Citrix DaaS

Migrar cargas de trabalho entre locais de recursos usando o Image Portability Service

O Image Portability Service simplifica o gerenciamento de imagens em todas as plataformas. As APIs REST do Citrix Virtual Apps and Desktops podem ser usadas para automatizar a administração de recursos em um site do Citrix Virtual Apps and Desktops.

O fluxo de trabalho de portabilidade de imagem começa quando você usa o Citrix Cloud para iniciar a migração de uma imagem entre dois locais de recursos. Depois de exportar sua imagem, o Image Portability Service ajuda você a transferir e preparar a imagem para ser executada no hipervisor de destino ou na nuvem pública. Por fim, o Citrix Provisioning ou o Machine Creation Services provisionam a imagem no ambiente de destino.

Componentes

Os componentes do Serviço de Portabilidade de Imagens incluem:

  • Serviços Citrix Cloud
  • Carteira de credenciais Citrix
  • Dispositivo Citrix Connector
  • VM do mecanismo de composição
  • Scripts de exemplo do PowerShell

Serviços Citrix Cloud

A API do Citrix Cloud Services é um serviço de API REST que interage com o Image Portability Service. Usando o serviço de API REST, você pode criar e monitorar trabalhos de portabilidade de imagem. Por exemplo, você faz uma chamada à API para iniciar um trabalho de Portabilidade de Imagem, como exportar um disco e, em seguida, faz chamadas para obter o status do trabalho.

Carteira de credenciais Citrix

O serviço Citrix Credentials Wallet gerencia com segurança as credenciais do sistema, permitindo que o Image Portability Service interaja com seus ativos. Por exemplo, ao exportar um disco do vSphere para um compartilhamento SMB, o Image Portability Service requer credenciais para abrir uma conexão com o compartilhamento SMB para gravar o disco. Se as credenciais estiverem armazenadas na Carteira de Credenciais, o Serviço de Portabilidade de Imagens poderá recuperar e usar essas credenciais.

Este serviço oferece a capacidade de gerenciar totalmente suas credenciais. A API de Serviços de Nuvem atua como um ponto de acesso, dando a você a capacidade de criar, atualizar e excluir credenciais.

Mecanismo de composição

O Mecanismo de Composição é o carro-chefe do Serviço de Portabilidade de Imagens. O Mecanismo de Composição (CE) é uma única VM criada no início de um trabalho de exportação ou preparação de Portabilidade de Imagem. Essas VMs são criadas no mesmo ambiente em que o trabalho está ocorrendo. Por exemplo, ao exportar um disco do vSphere, o CE é criado no servidor vSphere. Da mesma forma, ao executar um trabalho de preparação no Azure, AWS ou Google Cloud, o CE é criado no Azure, AWS ou Google Cloud, respectivamente. O CE monta seu disco em si mesmo e, em seguida, faz as manipulações necessárias no disco. Após a conclusão do trabalho de preparação ou exportação, a VM CE e todos os seus componentes são excluídos.

Dispositivo de conector

O Connector Appliance, que executa o software do provedor para gerenciar recursos do IPS, é executado em seu ambiente (local e em sua assinatura do Azure, AWS ou Google Cloud) e atua como um controlador para trabalhos individuais. Ele recebe instruções de trabalho do serviço de nuvem e cria e gerencia as VMs do Mecanismo de Composição. A VM do Connector Appliance atua como um ponto de comunicação único e seguro entre os Serviços de Nuvem e seus ambientes. Implante um ou mais Dispositivos de Conector em cada um dos seus Locais de Recursos (locais, Azure, AWS ou Google Cloud). Um Connector Appliance é implantado em cada local de recurso para segurança. Ao colocalizar o Connector Appliance e o Compositing Engine, a postura de segurança da implantação aumenta muito, pois todos os componentes e comunicações são mantidos dentro do local do recurso.

Módulos do PowerShell

Fornecemos uma coleção de módulos do PowerShell para uso em scripts como ponto de partida para desenvolver sua própria automação personalizada. Os módulos fornecidos são suportados no estado em que se encontram, mas você pode modificá-los, se necessário, para sua implantação.

A automação do PowerShell usa parâmetros de configuração fornecidos para compor uma chamada REST para o serviço Citrix Cloud API para iniciar o trabalho e, em seguida, fornecer atualizações periódicas à medida que o trabalho avança.

Se você deseja desenvolver sua própria solução de automação, pode fazer chamadas para o serviço de nuvem diretamente usando sua linguagem de programação preferida. Consulte o portal de API para obter informações detalhadas sobre como configurar e usar o Image Portability Service Pontos de extremidade REST e módulos do PowerShell.

Fluxos de trabalho

O Serviço de Portabilidade de Imagem usa um fluxo de trabalho de várias fases para preparar uma imagem de catálogo mestre de um local de recurso local para sua assinatura de nuvem pública. O serviço exporta a imagem da plataforma de hipervisor local e você a carrega em sua assinatura de nuvem pública (nosso utilitário de upload do PowerShell fornecido pode ajudar a automatizar isso). Em seguida, o Image Portability prepara a imagem para ser compatível com sua plataforma de nuvem pública. Por fim, a imagem é publicada e está pronta para ser implantada como um novo catálogo de máquinas no local do recurso de nuvem.

