Citrix DaaS

Connexion à VMware

September 11, 2024

Contributeur:

La section Créer et gérer des connexions et des ressources décrit les assistants qui créent une connexion. Les informations suivantes couvrent les détails spécifiques aux environnements de virtualisation VMware.

Remarque :

Avant de créer une connexion à VMware, vous devez d’abord terminer la configuration de votre compte VMware en tant qu’emplacement de ressources. Voir Environnements de virtualisation VMware.

Autorisations requises

Créez un compte d’utilisateur VMware et un ou plusieurs rôles VMware avec un ensemble, ou la totalité, des autorisations répertoriées dans cet article. Créez des rôles en fonction du niveau de granularité requis en plus des autorisations utilisateur pour demander les diverses opérations de Citrix DaaS à tout moment. Pour accorder des autorisations spécifiques à l’utilisateur à tout moment, associez-les au rôle correspondant, au niveau du centre de données au minimum, en sélectionnant l’option Propager aux enfants. Toutefois, les autorisations StorageProfile et une autorisation Tags spécifique doivent être appliquées au niveau racine de vCenter Server, sans les propager aux enfants. Consultez les notes de chacun de ces tableaux.

Les tableaux suivants répertorient les opérations Citrix DaaS et les autorisations VMware minimales requises correspondantes.

Ajouter des connexions et des ressources

SDK	Interface utilisateur
System.Anonymous, System.Read et System.View	Ajouté automatiquement. Peut utiliser le rôle lecture seule intégré.

Gestion de l’alimentation

SDK	Interface utilisateur
VirtualMachine.Interact.PowerOff	Virtual machine > Interaction > Power Off
VirtualMachine.Interact.PowerOn	Virtual machine > Interaction > Power On
VirtualMachine.Interact.Reset	Virtual machine > Interaction > Reset
VirtualMachine.Interact.Suspend	Virtual machine > Interaction > Suspend
Datastore.Browse	Datastore > Browse datastore

Provisionner des machines (Machine Creation Services)

Pour provisionner des machines à l’aide de MCS, les autorisations suivantes sont obligatoires :

SDK	Interface utilisateur
Datastore.AllocateSpace	Datastore > Allocate space
Datastore.Browse	Datastore > Browse datastore
Datastore.FileManagement	Datastore > Low level file operations
Network.Assign	Network > Assign network
Resource.AssignVMToPool	Resource > Assign virtual machine to resource pool
VirtualMachine.Config.AddExistingDisk	Virtual machine > Configuration > Add existing disk
VirtualMachine.Config.AddNewDisk	Virtual machine > Configuration > Add new disk
Virtual machine.Config.Add or remove device	Virtual machine > Configuration > Add or remove device
VirtualMachine.Config.AdvancedConfig	Virtual machine > Configuration > Advanced
VirtualMachine.Config.RemoveDisk	Virtual machine > Configuration > Remove disk
VirtualMachine.Config.CPUCount	Virtual machine > Configuration > Change CPU count
VirtualMachine.Config.Memory	Virtual machine > Configuration > Change memory
VirtualMachine.Config.Settings	Virtual machine > Configuration > Change settings
VirtualMachine.Interact.PowerOff	Virtual machine > Interaction > Power Off
VirtualMachine.Interact.PowerOn	Virtual machine > Interaction > Power On
VirtualMachine.Interact.Reset	Virtual machine > Interaction > Reset
VirtualMachine.Interact.Suspend	Virtual machine > Interaction > Suspend
VirtualMachine.Inventory.CreateFromExisting	Virtual machine > Inventory > Create from existing
VirtualMachine.Inventory.Create	Virtual machine > Inventory > Create new
VirtualMachine.Inventory.Delete	Virtual machine > Inventory > Remove
VirtualMachine.Provisioning.Clone	Virtual machine > Provisioning > Clone virtual machine
VirtualMachine.State.CreateSnapshot	vSphere 5.0, mise à jour 2, vSphere 5.1, mise à jour 1 et vSphere 6.x, mise à jour 1 : Machine virtuelle > État > Créer un instantané ; vSphere 5.5 : Machine virtuelle > Gestion des instantanés > Créer un instantané ; vSphere 8.0 : Machine virtuelle > Gestion des instantanés > Créer un instantané

