Ambientes de virtualização VMware
Siga estas orientações se você usa o VMware para fornecer máquinas virtuais.
Instale o vCenter Server e as ferramentas de gerenciamento apropriadas. (Não há suporte para a operação do vSphere vCenter Linked Mode.)
Se você planeja usar o MCS, não desative o recurso Datastore Browser no vCenter Server (descrito em https://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2101567). Ao desativar esse recurso, o MCS não funciona corretamente.
Você pode usar o Citrix Provisioning (anteriormente Provisioning Services) e o Machine Creation Services™ para provisionar:
- BIOS herdado para VMs de SO de Desktop ou Servidor compatíveis.
- UEFI para VMs de SO de Desktop ou Servidor compatíveis, incluindo Secure Boot.
Privilégios necessários
Crie uma conta de usuário VMware e uma ou mais funções VMware com um conjunto ou todas as permissões listadas neste artigo. Baseie a criação das funções no nível específico de granularidade exigido sobre as permissões do usuário para solicitar as várias operações do Citrix DaaS™ a qualquer momento. Para conceder as permissões específicas do usuário a qualquer momento, associe-as à função respectiva, no nível do data center, no mínimo, com a opção Propagar para filhos selecionada. No entanto, para as permissões StorageProfile e uma permissão Tags específica, aplique as permissões no nível do vCenter Server Raiz, sem Propagar para filhos. Consulte as notas em cada uma dessas tabelas.
As tabelas a seguir mostram os mapeamentos entre as operações do Citrix Virtual Apps and Desktops™ e os privilégios mínimos exigidos do VMware.
Nota:
O nome de exibição da lista de permissões, especificamente a Interface do Usuário, é diferente para algumas versões do vSphere. Por exemplo, no vSphere 6.7, a permissão Interface do Usuário é Alterar Memória e Alterar Configurações, em vez de Configurações e Memória, conforme descrito nos privilégios necessários nesta página.
Adicionar conexões e recursos
| SDK | Interface do usuário |
|---|---|
| System.Anonymous, System.Read e System.View | Adicionado automaticamente. Pode usar a função somente leitura integrada. |
Gerenciamento de energia
| SDK | Interface do usuário |
|---|---|
| VirtualMachine.Interact.PowerOff | Máquina virtual > Interação > Desligar |
| VirtualMachine.Interact.PowerOn | Máquina virtual > Interação > Ligar |
| VirtualMachine.Interact.Reset | Máquina virtual > Interação > Reiniciar |
| VirtualMachine.Interact.Suspend | Máquina virtual > Interação > Suspender |
| Datastore.Browse | Datastore > Navegar no datastore |
Provisionar máquinas (Machine Creation Services)
Para provisionar máquinas usando o MCS, as seguintes permissões são obrigatórias:
| SDK | Interface do usuário |
|---|---|
| Datastore.AllocateSpace | Datastore > Alocar espaço |
| Datastore.Browse | Datastore > Navegar no datastore |
| Datastore.FileManagement | Datastore > Operações de arquivo de baixo nível |
| Network.Assign | Rede > Atribuir rede |
| Resource.AssignVMToPool | Recurso > Atribuir máquina virtual ao pool de recursos |
| VirtualMachine.Config.AddExistingDisk | Máquina virtual > Configuração > Adicionar disco existente |
| VirtualMachine.Config.AddNewDisk | Máquina virtual > Configuração > Adicionar novo disco |
| Virtual machine.Config.Add or remove device | Máquina virtual > Configuração > Adicionar ou remover dispositivo |
| VirtualMachine.Config.AdvancedConfig | Máquina virtual > Configuração > Avançado |
| VirtualMachine.Config.RemoveDisk | Máquina virtual > Configuração > Remover disco |
| VirtualMachine.Config.CPUCount | Máquina virtual > Configuração > Alterar contagem de CPU |