Fluxo de trabalho de portabilidade de imagem

Esses fluxos de trabalho de alto nível são baseados na configuração de provisionamento de origem e destino da imagem (Machine Creation ou Citrix Provisioning). O fluxo de trabalho escolhido determina quais etapas do trabalho de portabilidade de imagem são necessárias.

Consulte a tabela a seguir para entender quais trabalhos são necessários para cada um dos fluxos de trabalho do IPS com suporte.

Fluxo de trabalho (origem para destino) Exportação Carregar Preparar Publicar
MCS para MCS Y Y Y N
PVS para MCS* N Y Y N
PVS para PVS N/A Y Y Y
MCS para PVS Y Y Y Y

*Pressupõe que você tenha a imagem original como um Citrix Provisioning vDisk e não precise exportá-la diretamente do hipervisor da plataforma de origem.

Requisitos

Para começar a usar a portabilidade de imagem, você deve atender aos seguintes requisitos.

Uma imagem do Citrix Machine Catalog

O IPS requer o uso de imagens que tenham uma das seguintes configurações testadas:

  • Windows Server 2016, 2019 e 2022H2

  • janelas 10 ou 11

  • Provisionado usando Machine Creation Services ou Citrix Provisioning

  • Agente de entrega virtual Citrix:
    • Duas atualizações cumulativas mais recentes para 1912 e 2203 LTSR
    • Duas versões atuais mais recentes
  • Serviços de Área de Trabalho Remota habilitados para acesso ao console no Azure

O serviço de portabilidade de imagem suporta os seguintes hipervisores e plataformas de nuvem:

Plataformas de origem:

  • VMware vSphere 7.0 e 8.0

  • XenServer 8/Citrix Hypervisor 8.2

  • Nutanix AHV (somente Prism Element)

  • Microsoft Azure

  • Plataforma do Google Cloud

Plataformas de destino:

  • VMware vSphere 8.0

  • XenServer 8/Citrix Hypervisor 8.2

  • Nutanix AHV (somente Prism Element)

  • Microsoft Azure

  • AWS

  • Plataforma do Google Cloud

Um dispositivo Citrix Connector

Você precisa de um Citrix Connector Appliance instalado e configurado em cada local de recurso em que planeja usar a portabilidade de imagem. Por exemplo, se você usar a portabilidade de imagem para mover uma imagem do vSphere para o Azure, AWS e Google Cloud, precisará de pelo menos quatro Citrix Connector Appliances:

Ver Implantar dispositivos de conector para obter instruções detalhadas.

Um compartilhamento de arquivos SMB (Windows)

Você precisa de um Windows Compartilhamento de arquivos SMB para armazenamento da produção de trabalhos de exportação. O compartilhamento deve estar acessível à VM do Mecanismo de Composição, que será criada no Local do Recurso em que você está usando o Serviço de Portabilidade de Imagem. Certifique-se de que o espaço livre disponível no compartilhamento seja pelo menos duas vezes o tamanho configurado do sistema de arquivos da imagem.

Um computador para executar scripts do PowerShell

Verifique se o computador que executa os scripts do PowerShell tem o seguinte:

  • PowerShell versão 5.1.

  • Uma conexão de rede rápida com o compartilhamento de arquivos SMB. Pode ser a mesma máquina que está hospedando o compartilhamento de arquivos.

  • Uma conexão de rede rápida com as plataformas de nuvem pública em que você planeja usar o recurso Portabilidade de imagem. Por exemplo, Azure, AWS ou Google Cloud.

    Veja a seção Preparar um computador para o PowerShell para obter detalhes sobre como baixar e configurar os módulos de Portabilidade de Imagem da Galeria do PowerShell.

Seu ID de cliente do Citrix Cloud

Certifique-se de ter um Assinatura do Citrix DaaS.

Para continuar, você precisa acessar o Citrix DaaS (antigo serviço Citrix Virtual Apps and Desktops). Se você não tiver acesso, entre em contato com seu representante Citrix.

Consulte o Introdução à API documentação para obter instruções sobre como criar e configurar um cliente de API para usar com portabilidade de imagem.

Permissões e configuração necessárias do Azure

Para que o Serviço de Portabilidade de Imagem execute ações em seu recurso do Azure, você precisa conceder permissões a determinados recursos do Azure para a entidade de serviço do Azure usada pelo Serviço de Portabilidade de Imagem. Para obter a lista detalhada, consulte Permissões necessárias do Microsoft Azure.

Você pode atribuir o Contribuinte para a entidade de serviço no recurso associado. Ou, para atribuir as permissões mínimas necessárias, você pode criar funções personalizadas com as permissões necessárias e atribuí-las à entidade de serviço com escopo para os recursos apropriados.

Consulte a documentação do Azure para Configurando direitos de acesso para sua entidade de serviço do Azure e para Criando funções personalizadas.

