Conexão com o VMware
Create and manage connections descreve os assistentes que criam uma conexão. As informações a seguir abrangem detalhes específicos dos ambientes de virtualização do VMware.
Nota:
Antes de criar uma conexão com o VMware, você precisa primeiro concluir a configuração da sua conta do VMware como um local de recursos. Consulte Ambientes de virtualização do VMware.
Permissões necessárias
Crie uma conta de usuário VMware e uma ou mais funções do VMware com um conjunto ou todas as permissões listadas neste artigo. Baseie a criação das funções no nível específico de granularidade exigido das permissões do usuário para solicitar as várias operações do Citrix Virtual Apps ou Citrix Virtual Desktops a qualquer momento. Para conceder ao usuário permissões específicas a qualquer momento, associe-as à respectiva função, no nível do data center, a um nível mínimo.
As tabelas a seguir mostram os mapeamentos entre as operações do Citrix Virtual Apps and Desktops e as permissões mínimas necessárias do VMware.
Adicionar conexões e recursos
| SDK | Interface de usuário |
|---|---|
| System.Anonymous, System.Read e System.View | Adicionada automaticamente. Pode usar a função somente leitura interna. |
Gerenciamento de energia
| SDK | Interface de usuário |
|---|---|
| VirtualMachine.Interact.PowerOff | Virtual machine > Interaction > Power Off |
| VirtualMachine.Interact.PowerOn | Virtual machine > Interaction > Power On |
| VirtualMachine.Interact.Reset | Virtual machine > Interaction > Reset |
| VirtualMachine.Interact.Suspend | Virtual machine > Interaction > Suspend |
Provisionar máquinas (Machine Creation Services)
Para provisionar máquinas usando o MCS, as seguintes permissões são obrigatórias:
| SDK | Interface de usuário |
|---|---|
| Datastore.AllocateSpace | Datastore > Allocate space |
| Datastore.Browse | Datastore > Browse datastore |
| Datastore.FileManagement | Datastore > Low level file operations |
| Network.Assign | Network > Assign network |
| Resource.AssignVMToPool | Resource > Assign virtual machine to resource pool |
| VirtualMachine.Config.AddExistingDisk | Virtual machine > Configuration > Add existing disk |
| VirtualMachine.Config.AddNewDisk | Virtual machine > Configuration > Add new disk |
| VirtualMachine.Config.AdvancedConfig | Virtual machine > Configuration > Advanced |
| VirtualMachine.Config.RemoveDisk | Virtual machine > Configuration > Remove disk |
| VirtualMachine.Config.CPUCount | Virtual machine > Configuration > Change CPU count |
| VirtualMachine.Config.Memory | Virtual machine > Configuration > Change memory |
| VirtualMachine.Config.Settings | Virtual machine > Configuration > Change settings |
| VirtualMachine.Interact.PowerOff | Virtual machine > Interaction > Power Off |
| VirtualMachine.Interact.PowerOn | Virtual machine > Interaction > Power On |
| VirtualMachine.Interact.Reset | Virtual machine > Interaction > Reset |
| VirtualMachine.Interact.Suspend | Virtual machine > Interaction > Suspend |
| VirtualMachine.Inventory.CreateFromExisting | Virtual machine > Inventory > Create from existing |
| VirtualMachine.Inventory.Create | Virtual machine > Inventory > Create new |
| VirtualMachine.Inventory.Delete | Virtual machine > Inventory > Remove |
| VirtualMachine.Provisioning.Clone | Virtual machine > Provisioning > Clone virtual machine |
| VirtualMachine.State.CreateSnapshot | vSphere 5.0, Update 2, vSphere 5.1, Update 1, and vSphere 6.x, Update 1: Virtual machine > State > Create snapshot; vSphere 5.5: Virtual machine > Snapshot management > Create snapshot |
