VMwareへの接続
「接続とリソースの作成と管理」では接続を作成するためのウィザードについて説明しています。以下の情報は、VMware仮想化環境に固有の詳細について説明しています。
注:
VMwareへの接続を作成する前に、まずVMwareアカウントをリソースの場所として設定する必要があります。「VMware仮想化環境」を参照してください。
必要な権限
この記事にリストされている権限の組み合わせまたはそのすべてを使用して、VMwareユーザーアカウントおよび1つまたは複数のVMwareの役割を作成します。役割の作成は、さまざまなCitrix DaaS処理をいつでも要求可能にする上で、ユーザーの権限に必要となるレベルまで細分化して行ってください。いつでもユーザー固有の権限を付与できるようにするために、データセンター以上のレベルで [Propagate to children] オプションを選択して、ユーザーを各役割に関連付けます。ただし、StorageProfile権限と特定のTags権限については、子に伝達せずに、ルートvCenter Serverレベルで権限を適用します。各表の注記を参照してください。
以下の表に、Citrix DaaSの処理と最低限必要なVMware権限の間の対応関係を示します。
接続およびリソースの追加
| SDK | ユーザーインターフェイス |
|---|---|
| System.Anonymous、System.Read、およびSystem.View | 自動的に追加されます。組み込みの読み取り専用の役割を使用できます。 |
電源管理
| SDK | ユーザーインターフェイス |
|---|---|
| VirtualMachine.Interact.PowerOff | [Virtual machine]>[Interaction]>[Power Off] |
| VirtualMachine.Interact.PowerOn | [Virtual machine]>[Interaction]>[Power On] |
| VirtualMachine.Interact.Reset | [Virtual machine]>[Interaction]>[Reset] |
| VirtualMachine.Interact.Suspend | [Virtual machine]>[Interaction]>[Suspend] |
| Datastore.Browse | [Datastore ]>[Browse datastore] |
マシンのプロビジョニング(Machine Creation Services)
MCSを使用してマシンをプロビジョニングするには、次の権限が必須です:
| SDK | ユーザーインターフェイス |
|---|---|
| Datastore.AllocateSpace | [Datastore]>[Allocate space] |
| Datastore.Browse | [Datastore ]>[Browse datastore] |
| Datastore.FileManagement | [Datastore]>[Low level file operations] |
| Network.Assign | [Network]>[Assign network] |
| Resource.AssignVMToPool | [Resource]>[Assign virtual machine to resource pool] |
| VirtualMachine.Config.AddExistingDisk | [Virtual machine]>[Configuration ]>[Add existing disk] |
| VirtualMachine.Config.AddNewDisk | [Virtual machine]>[Configuration ]>[Add new disk] |
| Virtual machine.Config.Add or remove device | [Virtual machine]>[Configuration]>[Add or remove device] |
| VirtualMachine.Config.AdvancedConfig | [Virtual machine]>[Configuration ]>[Advanced] |
| VirtualMachine.Config.RemoveDisk | [Virtual machine]>[Configuration]>[Remove disk] |
| VirtualMachine.Config.CPUCount | [Virtual machine]>[Configuration ]>[Change CPU count] |
| VirtualMachine.Config.Memory | [Virtual machine]>[Configuration ]>[Change memory] |
| VirtualMachine.Config.Settings | [Virtual machine]>[Configuration ]>[Change settings] |
| VirtualMachine.Interact.PowerOff | [Virtual machine]>[Interaction]>[Power Off] |
| VirtualMachine.Interact.PowerOn | [Virtual machine]>[Interaction]>[Power On] |
| VirtualMachine.Interact.Reset | [Virtual machine]>[Interaction]>[Reset] |
| VirtualMachine.Interact.Suspend | [Virtual machine]>[Interaction]>[Suspend] |
| VirtualMachine.Inventory.CreateFromExisting | [Virtual machine]>[Inventory]>[Create from existing] |
| VirtualMachine.Inventory.Create | [Virtual machine]>[Inventory]>[Create new] |