Permissões e configuração necessárias do Google Cloud

Para que o Image Portability Service execute ações no seu projeto do Google Cloud, você concede permissões a determinados recursos à entidade principal de serviço do Google Cloud usada pelo Image Portability Service.

Para obter a lista detalhada, consulte Permissões necessárias do Google Cloud.

Você pode atribuir essas permissões usando as seguintes funções:

  • Editor de compilação do Cloud
  • Administrador de computação
  • Administrador de armazenamento
  • Usuário da conta de serviço

Veja oDocumentação do Google Cloudpara obter mais informações sobre como configurar permissões de conta de serviço.

Permissões e configuração necessárias da Amazon Web Services

Para executar fluxos de trabalho de serviço de portabilidade de imagem com uma conta da Amazon Web Services (AWS), a respectiva identidade do Identity and Access Management (IAM) deve ter as permissões corretas.

Para obter a lista detalhada, consulte Permissões exigidas pela AWS.

Configurar o serviço de portabilidade de imagem

Para configurar o Serviço de Portabilidade de Imagens, você:

Implantar dispositivos de conector

A portabilidade de imagem requer o Citrix Connector Appliances para criar trabalhos de portabilidade de imagem. Os Connector Appliances ajudam a proteger as interações com seus ambientes locais e de nuvem pública. Os Dispositivos Conectores se comunicam com o Serviço de Portabilidade de Imagem para relatar o status do trabalho e a integridade geral do serviço.

Para implantar e configurar o Connector Appliance em seu ambiente, siga as etapas em Dispositivo Connector para Serviços em Nuvem.

Observe o requisito Configuração de hardware e Acesso à porta de rede para o dispositivo ao planejar sua implantação.

Quando seu dispositivo é implantado e registrado, os componentes necessários para habilitar a portabilidade de imagem são instalados automaticamente.

Preparar um computador para o PowerShell

Para ajudá-lo a começar a usar a Portabilidade de Imagem, criamos módulos do PowerShell que você pode personalizar e usar com o serviço.

As seções a seguir descrevem como preparar um computador para executar os scripts do PowerShell. Esses scripts são apenas alguns exemplos. Modifique-os ou aprimore-os para atender às suas necessidades.

Observação:

Após a instalação inicial, use Módulo de atualização para atualizar o módulo do PowerShell.

Requisitos do PowerShell

Para usar os scripts do PowerShell, você precisa do seguinte:

  • Um computador Windows para executar os scripts do PowerShell que conduzem trabalhos de portabilidade de imagem. A máquina:

    • Tem a versão mais recente do PowerShell.

    • Tem uma conexão de rede de 10 Gbs ou melhor com o compartilhamento de arquivos SMB local e uma conexão rápida com sua nuvem pública (Azure, AWS ou Google Cloud, por exemplo).

    • Pode ser a mesma máquina que hospeda o compartilhamento de arquivos.

    • É uma máquina que executa o Windows 10, Windows Server 2019 ou Windows Server 2022, com os patches mais recentes da Microsoft.

    • Pode se conectar à Galeria do Microsoft PowerShell para baixar as bibliotecas necessárias do PowerShell.

Dependendo da sua versão do Windows, pode ser necessário desabilitar o suporte ao TLS 1.0/1.1. Referir-se a Documentação de suporte do TLS da Galeria do Microsoft PowerShell para obter mais informações.

Por padrão, o PowerShell não se autentica automaticamente por meio de um servidor proxy. Verifique se você configurou sua sessão do PowerShell para usar seu servidor proxy, de acordo com a Microsoft, e as práticas recomendadas do fornecedor de proxy.

Se você vir erros ao executar os scripts do PowerShell relacionados a uma versão ausente ou antiga do PowerShellGet, será necessário instalar a versão mais recente da seguinte maneira:

Install-Module -Name PowerShellGet -Force -Scope CurrentUser -AllowClobber

Instalar bibliotecas e módulos

O Serviço de Portabilidade de Imagens baseia-se em bibliotecas da Galeria do Microsoft PowerShell para conduzir operações de portabilidade.

Importante:

Após a instalação inicial, use Módulo de atualização para instalar novas versões.

  1. Execute o seguinte comando do PowerShell para baixar os módulos mais recentes:

    Install-Module -Name "Citrix.Workloads.Portability","Citrix.Image.Uploader" -Scope CurrentUser
    • Para alterar a variável de ambiente PATH:

      Imprensa Y e Entrar aceitar.

    • Para instalar o provedor NuGet:

      Imprensa Y e Entrar aceitar.

    • Se informado sobre um repositório não confiável:

      Imprensa Um (Sim para todos) e Entrar para continuar.