Mise à jour et restauration de l’image

SDK	Interface utilisateur
Datastore.AllocateSpace	Datastore > Allocate space
Datastore.Browse	Datastore > Browse datastore
Datastore.FileManagement	Datastore > Low level file operations
Network.Assign	Network > Assign network
Resource.AssignVMToPool	Resource > Assign virtual machine to resource pool
VirtualMachine.Config.AddExistingDisk	Virtual machine > Configuration > Add existing disk
VirtualMachine.Config.AddNewDisk	Virtual machine > Configuration > Add new disk
VirtualMachine.Config.AdvancedConfig	Virtual machine > Configuration > Advanced
VirtualMachine.Config.RemoveDisk	Virtual machine > Configuration > Remove disk
VirtualMachine.Interact.PowerOff	Virtual machine > Interaction > Power Off
VirtualMachine.Interact.PowerOn	Virtual machine > Interaction > Power On
VirtualMachine.Interact.Reset	Virtual machine > Interaction > Reset
VirtualMachine.Inventory.CreateFromExisting	Virtual machine > Inventory > Create from existing
VirtualMachine.Inventory.Create	Virtual machine > Inventory > Create new
VirtualMachine.Inventory.Delete	Virtual machine > Inventory > Remove
VirtualMachine.Provisioning.Clone	Virtual machine > Provisioning > Clone virtual machine

Supprimer des machines provisionnées

SDK	Interface utilisateur
Datastore.Browse	Datastore > Browse datastore
Datastore.FileManagement	Datastore > Low level file operations
VirtualMachine.Config.RemoveDisk	Virtual machine > Configuration > Remove disk
VirtualMachine.Interact.PowerOff	Virtual machine > Interaction > Power Off
VirtualMachine.Inventory.Delete	Virtual machine > Inventory > Remove

Profil de stockage (vSAN)

Pour afficher, créer ou supprimer des stratégies de stockage lors de la création de catalogues sur un datastore vSAN, les autorisations suivantes sont obligatoires :

SDK	Interface utilisateur
StorageProfile.Update	PROFILE-DRIVEN STORAGE > Profile-driven storage update. Pour vSphere 8 : VM storage policies > Update VM storage policies
StorageProfile.View	PROFILE-DRIVEN STORAGE > Profile-driven storage view. Pour vSphere 8 : VM storage policies > View VM storage policies

Remarque :

Appliquez les autorisations du profil de stockage au niveau racine de vCenter Server, sans les propager aux enfants.

Balises et attributs personnalisés

Les balises et les attributs personnalisés vous permettent de joindre des métadonnées aux machines virtuelles créées dans l’inventaire vSphere, et de faciliter la recherche et le filtrage de ces objets. Pour créer, modifier, attribuer et supprimer des balises ou des catégories, les autorisations suivantes sont obligatoires :

SDK	Interface utilisateur
InventoryService.Tagging.CreateTag	vSphere Tagging > Create vSphere Tag
InventoryService.Tagging.CreateCategory	vSphere Tagging > Create vSphere Tag Category
InventoryService.Tagging.EditTag	vSphere Tagging > Edit vSphere Tag
InventoryService.Tagging.EditCategory	vSphere Tagging > Edit vSphere Tag Category
InventoryService.Tagging.DeleteTag	vSphere Tagging > Delete vSphere Tag
InventoryService.Tagging.DeleteCategory	vSphere Tagging > Delete vSphere Tag Category
InventoryService.Tagging.AttachTag	vSphere Tagging > Assign or Unassign vSphere Tag
InventoryService.Tagging.ObjectAttachable	vSphere Tagging > Assign or Unassign vSphere Tag on Object
Global.ManageCustomFields	Global > Manage custom attributes
Global.SetCustomField	Global > Set custom attribute

Remarque :

Lorsque MCS crée un catalogue de machines, les machines virtuelles cibles sont étiquetées avec des balises de nom spéciales. Ces balises différencient l’image principale des machines virtuelles créées par MCS et empêchent l’utilisation de machines virtuelles créées par MCS pour la préparation de l’image. La différence est affichée via la valeur de l’attribut XdProvisioned dans vCenter. L’attribut est défini sur True si MCS crée des machines virtuelles.

Appliquez l’autorisation InventoryService.Tagging.AttachTag au niveau racine de vCenter Server, sans les propager aux enfants.

Opérations cryptographiques

Les privilèges relatifs aux opérations cryptographiques contrôlent qui peut effectuer un certain type d’opération cryptographique sur un certain type d’objet. vSphere Native Key Provider utilise les privilèges Cryptographer.*. Les autorisations minimales suivantes sont requises pour les opérations cryptographiques :

Remarque :

Ces autorisations sont requises pour créer des catalogues de machines MCS avec une machine virtuelle équipée de vTPM.