| VirtualMachine.Inventory.Delete | [Virtual machine]>[Inventory]>[Remove] |
| VirtualMachine.Provisioning.Clone | [Virtual machine]>[Provisioning]>[Clone virtual machine] |
| VirtualMachine.State.CreateSnapshot | vSphere 5.0、Update 2、vSphere 5.1、Update 1、およびvSphere 6.x。Update 1:[仮想マシン] > [状態] > [スナップショットの作成]。vSphere 5.5:[仮想マシン] > [スナップショット管理] > [スナップショットの作成]。vSphere 8.0:[仮想マシン] > [スナップショット管理] > [スナップショットの作成] |
イメージの更新とロールバック
| SDK | ユーザーインターフェイス |
|---|---|
| Datastore.AllocateSpace | [Datastore]>[Allocate space] |
| Datastore.Browse | [Datastore ]>[Browse datastore] |
| Datastore.FileManagement | [Datastore]>[Low level file operations] |
| Network.Assign | [Network]>[Assign network] |
| Resource.AssignVMToPool | [Resource]>[Assign virtual machine to resource pool] |
| VirtualMachine.Config.AddExistingDisk | [Virtual machine]>[Configuration ]>[Add existing disk] |
| VirtualMachine.Config.AddNewDisk | [Virtual machine]>[Configuration ]>[Add new disk] |
| VirtualMachine.Config.AdvancedConfig | [Virtual machine]>[Configuration ]>[Advanced] |
| VirtualMachine.Config.RemoveDisk | [Virtual machine]>[Configuration]>[Remove disk] |
| VirtualMachine.Interact.PowerOff | [Virtual machine]>[Interaction]>[Power Off] |
| VirtualMachine.Interact.PowerOn | [Virtual machine]>[Interaction]>[Power On] |
| VirtualMachine.Interact.Reset | [Virtual machine]>[Interaction]>[Reset] |
| VirtualMachine.Inventory.CreateFromExisting | [Virtual machine]>[Inventory]>[Create from existing] |
| VirtualMachine.Inventory.Create | [Virtual machine]>[Inventory]>[Create new] |
| VirtualMachine.Inventory.Delete | [Virtual machine]>[Inventory]>[Remove] |
| VirtualMachine.Provisioning.Clone | [Virtual machine]>[Provisioning]>[Clone virtual machine] |
プロビジョニングされたマシンの削除
| SDK | ユーザーインターフェイス |
|---|---|
| Datastore.Browse | [Datastore ]>[Browse datastore] |
| Datastore.FileManagement | [Datastore]>[Low level file operations] |
| VirtualMachine.Config.RemoveDisk | [Virtual machine]>[Configuration]>[Remove disk] |
| VirtualMachine.Interact.PowerOff | [Virtual machine]>[Interaction]>[Power Off] |
| VirtualMachine.Inventory.Delete | [Virtual machine]>[Inventory]>[Remove] |
ストレージプロファイル(vSAN)
vSANデータストアでのカタログ作成中にストレージポリシーを表示、作成、または削除するには、次の権限が必須です:
| SDK | ユーザーインターフェイス |
|---|---|
| StorageProfile.Update | Profile-Driven Storage > Profile-Driven Storageの更新。vSphere 8の場合:仮想マシンストレージポリシー > 仮想マシンストレージポリシーの更新 |
| StorageProfile.View | Profile-Driven Storage > Profile-Driven Storageの表示。vSphere 8の場合:仮想マシンストレージポリシー > 仮想マシンストレージポリシーの表示 |
注:
子に伝達せずに、ルートvCenter Serverレベルでストレージプロファイル権限を適用します。
タグとカスタム属性
タグとカスタム属性を使用すると、vSphereインベントリで作成されたVMにメタデータをつなげて、これらのオブジェクトを検索およびフィルタリングしやすくすることができます。タグまたはカテゴリを作成、編集、割り当て、および削除するには、次の権限が必須です:
| SDK | ユーザーインターフェイス |
|---|---|
| InventoryService.Tagging.CreateTag | vSphereのタグ付け > vSphereタグの作成 |