  2. Confirme se todos os módulos necessários foram baixados executando o comando:

    Get-InstalledModule -Name Citrix.*

    Esse comando retorna uma saída semelhante à seguinte:

    Nome Repositório Descrição
    Citrix.Image.Uploader PSGallery Comandos para carregar um VHD(x) em uma conta de armazenamento do Azure, AWS ou GCP e obter informações sobre um VHD(x)
    Citrix.Workloads.Portabilidade PSGallery Cmdlet autônomo para o trabalho de imagem do Citrix Image Portability Service

Atualizar módulos para a versão mais recente

Execute o comando a seguir para atualizar o script para a versão mais recente.

Update-Module -Name "Citrix.Workloads.Portability","Citrix.Image.Uploader" -Force

Instalar o SDK do PowerShell remoto do Citrix Virtual Apps and Desktops

O Image Portability Service requer o Citrix Virtual Apps and Desktops Remote PowerShell SDK para criar e gerenciar trabalhos de portabilidade no Citrix Cloud.

Baixe e instale o SDK remoto do PowerShell em sua máquina.

Instalar componentes de terceiros específicos da plataforma

O módulo do PowerShell do Serviço de Portabilidade de Imagem não instala dependências de terceiros. Portanto, você pode limitar a instalação apenas às plataformas que está direcionando. Se você estiver usando uma das seguintes plataformas, siga as instruções relevantes para a instalação de dependências de plataforma:

VMware

Se você estiver criando trabalhos de Portabilidade de imagem que se comunicam com seu ambiente VMware, execute o comando a seguir para instalar os módulos necessários do VMware PowerShell.

Install-Module -Name VMWare.PowerCLI -Scope CurrentUser -AllowClobber -Force -SkipPublisherCheck
Serviços Web da Amazon

Se você estiver criando trabalhos de portabilidade de imagens na AWS, faça download e instale o Interface da linha de comando da AWSe execute estes comandos para instalar os módulos necessários do AWS PowerShell:

Install-Module -Name AWS.Tools.Installer Install-AWSToolsModule AWS.Tools.EC2,AWS.Tools.S3
Azul

Se você estiver criando trabalhos de Portabilidade de Imagem no Azure, baixe e instale o Utilitários de linha de comando do Azuree execute estes comandos para instalar os módulos necessários do Azure PowerShell:

Install-Module -Name Az.Accounts -Scope CurrentUser -AllowClobber -Force Install-Module -Name Az.Compute -Scope CurrentUser -AllowClobber -Force
Google Cloud

Se você estiver criando jobs de portabilidade de imagens no Google Cloud, faça o download e instale o Google Cloud SDK em sua máquina.

Desinstalar scripts e módulos

Execute os comandos a seguir para desinstalar os módulos usados pelo software Image Portability.

Observação:

Scripts e componentes de terceiros não são removidos automaticamente ao desinstalar módulos IPS.

Para desinstalar módulos:

Get-InstalledModule -Name "Citrix.Workloads.Portability","Citrix.Images.Uploader" | Uninstall-Module

Adicionar credenciais à Carteira de Credenciais

Para cenários de automação de ponta a ponta, você pode configurar o Image Portability Service para autenticar de forma não interativa com o Citrix Cloud, sua nuvem pública e recursos locais. Além disso, o Image Portability Service usa credenciais armazenadas na Citrix Credential Wallet sempre que nossas APIs são autenticadas diretamente com seus recursos locais e de nuvem pública. Definir credenciais conforme descrito nesta seção é uma etapa necessária para executar trabalhos de exportação, preparação e publicação.

Ao executar trabalhos, o Serviço de Portabilidade de Imagem requer acesso a recursos que você pode controlar. Por exemplo, para que o Image Portability Service exporte um disco de um servidor vSphere para um compartilhamento SMB, o serviço precisa de acesso de login a ambos os sistemas. Para proteger essas informações de conta, o Image Portability Service usa o serviço Citrix Credential Wallet. Este serviço armazena suas credenciais na carteira com um nome definido pelo usuário. Quando você quiser executar um trabalho, forneça o nome da credencial a ser usada. Além disso, essas credenciais podem ser atualizadas ou excluídas da carteira a qualquer momento.

As credenciais geralmente são armazenadas para estas plataformas:

  • Microsoft Azure
  • AWS
  • Google Cloud
  • Ações para PMEs
  • VMware vSphere
  • Nutanix AHV
  • Servidor Xen

Para gerenciar credenciais, consulte o APIs do Serviço de Portabilidade de Imagens e Gerenciamento de Credenciais do Portal de API do desenvolvedor.

Usar o serviço de portabilidade de imagem

A preparação de imagens em seus locais de recursos locais para sua assinatura de nuvem pública requer a criação de trabalhos de portabilidade de imagem no Citrix Cloud. Você pode criar um trabalho para fazer chamadas diretas à API para o serviço dentro do seu script ou programa ou usando os módulos de exemplo do PowerShell que desenvolvemos para automatizar chamadas à API. Consulte o Portal de API do desenvolvedor do serviço de portabilidade de imagem para obter informações sobre como usar APIs REST e módulos do PowerShell para criar trabalhos do IPS.