SDK	Interface utilisateur
Cryptographer.Access	Privileges > All Privileges > Cryptographic operations > Direct Access
Cryptographer.AddDisk	Privileges > All Privileges > Cryptographic operations > Add disk
Cryptographer.Clone	Privileges > All Privileges > Cryptographic operations > Clone
Cryptographer.Encrypt	Privileges > All Privileges > Cryptographic operations > Encrypt
Cryptographer.EncryptNew	Privileges > All Privileges > Cryptographic operations > Encrypt new
Cryptographer.Decrypt	Privileges > All Privileges > Cryptographic operations > Decrypt
Cryptographer.Migrate	Privileges > All Privileges > Cryptographic operations > Migrate
Cryptographer.ReadKeyServersInfo	Privileges > All Privileges > Cryptographic operations > Read KMS information

Provisionner des machines (Citrix Provisioning)

Ces autorisations pour cloner et déployer un modèle sont requises pour provisionner des machines virtuelles à l’aide de l’assistant d’installation Citrix Virtual Apps and Desktops et de l’assistant d’exportation de périphériques via la console Citrix Provisioning. Définissez les autorisations lors de la création d’une connexion d’hébergement. Vous devez disposer de toutes les autorisations de Provisionner des machines (Machine Creation Services) et de ce qui suit.

SDK	Interface utilisateur
VirtualMachine.Config.AddRemoveDevice	Virtual machine > Configuration > Add or remove device
VirtualMachine.Config.CPUCount	Virtual machine > Configuration > Change CPU Count
VirtualMachine.Config.Memory	Virtual machine > Configuration > Memory
VirtualMachine.Config.Settings	Virtual machine > Configuration > Settings
VirtualMachine.Provisioning.CloneTemplate	Virtual machine > Provisioning > Clone template
VirtualMachine.Provisioning.DeployTemplate	Virtual machine > Provisioning > Deploy template
VApp.Export	vApp > Export

Remarque :

VApp.Export est nécessaire pour créer des catalogues de machines MCS à l’aide du profil de machine.

Sécuriser les connexions à l’environnement VMware

L’utilisation de connexions HTTPS/SSL à vCenter nécessite que les connexions soient approuvées par Citrix DaaS.

Il existe deux options :

(Recommandé) L’empreinte numérique SSL est installée sur la base de données Citrix DaaS. Citrix DaaS utilise cette empreinte numérique sur chaque composant Cloud Connector pour approuver les connexions à vCenter.
(Alternative) Chaque composant Cloud Connector approuve le certificat vCenter et les services disponibles sur Cloud Connector réutilisent cette approbation. Cette approbation peut provenir d’une des sources suivantes :
- certificat vCenter, émis par l’autorité de certification et approuvé par Windows, résultant en une approbation établie entre Windows et vCenter ;
- certificat vCenter installé sur Windows, donnant lieu à une approbation établie entre Windows et vCenter

Remarque :

Le certificat vCenter et l’empreinte numérique SSL VMware ne sont pas nécessaires pour VMware Cloud et ses solutions partenaires.

Empreinte numérique SSL VMware

La fonctionnalité d’empreinte numérique SSL VMware résout une erreur fréquemment signalée lors de la création d’une connexion hôte sur un hyperviseur VMware vSphere. Précédemment, les administrateurs devaient créer manuellement une relation d’approbation entre les Delivery Controller gérés par Citrix dans le site et le certificat de l’hyperviseur avant de créer une connexion. La fonctionnalité d’empreinte numérique SSL VMware élimine cette opération manuelle : l’empreinte numérique du certificat non approuvé est stockée dans la base de données du site, de sorte que l’hyperviseur est continuellement identifié comme approuvé par Citrix DaaS, même s’il ne l’est pas par les contrôleurs.

Lors de la création d’une connexion hôte vSphere, une boîte de dialogue vous permet d’afficher le certificat de la machine à laquelle vous vous connectez. Vous pouvez alors choisir de l’approuver.

L’empreinte numérique VMware SSL peut être mise à jour ultérieurement à l’aide du kit SDK PowerShell Set-Item -LiteralPath "<FullPath_to_connection>" -username $cred.username -Securepassword $cred.password -SslThumbprint "<New ThumbPrint>" -hypervisorAddress <vcenter URL>.

Conseil :

L’empreinte numérique du certificat doit être écrite en lettres majuscules.

Obtenir et importer un certificat

Pour protéger les communications vSphere, Citrix vous recommande d’utiliser HTTPS plutôt que HTTP. HTTPS requiert des certificats numériques. Citrix vous recommande d’utiliser un certificat numérique émis par une autorité de certification conformément à la stratégie de sécurité de votre organisation.