Atualização e reversão da imagem
| SDK | Interface de usuário |
|---|---|
| Datastore.AllocateSpace | Datastore > Allocate space |
| Datastore.Browse | Datastore > Browse datastore |
| Datastore.FileManagement | Datastore > Low level file operations |
| Network.Assign | Network > Assign network |
| Resource.AssignVMToPool | Resource > Assign virtual machine to resource pool |
| VirtualMachine.Config.AddExistingDisk | Virtual machine > Configuration > Add existing disk |
| VirtualMachine.Config.AddNewDisk | Virtual machine > Configuration > Add new disk |
| VirtualMachine.Config.AdvancedConfig | Virtual machine > Configuration > Advanced |
| VirtualMachine.Config.RemoveDisk | Virtual machine > Configuration > Remove disk |
| VirtualMachine.Interact.PowerOff | Virtual machine > Interaction > Power Off |
| VirtualMachine.Interact.PowerOn | Virtual machine > Interaction > Power On |
| VirtualMachine.Interact.Reset | Virtual machine > Interaction > Reset |
| VirtualMachine.Inventory.CreateFromExisting | Virtual machine > Inventory > Create from existing |
| VirtualMachine.Inventory.Create | Virtual machine > Inventory > Create new |
| VirtualMachine.Inventory.Delete | Virtual machine > Inventory > Remove |
| VirtualMachine.Provisioning.Clone | Virtual machine > Provisioning > Clone virtual machine |
Excluir máquinas provisionadas
| SDK | Interface de usuário |
|---|---|
| Datastore.Browse | Datastore > Browse datastore |
| Datastore.FileManagement | Datastore > Low level file operations |
| VirtualMachine.Config.RemoveDisk | Virtual machine > Configuration > Remove disk |
| VirtualMachine.Interact.PowerOff | Virtual machine > Interaction > Power Off |
| VirtualMachine.Inventory.Delete | Virtual machine > Inventory > Remove |
Perfil de armazenamento (vSAN)
Para exibir, criar ou excluir políticas de armazenamento durante a criação de catálogos em um armazenamento de dados vSAN, as seguintes permissões são obrigatórias:
| SDK | Interface de usuário |
|---|---|
| storage.Profile-driven storage update | PROFILE-DRIVEN STORAGE > Profile-driven storage update |
| storage.Profile-driven storage view | PROFILE-DRIVEN STORAGE > Profile-driven storage view |
Marcas e atributos personalizados
As marcas e os atributos personalizados permitem que você anexe metadados às VMs criadas no inventário do vSphere e facilitam a pesquisa e a filtragem desses objetos. Para criar, editar, atribuir e excluir marcas ou categorias, as seguintes permissões são obrigatórias:
| SDK | Interface de usuário |
|---|---|
| Tagging.Create | vSphere Tagging > Create vSphere Tag |
| Tagging.Create | vSphere Tagging > Create vSphere Tag Category |
| Tagging.Edit | vSphere Tagging > Edit vSphere Tag |
| Tagging.Edit | vSphere Tagging > Edit vSphere Tag Category |
| Tagging.Delete | vSphere Tagging > Delete vSphere Tag |
| Tagging.Delete | vSphere Tagging > Delete vSphere Tag Category |
| Tagging.Assign | vSphere Tagging > Assign ou Unassign vSphere Tag |
| Tagging.Assign | vSphere Tagging > Assign ou Unassign vSphere Tag on Object |
| Global.ManageCustomFields | Global > Manage custom attributes |
| Global.SetCustomField | Global > Set custom attribute |
Nota:
Quando o MCS cria um catálogo de máquinas, ele marca as VMs de destino com marcas de nomes especiais. Essas marcas diferenciam a imagem mestre das VMs criadas pelo MCS e evitam o uso de VMs criadas pelo MCS para preparação de imagens. Você pode identificar a diferença pelo valor do atributo
XdProvisionedno vCenter. O atributo é definido como True se o MCS criar VMs.