| VirtualMachine.Config.Memory | Máquina virtual > Configuração > Alterar memória |
| VirtualMachine.Config.Settings | Máquina virtual > Configuração > Alterar configurações |
| VirtualMachine.Interact.PowerOff | Máquina virtual > Interação > Desligar |
| VirtualMachine.Interact.PowerOn | Máquina virtual > Interação > Ligar |
| VirtualMachine.Interact.Reset | Máquina virtual > Interação > Reiniciar |
| VirtualMachine.Interact.Suspend | Máquina virtual > Interação > Suspender |
| VirtualMachine.Inventory.CreateFromExisting | Máquina virtual > Inventário > Criar a partir de existente |
| VirtualMachine.Inventory.Create | Máquina virtual > Inventário > Criar novo |
| VirtualMachine.Inventory.Delete | Máquina virtual > Inventário > Remover |
| VirtualMachine.Provisioning.Clone | Máquina virtual > Provisionamento > Clonar máquina virtual |
| VirtualMachine.State.CreateSnapshot | vSphere 5.0, Update 2, vSphere 5.1, Update 1 e vSphere 6.x, Update 1: Máquina virtual > Estado > Criar snapshot; vSphere 5.5: Máquina virtual > Gerenciamento de snapshot > Criar snapshot |
Atualização e reversão de imagem
| SDK | Interface do usuário |
|---|---|
| Datastore.AllocateSpace | Datastore > Alocar espaço |
| Datastore.Browse | Datastore > Navegar no datastore |
| Datastore.FileManagement | Datastore > Operações de arquivo de baixo nível |
| Network.Assign | Rede > Atribuir rede |
| Resource.AssignVMToPool | Recurso > Atribuir máquina virtual ao pool de recursos |
| VirtualMachine.Config.AddExistingDisk | Máquina virtual > Configuração > Adicionar disco existente |
| VirtualMachine.Config.AddNewDisk | Máquina virtual > Configuração > Adicionar novo disco |
| VirtualMachine.Config.AdvancedConfig | Máquina virtual > Configuração > Avançado |
| VirtualMachine.Config.RemoveDisk | Máquina virtual > Configuração > Remover disco |
| VirtualMachine.Interact.PowerOff | Máquina virtual > Interação > Desligar |
| VirtualMachine.Interact.PowerOn | Máquina virtual > Interação > Ligar |
| VirtualMachine.Interact.Reset | Máquina virtual > Interação > Reiniciar |
| VirtualMachine.Inventory.CreateFromExisting | Máquina virtual > Inventário > Criar a partir de existente |
| VirtualMachine.Inventory.Create | Máquina virtual > Inventário > Criar novo |
| VirtualMachine.Inventory.Delete | Máquina virtual > Inventário > Remover |
| VirtualMachine.Provisioning.Clone | Máquina virtual > Provisionamento > Clonar máquina virtual |
Excluir máquinas provisionadas
| SDK | Interface do usuário |
|---|---|
| Datastore.Browse | Datastore > Navegar no datastore |
| Datastore.FileManagement | Datastore > Operações de arquivo de baixo nível |
| VirtualMachine.Config.RemoveDisk | Máquina virtual > Configuração > Remover disco |
| VirtualMachine.Interact.PowerOff | Máquina virtual > Interação > Desligar |
| VirtualMachine.Inventory.Delete | Máquina virtual > Inventário > Remover |
Perfil de armazenamento (vSAN)
Para visualizar, criar ou excluir políticas de armazenamento durante a criação de catálogos em um datastore vSAN, as seguintes permissões são obrigatórias:
| SDK | Interface do usuário |
|---|---|
| StorageProfile.Update | ARMAZENAMENTO ORIENTADO POR PERFIL > Atualização de armazenamento orientado por perfil. Para vSphere 8: Políticas de armazenamento de VM > Atualizar políticas de armazenamento de VM |
| StorageProfile.View | ARMAZENAMENTO ORIENTADO POR PERFIL > Visualização de armazenamento orientado por perfil. Para vSphere 8: Políticas de armazenamento de VM > Visualizar políticas de armazenamento de VM |
Nota:
Aplique as permissões de perfil de armazenamento no nível do vCenter Server Raiz, sem Propagar para filhos.
