Desktops

Entornos de virtualización de VMware

Si quiere utilizar VMware para proporcionar máquinas virtuales, siga estas instrucciones.

Instale vCenter Server y las herramientas de administración adecuadas. (No se admite la operación “Linked Mode” de vSphere vCenter.)

Si va a utilizar Machine Creation Services (MCS), no inhabilite la función de explorador del almacén de datos (Datastore Browser) en el servidor vCenter (descrito en https://kb.vmware.com/s/article/2101567). Si inhabilita esta función, MCS no funciona correctamente.

Privilegios necesarios

Cree una cuenta de usuario de VMware y uno o varios roles de VMware con un conjunto de los permisos que se describen en este artículo. Base la creación de roles en un nivel específico de granularidad necesaria sobre los permisos del usuario para solicitar las distintas operaciones de Citrix DaaS en cualquier momento. Para conceder los permisos específicos al usuario en cualquier momento, asócielos al rol correspondiente, en el nivel de centro de datos como mínimo, con la opción Propagar a elementos secundarios seleccionada. Sin embargo, para los permisos de StorageProfile y un permiso Tags específico, aplique los permisos en el nivel del servidor vCenter raíz, sin propagar a los niveles secundarios. Consulte las notas de cada una de esas tablas.

En las siguientes tablas, se muestran las asignaciones entre las operaciones de Citrix Virtual Apps and Desktops y los privilegios mínimos requeridos de VMware.

Nota:

El nombre simplificado de la lista de permisos, concretamente User Interface, es diferente para algunas versiones de vSphere. Por ejemplo: en vSphere 6.7 el permiso User Interface es Change Memory y Change Settings, en lugar de Settings y Memory, como se describe en los privilegios requeridos que se indican en esta página.

Agregar conexiones y recursos

SDK Interfaz de usuario
System.Anonymous, System.Read y System.View Se agrega automáticamente. Puede usar el rol integrado de solo lectura.

Administración de energía

SDK Interfaz de usuario
VirtualMachine.Interact.PowerOff Virtual machine > Interaction > Power Off
VirtualMachine.Interact.PowerOn Virtual machine > Interaction > Power On
VirtualMachine.Interact.Reset Virtual machine > Interaction > Reset
VirtualMachine.Interact.Suspend Virtual machine > Interaction > Suspend
Datastore.Browse Datastore > Browse datastore

Aprovisionar máquinas (Machine Creation Services)

Para aprovisionar máquinas mediante MCS, son obligatorios los siguientes permisos:

SDK Interfaz de usuario
Datastore.AllocateSpace Datastore > Allocate space
Datastore.Browse Datastore > Browse datastore
Datastore.FileManagement Datastore > Low level file operations
Network.Assign Network > Assign network
Resource.AssignVMToPool Resource > Assign virtual machine to resource pool
VirtualMachine.Config.AddExistingDisk Virtual machine > Configuration > Add existing disk
VirtualMachine.Config.AddNewDisk Virtual machine > Configuration > Add new disk
Virtual machine.Config.Add or remove device Virtual machine > Configuration > Add or remove device
VirtualMachine.Config.AdvancedConfig Virtual machine > Configuration > Advanced
VirtualMachine.Config.RemoveDisk Virtual machine > Configuration > Remove disk
VirtualMachine.Config.CPUCount Virtual machine > Configuration > Change CPU count
VirtualMachine.Config.Memory Virtual machine > Configuration > Change memory
VirtualMachine.Config.Settings Virtual machine > Configuration > Change settings
VirtualMachine.Interact.PowerOff Virtual machine > Interaction > Power Off
VirtualMachine.Interact.PowerOn Virtual machine > Interaction > Power On
VirtualMachine.Interact.Reset Virtual machine > Interaction > Reset
VirtualMachine.Interact.Suspend Virtual machine > Interaction > Suspend
VirtualMachine.Inventory.CreateFromExisting Virtual machine > Inventory > Create from existing
VirtualMachine.Inventory.Create Virtual machine > Inventory > Create new
VirtualMachine.Inventory.Delete Virtual machine > Inventory > Remove
VirtualMachine.Provisioning.Clone Virtual machine > Provisioning > Clone virtual machine
VirtualMachine.State.CreateSnapshot vSphere 5.0, Update 2, vSphere 5.1, Update 1, and vSphere 6.x, Update 1: Virtual machine > State > Create snapshot; vSphere 5.5: Virtual machine > Snapshot management > Create snapshot