Operações criptográficas
Os privilégios de operações criptográficas controlam quem pode realizar qual tipo de operação criptográfica e em qual tipo de objeto. O vSphere Native Key Provider usa os privilégios Cryptographer.*. As seguintes permissões mínimas são necessárias para operações criptográficas:
Nota:
Essas permissões são necessárias para criar catálogos de máquinas MCS com VM equipada com vTPM.
| SDK | Interface de usuário |
|---|---|
| Cryptographic operations.Direct Access | Privileges > All Privileges > Cryptographic operations > Direct Access |
| Cryptographic operations.Add disk | Privileges > All Privileges > Cryptographic operations > Add disk |
| Cryptographic operations.Clone | Privileges > All Privileges > Cryptographic operations > Clone |
| Cryptographic operations.Encrypt | Privileges > All Privileges > Cryptographic operations > Encrypt |
| Cryptographic operations.Encrypt new | Privileges > All Privileges > Cryptographic operations > Encrypt new |
| Cryptographic operations.Decrypt | Privileges > All Privileges > Cryptographic operations > Decrypt |
| Cryptographic operations.Migrate | Privileges > All Privileges > Cryptographic operations > Migrate |
| Cryptographic operations.Read KMS information | Privileges > All Privileges > Cryptographic operations > Read KMS information |
Provisionar máquinas (Citrix Provisioning)
Todas as permissões de Provisionar máquinas (Machine Creation Services) e o seguinte.
| SDK | Interface de usuário |
|---|---|
| VirtualMachine.Config.AddRemoveDevice | Virtual machine > Configuration > Add or remove device |
| VirtualMachine.Config.CPUCount | Virtual machine > Configuration > Change CPU Count |
| VirtualMachine.Config.Memory | Virtual machine > Configuration > Memory |
| VirtualMachine.Config.Settings | Virtual machine > Configuration > Settings |
| VirtualMachine.Provisioning.CloneTemplate | Virtual machine > Provisioning > Clone template |
| VirtualMachine.Provisioning.DeployTemplate | Virtual machine > Provisioning > Deploy template |
| vApp.Export | vApp > Export |
Nota:
- As permissões para clonar e implantar um modelo são necessárias para provisionar VMs usando o Assistente de Instalação do Citrix Virtual Apps and Desktops e o Assistente de Exportação de Dispositivos por meio do console Citrix Provisioning.
vApp.Exporté necessário para criar catálogos de máquinas MCS usando o perfil da máquina.
Protegendo conexões com o ambiente VMware
O uso de conexões HTTPS/SSL com o vCenter requer que a conexão seja confiável pelo Citrix DaaS (anteriormente serviço Citrix Virtual Apps and Desktops).
Existem duas opções:
-
Cada cloud connector confia no certificado do vCenter, e os serviços no conector reutilizam essa confiança. Essa confiança pode ser proveniente de:
- Certificado vCenter, emitido pela Autoridade de Certificação e confiável pelo Windows, resultando em confiança estabelecida entre o Windows e o vCenter.
- Certificado vCenter instalado no Windows, resultando em confiança estabelecida entre o Windows e o vCenter.
-
Como alternativa, o banco de dados do Citrix Virtual Apps and Desktops tem a impressão digital SSL instalada. Essa impressão digital é usada pelo Citrix DaaS em cada conector de nuvem para confiar nas conexões com o vCenter.
Nota:
O certificado vCenter e a impressão digital SSL da VMware não são necessários para o VMware Cloud e suas soluções de parceiros.
Obter e importar um certificado
Para proteger as comunicações do vSphere, a Citrix recomenda que você use HTTPS em vez de HTTP. HTTPS requer certificados digitais. A Citrix recomenda que você use um certificado digital emitido por uma autoridade de certificação de acordo com a política de segurança da sua organização.