Publicar catálogos de máquinas usando o Citrix Provisioning

O Image Portability Service (IPS) é usado com o Machine Creation Services (MCS) no Azure, AWS, Google Cloud, Nutanix, vSphere e XenServer, ou com o Citrix Provisioning (PVS) no Azure, Google Cloud, vSphere e XenServer. Você pode combinar as soluções PowerShell e REST descritas neste guia com as ferramentas da sua plataforma, as APIs da sua plataforma ou os SDKs do Citrix DaaS para criar um fluxo de trabalho de ponta a ponta contínuo e automatizado para criar um catálogo de máquinas com base na imagem preparada. Dependendo da plataforma de nuvem escolhida, pode haver etapas intermediárias necessárias entre a conclusão de um trabalho de preparação do IPS e a criação de um catálogo ou atribuição a um destino PVS.

AWS

Na AWS, o IPS produz um volume do EBS do EC2 contendo a imagem preparada (o padrão) ou uma imagem de máquina da Amazon (AMI) criada a partir da imagem preparada. Veja o Portal de API do desenvolvedor do serviço de portabilidade de imagem para obter informações sobre como criar uma AMI em vez do padrão de um volume.

Observe que o MCS requer uma AMI para a criação do catálogo. O IPS usa a importação de VM da AWS para criar a AMI e isso tem determinados requisitos. Antes de usar o IPS para criar uma AMI, consulte o AWS Guia do usuário de importação/exportação de VM para os requisitos e garantir que eles foram atendidos.

Azul

No Azure, o IPS produz discos gerenciados que podem ser usados diretamente como imagens mestras do MCS. Para atribuir a imagem resultante aos destinos PVS, o IPS fornece uma operação de ‘publicação’ para copiar o disco gerenciado em um arquivo VHD(x) no repositório PVS.

Google Cloud

IPS preparar trabalhos no Google Cloud produzir um disco. O MCS requer um modelo de instância do Google Cloud. O processo de criação de um modelo de instância do MCS a partir de um disco é abordado em detalhes em Preparar uma instância de VM mestra e um disco permanente.

Para destinos PVS no Google Cloud, o IPS fornece uma operação de “publicação” para copiar o disco em um arquivo VHD(x) no armazenamento PVS.

Automatize a configuração do VDA

Ao preparar uma imagem gerenciada pela Citrix originada no local, você pode reconfigurar o VDA na imagem para oferecer suporte ao ambiente de destino para o qual a imagem está sendo preparada. O Image Portability Service pode aplicar alterações de configuração do VDA em tempo real durante a fase de preparação do fluxo de trabalho. Os seguintes parâmetros de configuração definem como o VDA opera na imagem migrada: InstallMisa, XdReconfigurare Instalar Mcsio. Ver Exemplos do PowerShell do Serviço de Portabilidade de Imagem para definir esses parâmetros ao criar trabalhos do IPS.

Configurações

  • Configurando InstallMisa Para verdadeiro permite que o Image Portability Service instale todos os componentes VDA ausentes necessários para provisionar a imagem usando o MCS.

  • Configurando InstallMisa Para verdadeiro ou Instalar Mcsio Para verdadeiro também requer configuração Tipo de provisionamento de nuvem Para Mcs.

  • Pôr InstallPvs para a versão do servidor PVS em que a imagem está sendo implantada. Quando InstallPvs estiver definido, o Image Portability Service (IPS) instalará automaticamente a versão especificada do software do dispositivo de destino PVS na imagem durante os trabalhos de preparação. O IPS oferece suporte às duas compilações mais recentes (versão base ou atualizações cumulativas) para as duas versões de serviço de longo prazo (LTSR) e versões atuais (CR) mais recentes.

Para ambos InstallMisa e Instalar Mcsio, observe o seguinte:

  • Esses recursos são compatíveis apenas com as versões LTSR e CR recentes do VDA.

  • Se os componentes necessários já estiverem presentes para o VDA instalado, nenhuma alteração será feita, mesmo que os parâmetros estejam configurados.

  • Para versões compatíveis do VDA, o Image Portability instala a versão apropriada dos componentes necessários, mesmo que os componentes VDA necessários não estejam presentes.

  • Para versões não compatíveis do VDA, a reconfiguração falhará e uma mensagem será registrada se os componentes VDA necessários não estiverem presentes. O trabalho de preparação é concluído mesmo que a reconfiguração do VDA não o faça.

XdReconfigurar requer um dos seguintes valores: Controladores ou site_guid. Aqui estão exemplos de parâmetros de configuração usando cada valor:

Usando Controladores:

XdReconfigure = @( [pscustomobject]@{ ParameterName = 'controllers' ParameterValue = 'comma-separated-list-of-your-cloud-connectors-fqdns' } )

onde o Valor do parâmetro é a lista de FQDNs dos novos DDCs para os quais você deseja apontar o VDA. Vários DDCs podem ser especificados em um formato separado por vírgulas.