Actualizar y revertir imagen

SDK Interfaz de usuario
Datastore.AllocateSpace Datastore > Allocate space
Datastore.Browse Datastore > Browse datastore
Datastore.FileManagement Datastore > Low level file operations
Network.Assign Network > Assign network
Resource.AssignVMToPool Resource > Assign virtual machine to resource pool
VirtualMachine.Config.AddExistingDisk Virtual machine > Configuration > Add existing disk
VirtualMachine.Config.AddNewDisk Virtual machine > Configuration > Add new disk
VirtualMachine.Config.AdvancedConfig Virtual machine > Configuration > Advanced
VirtualMachine.Config.RemoveDisk Virtual machine > Configuration > Remove disk
VirtualMachine.Interact.PowerOff Virtual machine > Interaction > Power Off
VirtualMachine.Interact.PowerOn Virtual machine > Interaction > Power On
VirtualMachine.Interact.Reset Virtual machine > Interaction > Reset
VirtualMachine.Inventory.CreateFromExisting Virtual machine > Inventory > Create from existing
VirtualMachine.Inventory.Create Virtual machine > Inventory > Create new
VirtualMachine.Inventory.Delete Virtual machine > Inventory > Remove
VirtualMachine.Provisioning.Clone Virtual machine > Provisioning > Clone virtual machine

Eliminar máquinas aprovisionadas

SDK Interfaz de usuario
Datastore.Browse Datastore > Browse datastore
Datastore.FileManagement Datastore > Low level file operations
VirtualMachine.Config.RemoveDisk Virtual machine > Configuration > Remove disk
VirtualMachine.Interact.PowerOff Virtual machine > Interaction > Power Off
VirtualMachine.Inventory.Delete Virtual machine > Inventory > Remove

Perfil de almacenamiento (vSAN)

Para ver, crear o eliminar directivas de almacenamiento durante la creación de catálogos en un almacén de datos de vSAN, son obligatorios los siguientes permisos:

SDK Interfaz de usuario
StorageProfile.Update PROFILE-DRIVEN STORAGE > Profile-driven storage update. Para vSphere 8: VM storage policies > Update VM storage policies
StorageProfile.View PROFILE-DRIVEN STORAGE > Profile-driven storage view. Para vSphere 8: VM storage policies > View VM storage policies

Nota:

Aplique los permisos del perfil de almacenamiento en el nivel del servidor vCenter raíz, sin propagar a los niveles secundarios.

Etiquetas y atributos personalizados

Las etiquetas y los atributos personalizados permiten adjuntar metadatos a las máquinas virtuales creadas en el inventario de vSphere y facilitan la búsqueda y el filtrado de estos objetos. Para crear, modificar, asignar y eliminar etiquetas o categorías, son obligatorios los siguientes permisos:

SDK Interfaz de usuario
InventoryService.Tagging.CreateTag vSphere Tagging > Create vSphere Tag
InventoryService.Tagging.CreateCategory vSphere Tagging > Create vSphere Tag Category
InventoryService.Tagging.EditTag vSphere Tagging > Edit vSphere Tag
InventoryService.Tagging.EditCategory vSphere Tagging > Edit vSphere Tag Category
InventoryService.Tagging.DeleteTag vSphere Tagging > Delete vSphere Tag
InventoryService.Tagging.DeleteCategory vSphere Tagging > Delete vSphere Tag Category
InventoryService.Tagging.AttachTag vSphere Tagging > Assign or Unassign vSphere Tag
InventoryService.Tagging.ObjectAttachable vSphere Tagging > Assign or Unassign vSphere Tag on Object
Global.ManageCustomFields Global > Manage custom attributes
Global.SetCustomField Global > Set custom attribute

Nota:

  • Cuando MCS crea un catálogo de máquinas, etiqueta las máquinas virtuales de destino con etiquetas con nombres especiales. Estas etiquetas diferencian la imagen maestra de las máquinas virtuales creadas por MCS e impiden el uso de máquinas virtuales creadas por MCS para la preparación de imágenes. Puede identificar la diferencia por el valor del atributo XdProvisioned en vCenter. El atributo se establece en True si MCS crea las máquinas virtuales.
  • Aplique el permiso InventoryService.Tagging.AttachTag en el nivel del servidor vCenter raíz, sin propagar a los niveles secundarios.