Se você não conseguir usar um certificado digital emitido por uma autoridade de certificação e a política de segurança da sua organização permitir, você poderá usar o certificado autoassinado instalado pela VMware. Adicione o certificado VMware vCenter a cada Cloud Connector.
-
Adicione o nome de domínio totalmente qualificado (FQDN) do computador que executa o vCenter Server ao arquivo hosts nesse servidor, localizado em %SystemRoot%/WINDOWS/system32/Drivers/etc/. Essa etapa só é necessária se o FQDN do computador que executa o vCenter Server ainda não estiver presente no sistema de nomes de domínio.
-
Obtenha o certificado do vCenter usando qualquer um dos três métodos a seguir:
Do vCenter server:
- Copie o arquivo rui.crt do servidor vCenter para um local acessível nos seus Cloud Connectors.
- No Cloud Connector, navegue até o local do certificado exportado e abra o arquivo rui.crt.
Baixe o certificado usando um navegador da Web: se você estiver usando o Internet Explorer, dependendo da sua conta de usuário, será necessário clicar com o botão direito do mouse no Internet Explorer e escolher Executar como administrador para baixar ou instalar o certificado.
- Abra seu navegador da Web e estabeleça uma conexão da Web segura com o servidor vCenter (por exemplo, https://server1.domain1.com).
- Aceite os avisos de segurança.
- Clique na barra de endereços que exibe o erro do certificado.
- Examine o certificado e clique na guia Detalhes.
- Selecione Copiar para arquivo e exportar no formato .CER, fornecendo um nome quando solicitado.
- Salve o certificado exportado.
- Navegue até o local do certificado exportado e abra o arquivo .CER.
Importe-o diretamente do Internet Explorer executado como administrador:
- Abra seu navegador da Web e estabeleça uma conexão da Web segura com o servidor vCenter (por exemplo, https://server1.domain1.com).
- Aceite os avisos de segurança.
- Clique na barra de endereços que exibe o erro do certificado.
- Examine o certificado.
-
Importe o certificado para o repositório de certificados em cada Cloud Connector.
- Clique em Instalar certificado, selecione Máquina local e clique em Avançar.
- Selecione Colocar todos os certificados no repositório a seguir e clique em Procurar. Em uma versão posterior suportada: selecione Pessoas confiáveis e clique em OK. Clique em Avançar e, em seguida, clique Concluir.
Importante:
Se você alterar o nome do servidor vSphere após a instalação, será necessário gerar um novo certificado autoassinado no servidor antes de importar o novo certificado.
Impressão digital SSL do VMware
O recurso de impressão digital SSL da VMware soluciona um erro relatado com frequência ao criar uma conexão de host com um hipervisor VMware vSphere. Anteriormente, os administradores precisavam criar manualmente uma relação de confiança entre os controladores de entrega gerenciados pela Citrix no site e o certificado do hipervisor antes de criar uma conexão. O recurso de impressão digital SSL da VMware remove esse requisito manual: a impressão digital do certificado não confiável é armazenada no banco de dados do site para que o hipervisor possa ser continuamente identificado como confiável pelo Citrix Virtual Apps ou Citrix Virtual Desktops, mesmo que não pelos controladores.
Ao criar uma conexão de host do vSphere, uma caixa de diálogo permite visualizar o certificado da máquina à qual você está se conectando. Você pode então escolher se deve confiar nele.
A impressão digital SSL do VMware pode ser atualizada posteriormente usando o PowerShell SDK Set-Item -LiteralPath "<FullPath_to_connection>" -username $cred.username -Securepassword $cred.password -SslThumbprint "<New ThumbPrint>" -hypervisorAddress <vcenter URL>.
Dica:
A impressão digital do certificado deve ser escrita em letras maiúsculas.
O que fazer a seguir
- Se você estiver no processo de implantação inicial, consulte Criar catálogos de máquinas.
- Para obter informações específicas do VMware, consulte Criar um catálogo do VMware.