Usando site_guid:

XdReconfigure = @( [pscustomobject]@{ ParameterName = 'site_guid' ParameterValue = 'active-directory-site-guid' } )

XdReconfigurar também aceita valores que são suportados ao executar o instalador de linha de comando VDA com o /Reconfigurar instalar o interruptor, por exemplo, XenDesktopVdaSetup.exe /reconfigurar. Alguns exemplos desses valores incluem wem_agent_port, wem_cached_data_sync_port, wem_cloud_connectorsou wem_server. Para obter uma lista completa das opções de linha de comando de reconfiguração do VDA, consulte o Documentação do Citrix DaaS VDA.

Configurando Instalar Mcsio Para verdadeiro instala automaticamente o MCSIO na imagem. Para desativar a instalação automática do MCSIO na imagem, configure Instalar Mcsio Para falso.

Observação:

Você pode usar -Corrida a seco ao executar seus comandos para validar sua configuração e as configurações de rede do dispositivo do conector.

Referência

Esta seção detalha informações de referência técnica, com base em suas necessidades.

Permissões exigidas pelos Serviços de Portabilidade de Imagens

Esta seção detalha as permissões exigidas pelo Serviço de Portabilidade de Imagens em cada uma das plataformas locais e de nuvem com suporte.

Permissões necessárias do Connector Appliance

O Connector Appliance precisa de acesso às seguintes URLs para preparar imagens no Image Portability Service:

api-ap-s.cloud.com api-eu.cloud.com api-us.cloud.com credentialwallet.citrixworkspaceapi.net graph.microsoft.com login.microsoftonline.com management.azure.com *.blob.storage.azure.net

Permissões necessárias do VMware vCenter

As permissões do vCenter a seguir são necessárias para executar o trabalho de exportação de disco do IPS em um ambiente VMware. Essas permissões podem ser encontradas em Papéis No Controle de acesso do painel de administração do vCenter.

- Cryptographic operations - Direct Access - Datastore - Allocate space - Browse datastore - Low level file operations - Remove file - Folder - Create folder - Delete folder - Network - Assign network - Resource - Assign virtual machine to resource pool - Virtual machine - Change Configuration - Add existing disk - Add new disk - Remove disk - Edit Inventory - Create from existing - Create new - Remove - Interaction - Power off - Power on

Permissões necessárias do Microsoft Azure

A Portabilidade de Imagem requer que sua conta de serviço do Azure tenha as permissões a seguir.

Quando o grupo de recursos a ser usado para o Mecanismo de Composição é especificado (ou seja, no Grupo de recursos em uma solicitação REST ou a propriedade -AzureVmResourceGroup ao usar os comandos Citrix.Workloads.Portability do PowerShell), as permissões a seguir são necessárias no escopo do grupo de recursos.

Microsoft.Compute/disks/beginGetAccess/action Microsoft.Compute/disks/endGetAccess/action Microsoft.Compute/disks/delete Microsoft.Compute/disks/read Microsoft.Compute/disks/write Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachines/powerOff/action Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/write Microsoft.Network/networkInterfaces/delete Microsoft.Network/networkInterfaces/join/action Microsoft.Network/networkInterfaces/read Microsoft.Network/networkInterfaces/write Microsoft.Network/networkSecurityGroups/delete Microsoft.Network/networkSecurityGroups/join/action Microsoft.Network/networkSecurityGroups/read Microsoft.Network/networkSecurityGroups/write Microsoft.Resources/deployments/operationStatuses/read Microsoft.Resources/deployments/read Microsoft.Resources/deployments/write Microsoft.Resources/subscriptions/resourcegroups/read

Quando o grupo de recursos a ser usado para o Mecanismo de Composição não é especificado, as permissões a seguir são necessárias no escopo da assinatura.

Microsoft.Compute/disks/beginGetAccess/action Microsoft.Compute/disks/endGetAccess/action Microsoft.Compute/disks/read Microsoft.Compute/disks/write Microsoft.Compute/virtualMachines/powerOff/action Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/write Microsoft.Network/networkInterfaces/join/action Microsoft.Network/networkInterfaces/read Microsoft.Network/networkInterfaces/write Microsoft.Network/networkSecurityGroups/join/action Microsoft.Network/networkSecurityGroups/read Microsoft.Network/networkSecurityGroups/write Microsoft.Resources/deployments/operationStatuses/read Microsoft.Resources/deployments/read Microsoft.Resources/deployments/write Microsoft.Resources/subscriptions/resourceGroups/delete Microsoft.Resources/subscriptions/resourceGroups/write Microsoft.Authorization/roleAssignments/read Microsoft.Authorization/roleDefinitions/read

As permissões a seguir são necessárias no escopo do grupo de recursos de destino especificado (ou seja, o grupo de recursos especificado no targetDiskResourceGroupName em uma solicitação REST ou a propriedade -TargetResourceGroup ao usar o PowerShell).

Microsoft.Compute/disks/beginGetAccess/action Microsoft.Compute/disks/delete Microsoft.Compute/disks/read Microsoft.Compute/disks/write Microsoft.Compute/snapshots/delete Microsoft.Compute/snapshots/read Microsoft.Compute/snapshots/write

As permissões a seguir são necessárias no escopo do grupo de recursos de rede virtual especificado (ou seja, o grupo de recursos especificado no virtualNetworkResourceGroupName em uma solicitação REST ou a propriedade -AzureVirtualNetworkResourceGroupName ao usar o PowerShell).

Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnets/join/action

Importante:

O ceVmSku para trabalhos ‘preparar’ e ‘prepararAndPublish’ controla o tipo de VM do Azure para a qual o disco gerenciado resultante é adequado. Você deve selecionar um ceVmSku com a mesma família e versão que as VMs que você pretende provisionar da imagem de saída. O valor padrão de Standard_D2S_v3 é adequado para ser executado em todas as máquinas da família v3 D. Não há suporte para a especificação de SKUs de computador que não incluem um disco temporário.

Permissões necessárias do Google Cloud

A portabilidade de imagens exige que sua conta de serviço do Google Cloud tenha as seguintes permissões:

cloudbuild.builds.create cloudbuild.builds.get cloudbuild.builds.list compute.disks.create compute.disks.delete compute.disks.get compute.disks.list compute.disks.setLabels compute.disks.use compute.disks.useReadOnly compute.globalOperations.get compute.images.create compute.images.delete compute.images.get compute.images.list compute.images.setLabels compute.images.useReadOnly compute.instances.create compute.instances.delete compute.instances.get compute.instances.setLabels compute.instances.setMetadata compute.instances.setServiceAccount compute.instances.setTags compute.instances.stop compute.instances.updateDisplayDevice compute.networks.get compute.networks.list compute.subnetworks.use compute.zoneOperations.get compute.zones.get compute.zones.list iam.serviceAccounts.actAs iam.serviceAccounts.get iam.serviceAccounts.list resourcemanager.projects.get storage.buckets.create storage.buckets.delete storage.buckets.get storage.objects.create storage.objects.delete storage.objects.get storage.objects.list

Permissões exigidas pela AWS

A portabilidade de imagem requer que você anexe um documento de política JSON com a seguinte configuração ao usuário do Identity and Access Management (IAM):

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ebs:CompleteSnapshot", "ebs:PutSnapshotBlock", "ebs:StartSnapshot", "ec2:CreateImage", "ec2:CreateSnapshot", "ec2:CreateTags", "ec2:DeleteImage", "ec2:DeleteSnapshot", "ec2:DeleteVolume", "ec2:DeregisterImage", "ec2:DescribeImages", "ec2:DescribeImportImageTasks", "ec2:DescribeInstances", "ec2:DescribeRegions", "ec2:DescribeSecurityGroups", "ec2:DescribeSnapshots", "ec2:DescribeSubnets", "ec2:ImportImage", "ec2:RebootInstances", "ec2:RegisterImage", "ec2:RunInstances", "ec2:TerminateInstances", "iam:GetRole" ], "Effect": "Allow", "Resource": "*" } ] }

Observação:

Talvez você queira reduzir ainda mais o escopo do Recurso conforme necessário.

Permissões necessárias do Nutanix AHV

A portabilidade de imagem exige que você seja um administrador de cluster em sua configuração do Nutanix AHV.

Permissões necessárias do XenServer

A portabilidade de imagem exige que você tenha, no mínimo, a função ‘Administrador de VM’ para o pool em que o host XenServer está.

Rede

O Serviço de Portabilidade de Imagem (IPS) cria uma VM de trabalho chamada CE (mecanismo de composição) para executar operações de imagem. Todos os dispositivos de conector no local de recurso associado devem ser capazes de se comunicar via HTTPS com o CE. Toda a comunicação entre um dispositivo de conector (CA) e o CE é iniciada pela CA, exceto por uma única exceção no caso do vSphere, em que há comunicação HTTPS bidirecional entre o CE e a CA.

Em ambientes de nuvem (Azure, AWS, Google Cloud), o CE é criado com um endereço IP privado. Portanto, o CE deve estar na mesma rede virtual que a autoridade de certificação ou em uma rede virtual acessível a partir da autoridade de certificação.

Além disso, para trabalhos que envolvem arquivos em um compartilhamento SMB (por exemplo, trabalhos de exportação), o CE deve estar em uma rede com conectividade com o compartilhamento SMB.

Veja o Documentação da API do Serviço de Portabilidade de Imagens para obter detalhes sobre como especificar a rede a ser usada para o CE em cada plataforma suportada.

Para trabalhos de ‘preparação’, o sistema operacional contido na imagem é inicializado (no CE) para fazer especialização e outras tarefas. Se a imagem contiver agentes de gerenciamento ou de segurança que telefonam para um servidor de controle, esses processos poderão interferir no processo de preparação.

Se a opção de cancelamento de domínio for especificada, a conectividade de rede poderá afetar os resultados. Se a VM do mecanismo de composição puder acessar o controlador de domínio do Active Directory pela rede, o unjoin removerá a conta do computador do domínio. Isso interrompe a associação de domínio para a VM de origem da qual a imagem foi extraída.

Portanto, recomendamos isolar a rede fornecida para a operação de outros recursos de rede. Isso pode ser feito por isolamento de sub-rede ou com regras de firewall. Ver Isolamento de rede para obter detalhes.