Tags e atributos personalizados
Tags e atributos personalizados permitem anexar metadados às VMs criadas no inventário do vSphere e facilitam a pesquisa e filtragem desses objetos. Para criar, editar, atribuir e excluir tags ou categorias, as seguintes permissões são obrigatórias:
| SDK | Interface do usuário |
|---|---|
| InventoryService.Tagging.CreateTag | Marcação vSphere > Criar Marcação vSphere |
| InventoryService.Tagging.CreateCategory | Marcação vSphere > Criar Categoria de Marcação vSphere |
| InventoryService.Tagging.EditTag | Marcação vSphere > Editar Marcação vSphere |
| InventoryService.Tagging.EditCategory | Marcação vSphere > Editar Categoria de Marcação vSphere |
| InventoryService.Tagging.DeleteTag | Marcação vSphere > Excluir Marcação vSphere |
| InventoryService.Tagging.DeleteCategory | Marcação vSphere > Excluir Categoria de Marcação vSphere |
| InventoryService.Tagging.AttachTag | Marcação vSphere > Atribuir ou Desatribuir Marcação vSphere |
| InventoryService.Tagging.ObjectAttachable | Marcação vSphere > Atribuir ou Desatribuir Marcação vSphere no Objeto |
| Global.ManageCustomFields | Global > Gerenciar atributos personalizados |
| Global.SetCustomField | Global > Definir atributo personalizado |
Nota:
- Quando o MCS cria um catálogo de máquinas, ele marca as VMs de destino com tags de nome especiais. Essas tags diferenciam a imagem mestre das VMs criadas pelo MCS e impedem o uso de VMs criadas pelo MCS para preparação de imagem. Você pode identificar a diferença pelo valor do atributo
XdProvisionedno vCenter. O atributo é definido como True se o MCS criar VMs.- Aplique a permissão
InventoryService.Tagging.AttachTagno nível do vCenter Server Raiz, sem Propagar para filhos.
Operações criptográficas
Os privilégios de operações criptográficas controlam quem pode realizar qual tipo de operação criptográfica em qual tipo de objeto. O vSphere Native Key Provider usa os privilégios Cryptographer.*. As seguintes permissões mínimas são necessárias para operações criptográficas:
| SDK | Interface do usuário |
|---|---|
| Cryptographer.Access | Privilégios > Todos os Privilégios > Operações criptográficas > Acesso Direto |
| Cryptographer.AddDisk | Privilégios > Todos os Privilégios > Operações criptográficas > Adicionar disco |
| Cryptographer.Clone | Privilégios > Todos os Privilégios > Operações criptográficas > Clonar |
| Cryptographer.Encrypt | Privilégios > Todos os Privilégios > Operações criptográficas > Criptografar |
| Cryptographer.EncryptNew | Privilégios > Todos os Privilégios > Operações criptográficas > Criptografar novo |
| Cryptographer.Decrypt | Privilégios > Todos os Privilégios > Operações criptográficas > Descriptografar |
| Cryptographer.Migrate | Privilégios > Todos os Privilégios > Operações criptográficas > Migrar |
| Cryptographer.ReadKeyServersInfo | Privilégios > Todos os Privilégios > Operações criptográficas > Ler informações do KMS |
Provisionar máquinas (Citrix Provisioning™)
Essas permissões para clonar e implantar um modelo são necessárias para provisionar VMs usando o Assistente de Configuração do Citrix Virtual Apps and Desktops e o Assistente de Exportação de Dispositivos por meio do console do Citrix Provisioning. Defina as permissões ao criar uma conexão de hospedagem. Você precisa de todas as permissões de Provisionar máquinas (Machine Creation Services) e as seguintes.
| SDK | Interface do usuário |
|---|---|
| VirtualMachine.Config.AddRemoveDevice | Máquina virtual > Configuração > Adicionar ou remover dispositivo |
| VirtualMachine.Config.CPUCount | Máquina virtual > Configuração > Alterar contagem de CPU |
| VirtualMachine.Config.Memory | Máquina virtual > Configuração > Memória |
| VirtualMachine.Config.Settings | Máquina virtual > Configuração > Configurações |
| VirtualMachine.Provisioning.CloneTemplate | Máquina virtual > Provisionamento > Clonar modelo |
| VirtualMachine.Provisioning.DeployTemplate | Máquina virtual > Provisionamento > Implantar modelo |
| VApp.Export | vApp > Exportar |
Nota:
O
VApp.Exporté necessário para criar catálogos de máquinas MCS usando o perfil da máquina.