Operaciones de cifrado

Los privilegios relativos a las operaciones de cifrado determinan quién puede realizar los distintos tipos de operaciones de cifrado en los diferentes tipos de objetos. El proveedor de claves nativas de vSphere usa los privilegios de Cryptographer.*. Para las operaciones de cifrado, se requieren los siguientes permisos mínimos:

SDK Interfaz de usuario
Cryptographer.Access Privileges > All Privileges > Cryptographic operations > Direct Access
Cryptographer.AddDisk Privileges > All Privileges > Cryptographic operations > Add disk
Cryptographer.Clone Privileges > All Privileges > Cryptographic operations > Clone
Cryptographer.Encrypt Privileges > All Privileges > Cryptographic operations > Encrypt
Cryptographer.EncryptNew Privileges > All Privileges > Cryptographic operations > Encrypt new
Cryptographer.Decrypt Privileges > All Privileges > Cryptographic operations > Decrypt
Cryptographer.Migrate Privileges > All Privileges > Cryptographic operations > Migrate
Cryptographer.ReadKeyServersInfo Privileges > All Privileges > Cryptographic operations > Read KMS information

Aprovisionar máquinas (Citrix Provisioning)

Estos permisos para clonar e implementar una plantilla son necesarios para aprovisionar máquinas virtuales mediante el asistente Citrix Virtual Apps and Desktops Setup Wizard y el asistente Export Devices Wizard a través de la consola de Citrix Provisioning. Establezca los permisos al crear una conexión de alojamiento. Necesita todos los permisos de Aprovisionar máquinas (Machine Creation Services) y lo siguiente:

SDK Interfaz de usuario
VirtualMachine.Config.AddRemoveDevice Virtual machine > Configuration > Add or remove device
VirtualMachine.Config.CPUCount Máquina virtual > Configuración > Cambiar recuento de CPU
VirtualMachine.Config.Memory Virtual machine > Configuration > Memory
VirtualMachine.Config.Settings Virtual machine > Configuration > Settings
VirtualMachine.Provisioning.CloneTemplate Virtual machine > Provisioning > Clone template
VirtualMachine.Provisioning.DeployTemplate Virtual machine > Provisioning > Deploy template
VApp.Export vApp > Export

Nota:

VApp.Export es necesario para crear catálogos de máquinas de MCS mediante perfiles de máquina.

Crear AppDisks

Válido para VMware vSphere 5.5, como mínimo, y XenApp y XenDesktop 7.8, como mínimo.

SDK Interfaz de usuario
Datastore.AllocateSpace Datastore > Allocate space
Datastore.Browse Datastore > Browse datastore
Datastore.FileManagement Datastore > Low level file operations
VirtualMachine.Config.AddExistingDisk Virtual machine > Configuration > Add existing disk
VirtualMachine.Config.AddNewDisk Virtual machine > Configuration > Add new disk
VirtualMachine.Config.AdvancedConfig Virtual machine > Configuration > Advanced
VirtualMachine.Config.EditDevice Virtual machine > Configuration > Modify Device Settings
VirtualMachine.Config.RemoveDisk Virtual machine > Configuration > Remove disk
VirtualMachine.Interact.PowerOff Virtual machine > Interaction > Power Off
VirtualMachine.Interact.PowerOn Virtual machine > Interaction > Power On

Eliminar AppDisks

Válido para VMware vSphere 5.5, como mínimo, y XenApp y XenDesktop 7.8, como mínimo.

SDK Interfaz de usuario
Datastore.Browse Datastore > Browse datastore
Datastore.FileManagement Datastore > Low level file operations
VirtualMachine.Config.RemoveDisk Virtual machine > Configuration > Remove disk
VirtualMachine.Interact.PowerOff Virtual machine > Interaction > Power Off

Obtener e importar un certificado

Para proteger las comunicaciones de vSphere, Citrix recomienda utilizar HTTPS en lugar de HTTP. HTTPS requiere certificados digitales. Citrix recomienda utilizar un certificado digital emitido por una entidad de certificación conforme a la directiva de seguridad de la organización.