| InventoryService.Tagging.CreateCategory | vSphereのタグ付け > vSphereタグカテゴリの作成 |
| InventoryService.Tagging.EditTag | vSphereのタグ付け > vSphereタグの編集 |
| InventoryService.Tagging.EditCategory | vSphereのタグ付け > vSphereタグカテゴリの編集 |
| InventoryService.Tagging.DeleteTag | vSphereのタグ付け > vSphereタグの削除 |
| InventoryService.Tagging.DeleteCategory | vSphereのタグ付け > vSphereタグカテゴリの削除 |
| InventoryService.Tagging.AttachTag | vSphereのタグ付け > vSphereタグの割り当てまたは割り当て解除 |
| InventoryService.Tagging.ObjectAttachable | vSphereのタグ付け > オブジェクトへのvSphereタグの割り当てまたは割り当て解除 |
| Global.ManageCustomFields | [Global ]>[Manage custom attributes] |
| Global.SetCustomField | [Global ]>[Set custom attribute] |
注:
- MCSは、マシンカタログを作成するときに、ターゲットVMに特別な名前タグを付けます。これらのタグは、マスターイメージをMCS作成VMと区別し、イメージの準備にMCS作成VMを使用できないようにします。vCenterの
XdProvisioned属性の値で違いを識別できます。MCSでVMを作成する場合、この属性はTrueに設定されます。- 子に伝達せずに、ルートvCenter Serverレベルで
InventoryService.Tagging.AttachTag権限を適用します。
暗号化操作
暗号化操作権限は、誰がどのタイプのオブジェクトに対してどの種類の暗号化操作を実行できるかを制御します。vSphere Native Key ProviderはCryptographer.*権限を使用します。暗号化操作には、次の最低限の権限が必要です:
注:
これらの権限は、vTPMが組み込まれたVMでMCSマシンカタログを作成するために必要です。
| SDK | ユーザーインターフェイス |
|---|---|
| Cryptographer.Access | [Privileges]>[All Privileges]>[Cryptographic operations]>[Direct Access] |
| Cryptographer.AddDisk | [Privileges]>[All Privileges]>[Cryptographic operations]>[Add disk] |
| Cryptographer.Clone | [Privileges]>[All Privileges]>[Cryptographic operations]>[Clone] |
| Cryptographer.Encrypt | [Privileges]>[All Privileges]>[Cryptographic operations]>[Encrypt] |
| Cryptographer.EncryptNew | [Privileges]>[All Privileges]>[Cryptographic operations]>[Encrypt new] |
| Cryptographer.Decrypt | [Privileges]>[All Privileges]>[Cryptographic operations]>[Decrypt] |
| Cryptographer.Migrate | [Privileges]>[All Privileges]>[Cryptographic operations]>[Clone] |
| Cryptographer.ReadKeyServersInfo | [Privileges]>[All Privileges]>[Cryptographic operations]>[ Read KMS information] |
マシンのプロビジョニング(Citrix Provisioning)
Citrix Provisioningコンソールで、Citrix Virtual Apps and Desktopsインストールウィザード、およびデバイスのエクスポートウィザードを使用して仮想マシンをプロビジョニングするには、テンプレートを複製および展開する権限が必要です。ホスト接続を作成するときに権限を設定します。 マシンのプロビジョニング(Machine Creation Services)のすべての権限と、以下が必要です。
| SDK | ユーザーインターフェイス |
|---|---|
| VirtualMachine.Config.AddRemoveDevice | [Virtual machine]>[Configuration]>[Add or remove device] |
| VirtualMachine.Config.CPUCount | [Virtual machine]>[Configuration]>[Change CPU Count] |
| VirtualMachine.Config.Memory | [Virtual machine]>[Configuration]>[Memory] |
| VirtualMachine.Config.Settings | [Virtual machine]>[Configuration]>[Settings] |
| VirtualMachine.Provisioning.CloneTemplate | [Virtual machine]>[Provisioning]>[Clone template] |
| VirtualMachine.Provisioning.DeployTemplate | [Virtual machine]>[Provisioning]>[Deploy template] |
| VApp.Export | [vApp]>[Export] |