Em alguns ambientes de hipervisor locais, o hipervisor pode ser configurado com um certificado de servidor TLS, que não é confiável para o conjunto de autoridades de certificação raiz confiáveis da autoridade de certificação ou não corresponde ao nome do host do servidor. Para tais situações, IPS fornece solicitação de trabalho propriedades que podem ser usadas para contornar o problema. Ver Certificados TLS para obter detalhes.

Proxies de rede

Se o tráfego de rede entre a autoridade de certificação e a Internet atravessar um proxy que executa a introspecção TLS, talvez seja necessário adicionar a Autoridade de Certificação Raiz do proxy (ou seja, o certificado que o proxy usa para assinar os certificados TLS gerados) ao conjunto de autoridades de certificação raiz da autoridade de certificação. Ver Registre seu Connector Appliance com o Citrix Cloud para mais informações.

Isolamento de rede
  • Azul

    No Azure, o CE é criado por padrão com um NSG (grupo de segurança de rede) anexado à sua NIC se a entidade de serviço do Azure usada na operação tiver as permissões necessárias do Azure 1.

    • Microsoft.Network/networkSecurityGroups/join/action
    • Microsoft.Network/networkSecurityGroups/read
    • Microsoft.Network/networkSecurityGroups/write

      Caso contrário, as seguintes permissões no escopo da assinatura se nenhum grupo de recursos explícito estiver sendo usado:

      • Microsoft.Network/networkSecurityGroups/delete
      • Microsoft.Network/networkSecurityGroups/join/action
      • Microsoft.Network/networkSecurityGroups/read
      • Microsoft.Network/networkSecurityGroups/write

    Esse NSG está configurado para bloquear todo o tráfego de entrada/saída do CE, exceto:

    • Saída SMB (porta 445)
    • Entrada HTTPS (porta 443)
    • necessário para serviços internos do Azure

    O uso do NSG pode ser forçado definindo o isolamento de rede na solicitação de trabalho para verdadeiro. Nesse caso, o trabalho falhará se a entidade de serviço usada na operação não tiver as permissões necessárias. O uso do NSG pode ser desabilitado definindo o isolamento de rede propriedade para falso.

  • AWS

Na AWS, para obter o isolamento de rede do CE, você pode criar um grupo ou grupos de segurança de rede que bloqueiam todo o tráfego indesejado e, em seguida, na solicitação de trabalho, atribuir os grupos de segurança à instância do CE usando o comando securityGroupIds request que usa uma lista de IDs de grupo de segurança como valor.

  • Google Cloud

No Google Cloud, para obter o isolamento de rede do CE, você pode criar regras de firewall que bloqueiam todo o tráfego indesejado e, em seguida, aplicar essas regras ao CE por meio de tags de rede. O IPS cria o CE com a marca de rede mecanismo de composição e você pode atribuir outras tags de rede usando o tags de rede job request que usa uma lista de tags como um valor.

Certificados TLS

Se o certificado do servidor do hipervisor for assinado por uma autoridade não confiável pela autoridade de certificação, duas abordagens alternativas poderão ser usadas para resolver o problema.

  1. Especifique na solicitação de trabalho um certificado adicional da Autoridade de Certificação Raiz a ser usado na verificação do certificado. Esse certificado deve ser a Autoridade de Certificação Raiz usada para assinar o certificado do servidor do hipervisor.
  2. Especifique na solicitação de trabalho a impressão digital SHA-1 do certificado do servidor do hipervisor. Nesse caso, a validação do certificado é feita verificando se a impressão digital SHA-1 do certificado retornado pelo hipervisor corresponde à fornecida na solicitação de trabalho. Esse método pode não funcionar se houver um proxy de interceptação TLS entre o CE e o hipervisor.

Os parâmetros de solicitação de trabalho para os itens acima, fornecidos respectivamente abaixo para cada plataforma, são:

  • vSphere
    1. vCenterSslCaCertificate
    2. vCenterSslFingerprint
  • Nutanix
    1. prismSslCaCertificate
    2. prismaSslImpressão digital
  • Servidor Xen
    1. xenSslCaCertificate
    2. xenSslFingerprint

Veja o API do Serviço de Portabilidade de Imagem documentação para obter mais detalhes.

Erros de validação de certificado também podem ocorrer quando há uma incompatibilidade entre o nome do host do servidor do hipervisor e o nome do host em seu certificado. Nesse caso, a correspondência de nome de host pode ser desabilitada definindo o seguinte parâmetro como verdadeiro Na solicitação de trabalho:

  • vSphere
    • vCenterSslNoCheckHostname
  • Nutanix
    • prismSslNoCheckHostname
  • Servidor Xen
    • xenSslNoCheckHostname

Documentação relacionada

  1. Se um grupo de recursos explícito estiver sendo usado para a operação, as seguintes permissões no escopo do grupo de recursos: 

Migrar cargas de trabalho entre locais de recursos usando o Image Portability Service