Si vous ne pouvez pas utiliser un certificat numérique émis par une autorité de certification et que la stratégie de sécurité de votre organisation le permet, vous pouvez utiliser le certificat auto-signé installé par VMware. Ajoutez le certificat VMware vCenter à chaque Cloud Connector.

Ajoutez le nom de domaine complet (FQDN) de l’ordinateur exécutant vCenter Server dans le fichier d’hôtes de ce serveur, situé à l’emplacement %SystemRoot%/WINDOWS/system32/Drivers/etc/. Cette étape est uniquement nécessaire que si le nom de domaine complet de l’ordinateur exécutant vCenter Server n’est pas déjà présent dans le DNS.
Obtenez le certificat vCenter à l’aide de l’une des trois méthodes suivantes :

Depuis le serveur vCenter :
1. Copiez le fichier rui.crt depuis le serveur vCenter vers un emplacement accessible sur vos Cloud Connector.
2. Sur le Cloud Connector, naviguez vers l’emplacement du certificat exporté et ouvrez le fichier rui.crt.
Téléchargez le certificat à l’aide d’un navigateur Web : si vous utilisez Internet Explorer, selon votre compte utilisateur, il se peut que vous deviez cliquer avec le bouton droit de la souris sur Internet Explorer et choisir Exécuter en tant qu’administrateur pour pouvoir télécharger et installer le certificat.
1. Ouvrez votre navigateur Web et créez une connexion Web sécurisée vers le serveur vCenter (par exemple https://server1.domain1.com).
2. Acceptez les avertissements relatifs à la sécurité.
3. Cliquez sur la barre d’adresse sur laquelle l’erreur de certificat est affichée.
4. Cliquez sur Certificat non valide, puis sur l’onglet Détails.
5. Cliquez sur Exporter…
6. Enregistrez le certificat exporté.
7. Naviguez vers l’emplacement du certificat exporté et ouvrez le fichier .CER.
Importez directement depuis Internet Explorer exécuté en tant qu’administrateur :
1. Ouvrez votre navigateur Web et créez une connexion Web sécurisée vers le serveur vCenter (par exemple https://server1.domain1.com).
2. Acceptez les avertissements relatifs à la sécurité.
3. Cliquez sur la barre d’adresse sur laquelle l’erreur de certificat est affichée.
4. Affichez le certificat.
Importez le certificat dans le magasin de certificats sur chacun de vos Cloud Connector.
1. Cliquez sur Installer le certificat, sélectionnez Machine locale, puis cliquez sur Suivant.
2. Sélectionnez Placer tous les certificats dans le magasin suivant, puis cliquez sur Parcourir. Sur une version ultérieure prise en charge : sélectionnez Personnes autorisées et cliquez sur OK. Cliquez sur Suivant, puis cliquez sur Terminer.

Important :

Si vous modifiez le nom du serveur vSphere après l’installation, vous devez générer un nouveau certificat auto-signé sur ce serveur avant d’importer le nouveau certificat.

Autres ressources

Si vous êtes dans le processus de déploiement initial, consultez la section Créer des catalogues de machines.
Pour obtenir des informations spécifiques à VMware, consultez la section Créer un catalogue VMware.

Informations supplémentaires

La version officielle de ce document est en anglais. Certains contenus de la documentation Cloud Software Group ont été traduits de façon automatique à des fins pratiques uniquement. Cloud Software Group n'exerce aucun contrôle sur le contenu traduit de façon automatique, qui peut contenir des erreurs, des imprécisions ou un langage inapproprié. Aucune garantie, explicite ou implicite, n'est fournie quant à l'exactitude, la fiabilité, la pertinence ou la justesse de toute traduction effectuée depuis l'anglais d'origine vers une autre langue, ou quant à la conformité de votre produit ou service Cloud Software Group à tout contenu traduit de façon automatique, et toute garantie fournie en vertu du contrat de licence de l'utilisateur final ou des conditions d'utilisation des services applicables, ou de tout autre accord avec Cloud Software Group, quant à la conformité du produit ou service à toute documentation ne s'applique pas dans la mesure où cette documentation a été traduite de façon automatique. Cloud Software Group ne pourra être tenu responsable de tout dommage ou problème dû à l'utilisation de contenu traduit de façon automatique.

Cela vous a-t-il été utile ?

Connexion à VMware

September 11, 2024

Contributeur:

September 11, 2024

Contributeur:

Dans cet article

Autorisations requises
Ajouter des connexions et des ressources
Sécuriser les connexions à l’environnement VMware
Autres ressources
Informations supplémentaires

Cela vous a-t-il été utile ?