Si no puede utilizar un certificado digital emitido por una entidad de certificación y las directivas de seguridad de la organización lo permiten, puede utilizar el certificado autofirmado instalado por VMware. Agregue el certificado de VMware vCenter a cada Delivery Controller.

  1. Agregue el nombre de dominio completo (FQDN) del equipo que ejecuta vCenter Server al archivo hosts de ese servidor, ubicado en %SystemRoot%/WINDOWS/system32/Drivers/etc/. Este paso solo es necesario si el nombre FQDN del equipo que ejecuta vCenter Server aún no está presente en el sistema de nombres de dominio.

  2. Obtenga el certificado de vCenter con alguno de los tres métodos siguientes:

    Desde el servidor vCenter.

    1. Copie el archivo rui.crt desde el servidor vCenter a una ubicación accesible en los Delivery Controllers.
    2. En Controller, vaya a la ubicación donde está el certificado exportado y abra el archivo rui.crt.

    Descargue el certificado mediante un explorador web. Si está utilizando Internet Explorer, dependiendo de la cuenta de usuario, puede que tenga que hacer clic con el botón secundario en Internet Explorer y elegir Ejecutar como administrador para descargar o instalar el certificado.

    1. Abra el explorador web y establezca una conexión web segura con el servidor vCenter (por ejemplo https://server1.domain1.com)).
    2. Acepte las advertencias de seguridad.
    3. Haga clic en la barra de dirección donde aparece el error de certificado.
    4. Revise el certificado y haga clic en la ficha Detalles.
    5. Seleccione Copiar a archivo y exportar en formato CER y escriba un nombre cuando lo pida el procedimiento.
    6. Guarde el certificado exportado.
    7. Vaya a la ubicación del certificado exportado y abra el archivo CER.

    Impórtelo directamente desde Internet Explorer ejecutado como administrador.

    • Abra el explorador web y establezca una conexión web segura con el servidor vCenter (por ejemplo https://server1.domain1.com)).
    • Acepte las advertencias de seguridad.
    • Haga clic en la barra de dirección donde aparece el error de certificado.
    • Vea el certificado.
  3. Importe el certificado en el almacén de certificados de cada uno de los Controllers.

    1. Haga clic en Instalar certificado, seleccione Máquina local y, a continuación, haga clic en Siguiente.
    2. Seleccione Colocar todos los certificados en el siguiente almacén y, a continuación, haga clic en Examinar. Seleccione Personas de confianza y haga clic en Aceptar. Haga clic en Siguiente y, a continuación, en Finalizar.

    Si cambia el nombre del servidor vSphere después de la instalación, debe generar un certificado autofirmado nuevo en ese servidor antes de importar el certificado nuevo.

Consideraciones sobre la configuración

Crear una VM maestra:

Use una VM maestra para proporcionar las aplicaciones y los escritorios de los usuarios en un catálogo de máquinas. En el hipervisor:

  1. Instale el VDA en la VM maestra y seleccione la opción de optimizar el escritorio, lo que mejora el rendimiento.
  2. Tome una instantánea de la VM maestra para usarla como copia de seguridad.

Crear una conexión:

En el asistente para la creación de conexiones:

  • Seleccione el tipo de conexión VMware.
  • Especifique la dirección del punto de acceso para el SDK de vCenter.
  • Especifique las credenciales de la cuenta de usuario VMware que ha configurado y que incluye permisos para crear nuevas VM. Especifique el nombre de usuario en el formato dominio/nombre_de_usuario.

Huella digital SSL de VMware

La funcionalidad huella digital SSL de VMware resuelve un error frecuente que se daba al crear una conexión de host a un hipervisor VMware vSphere. Anteriormente, los administradores tenían que crear manualmente una relación de confianza entre los Delivery Controllers del sitio y el certificado del hipervisor antes de crear una conexión. La función huella digital SSL de VMware elimina ese requisito manual: la huella digital del certificado que no es de confianza se almacena en la base de datos del sitio, de modo que el hipervisor puede identificarse continuamente como hipervisor de confianza por Citrix Virtual Apps and Desktops o, incluso si no es por ellos, por los Controllers.

Al crear una conexión de host de vSphere en Studio, un cuadro de diálogo le permite ver el certificado de la máquina a la que se está conectando. Por lo que puede elegir si quiere confiar en ella.

Entornos de virtualización de VMware