注:
VApp.Exportは、マシンプロファイルを使用してMCSマシンカタログを作成するために必要です。
VMware環境への接続の保護
vCenterへのHTTPS/SSL接続を使用するには、その接続がCitrix DaaSによって信頼される必要があります。
2つのオプションがあります:
- (推奨)Citrix DaaSデータベースにはSSLの拇印機能がインストールされています。SSLの拇印は、Citrix DaaSがvCenterへの接続を信頼するために、各Cloud Connectorで使用されます。
- (別のオプション)各Cloud ConnectorはvCenter証明書を信頼し、Cloud Connector上のサービスはこの信頼を再利用します。この信頼は、以下のものによって得られます:
- 認証機関によって発行され、Windowsによって信頼されている、vCenter証明書。これにより、WindowsとvCenterとの間で信頼が確立されます。
- WindowsにインストールされたvCenter証明書。これにより、WindowsとvCenter.OTとの間で信頼が確立されます
注:
VMware Cloudとそのパートナーソリューションには、vCenter証明書とVMware SSL拇印は必要ありません。
VMware SSLの拇印機能
VMware SSLの拇印機能は、VMware vSphereハイパーバイザーへのホスト接続を確立するときに頻繁に報告されるエラーに対処するためのものです。これまでは、接続を確立する前に、サイト内のCitrixが管理するDelivery Controllerと、ハイパーバイザーの証明書間の信頼関係を管理者が手動で作成する必要がありました。VMware SSLの拇印機能により、この手作業が不要になりました。信頼性されていない証明書の拇印はサイトのデータベースに保管されるようになったため、ハイパーバイザーは、Controllerから信頼されているとみなされない場合も、Citrix DaaSからは常に信頼できるとみなされます。
vSphereのホスト接続を確立する場合、接続しようとしているマシンの証明書をダイアログボックスで見ることができます。その証明書を見て、信頼するかどうかを選択できます。
VMware SSL拇印は、PowerShell SDK「Set-Item -LiteralPath "<FullPath_to_connection>" -username $cred.username -Securepassword $cred.password -SslThumbprint "<New ThumbPrint>" -hypervisorAddress <vcenter URL>」を使用して後で更新できます。
ヒント:
証明書の拇印は大文字で書く必要があります。
証明書の取得とインポート
vSphere通信を保護するため、CitrixではHTTPではなくHTTPSを使用することをお勧めします。HTTPSを使用するにはデジタル証明書が必要です。組織のセキュリティポリシーに従って、証明書機関により発行されるデジタル証明書を使用することをCitrixではお勧めします。
証明機関のデジタル証明書を使用できない場合は、VMwareによりインストールされる自己署名証明書を使用することもできます(組織のセキュリティポリシーで許可される場合)。VMware vCenterの証明書を各Cloud Connectorに追加します。
-
vCenter Serverを実行しているコンピューターの完全修飾ドメイン名(FQDN)を、そのサーバーのホストファイル(%SystemRoot%/WINDOWS/system32/Drivers/etc/)に追加します。この手順は、vCenter Serverを実行しているコンピューターのFQDNがドメイン名システムに登録されていない場合にのみ必要です。
-
以下の3つの内いずれかの方法で、vCenterの証明書を入手します:
vCenterサーバーからコピーする:
- vCenterサーバー上のrui.crtファイルを、Cloud Connectorからアクセス可能な場所にコピーします。
- Cloud Connectorで、エクスポートした証明書の保存先に移動し、rui.crtファイルを開きます。
Webブラウザーで証明書をダウンロードする: Internet Explorerで証明書をダウンロードまたはインストールするには、Internet Explorerを右クリックして [管理者として実行] を選択する必要があります。
- Webブラウザーを開き、vCenterサーバー(https://server1.domain1.comなど)への保護された接続を確立します。
- セキュリティに関する警告を受け入れます。
- 証明書のエラーが表示されるアドレスバーをクリックします。
- [Certificate is not valid] をクリックし、[詳細] タブをクリックします。
- [エクスポート…] をクリックします
- エクスポートした証明書を保存します。
- エクスポートした証明書のCERファイルを開きます。
管理者として実行するInternet Explorerで直接インポートする:
- Webブラウザーを開き、vCenterサーバー(https://server1.domain1.comなど)への保護された接続を確立します。
- セキュリティに関する警告を受け入れます。
- 証明書のエラーが表示されるアドレスバーをクリックします。
- 証明書を表示します。
-
各Cloud Connector上の証明書ストアに証明書をインポートします。
- [証明書のインストール] をクリックして [ローカルマシン] を選択し、[次へ]をクリックします。
- [証明書をすべて次のストアに配置する] を選択して、[参照]をクリックします。以降のサポート対象バージョン:[信頼されたユーザー]を選択して [OK] をクリックします。[次へ]、[完了] の順にクリックします。
重要:
インストール後にvSphereサーバーの名前を変更する場合は、サーバー上で新しい自己署名証明書を作成してから、新しい証明書をインポートする必要があります。
次の手順
- 初期展開プロセスを行っている場合は、「マシンカタログの作成」を参照してください。
- VMware固有の情報については、「VMwareカタログの作成」を参照してください。