Obter e importar um certificado
Para proteger as comunicações do vSphere, a Citrix® recomenda que você use HTTPS em vez de HTTP.
HTTPS requer certificados digitais. Use um certificado digital emitido por uma autoridade de certificação que atenda à política de segurança da sua organização.
Se você não conseguir usar um certificado digital emitido por uma autoridade de certificação, poderá usar o certificado autoassinado instalado pelo VMware. Use este método somente se a política de segurança da sua organização permitir. Adicione o certificado do VMware vCenter a cada Delivery Controller.
-
Adicione o nome de domínio totalmente qualificado (FQDN) do computador que executa o vCenter Server ao arquivo hosts nesse servidor, em
%SystemRoot%/WINDOWS/system32/Drivers/etc/. Esta etapa é necessária somente se o FQDN do computador que executa o vCenter Server ainda não estiver presente no sistema de nomes de domínio. -
Obtenha o certificado do vCenter usando qualquer um dos três métodos a seguir:
Do servidor vCenter.
- Copie o arquivo rui.crt do servidor vCenter para um local acessível em seus Delivery Controllers.
- No Controller, navegue até o local do certificado exportado e abra o arquivo rui.crt.
Baixe o certificado usando um navegador da web. Se você estiver usando o Internet Explorer, clique com o botão direito do mouse no Internet Explorer e escolha Executar como administrador para baixar ou instalar o certificado.
- Abra seu navegador da web e faça uma conexão web segura com o servidor vCenter (por exemplo, https://server1.domain1.com).
- Aceite os avisos de segurança.
- Clique na barra de endereços que exibe o erro de certificado.
- Visualize o certificado e clique na guia Detalhes.
- Selecione Copiar para arquivo e exportar no formato .CER, fornecendo um nome quando solicitado.
- Salve o certificado exportado.
- Navegue até o local do certificado exportado e abra o arquivo .CER.
Importe diretamente do Internet Explorer executando como administrador.
- Abra seu navegador da web e faça uma conexão web segura com o servidor vCenter (por exemplo, https://server1.domain1.com).
- Aceite os avisos de segurança.
- Clique na barra de endereços que exibe o erro de certificado.
- Visualize o certificado.
-
Importe o certificado para o armazenamento de certificados em cada um dos seus Controllers.
- Clique na opção Instalar certificado, selecione Máquina Local e clique em Avançar.
- Selecione Colocar todos os certificados no seguinte armazenamento e clique em Procurar. Selecione Pessoas Confiáveis e clique em OK. Clique em Avançar e depois em Concluir.
Se você alterar o nome do servidor vSphere após a instalação, deverá gerar um novo certificado autoassinado nesse servidor antes de importar o novo certificado.
Considerações de configuração
Criar uma VM mestre:
Use uma VM mestre para fornecer desktops e aplicativos de usuário em um catálogo de máquinas. No seu hypervisor:
- Instale um VDA na VM mestre, selecionando a opção de otimizar o desktop, o que melhora o desempenho.
- Tire um snapshot da VM mestre para usar como backup.
Criar uma conexão:
No assistente de criação de conexão:
- Selecione o tipo de conexão VMware.
- Especifique o endereço do ponto de acesso para o SDK do vCenter.
- Especifique as credenciais para uma conta de usuário VMware que você configurou anteriormente e que tenha permissões para criar VMs. Especifique o nome de usuário no formato domínio/nome_de_usuário.
Impressão digital SSL do VMware
O recurso de impressão digital SSL do VMware elimina a necessidade de criar manualmente uma conexão de host com um hypervisor VMware vSphere. Não é mais necessário criar manualmente uma relação de confiança entre os Delivery Controllers no Site e o certificado do hypervisor antes de criar uma conexão.
O recurso de impressão digital SSL do VMware armazena a impressão digital do certificado não confiável no banco de dados do Site. Essa configuração garante que o hypervisor possa ser continuamente identificado como confiável pelo Citrix Virtual Apps and Desktops, mesmo que não pelos Controllers.
Ao criar uma conexão de host vSphere no Studio, uma caixa de diálogo permite que você visualize o certificado da máquina à qual você está se conectando. Você pode então escolher se deseja confiar nele.
Solução de problemas
Se o catálogo não for criado, consulte CTX294978.