Conexão com o VMware
Criar e gerenciar conexões e recursos descreve os assistentes que criam uma conexão. As informações a seguir cobrem detalhes específicos para ambientes de virtualização VMware.
Nota:
Antes de criar uma conexão com o VMware, você precisa primeiro concluir a configuração da sua conta VMware como um local de recurso. Consulte Ambientes de virtualização VMware.
Criar uma conexão
No assistente de criação de conexão:
- Selecione o tipo de conexão VMware.
- Especifique o endereço do ponto de acesso para o vCenter SDK.
- Especifique as credenciais para uma conta de usuário VMware que você configurou anteriormente e que tenha permissões para criar VMs. Especifique o nome de usuário no formato domain/username.
Impressão digital SSL do VMware
O recurso de impressão digital SSL do VMware elimina a necessidade de criar manualmente uma conexão de host com um hypervisor VMware vSphere. Não é mais necessário criar manualmente uma relação de confiança entre os Delivery Controllers no Site e o certificado do hypervisor antes de criar uma conexão.
O recurso de impressão digital SSL do VMware armazena a impressão digital do certificado não confiável no banco de dados do Site. Essa configuração garante que o hypervisor possa ser continuamente identificado como confiável pelo Citrix Virtual Apps and Desktops™, mesmo que não pelos Controllers.
Ao criar uma conexão de host vSphere no Studio, uma caixa de diálogo permite visualizar o certificado da máquina à qual você está se conectando. Você pode então escolher se deseja confiar nele.
Privilégios necessários
Crie uma conta de usuário VMware e uma ou mais funções VMware com um conjunto ou todas as permissões listadas neste artigo. Baseie a criação das funções no nível específico de granularidade exigido sobre as permissões do usuário para solicitar as várias operações do Citrix DaaS™ a qualquer momento. Para conceder as permissões específicas do usuário a qualquer momento, associe-as à respectiva função, no nível do data center no mínimo, com a opção Propagate to children selecionada. No entanto, para as permissões de StorageProfile e uma permissão específica de Tags, aplique as permissões no nível do Root vCenter Server, sem Propagate to Children. Consulte as notas em cada uma dessas tabelas.
As tabelas a seguir mostram os mapeamentos entre as operações do Citrix Virtual Apps and Desktops e os privilégios mínimos necessários do VMware.
Nota:
O nome de exibição da lista de permissões, especificamente a User Interface, é diferente para algumas versões do vSphere. Por exemplo, no vSphere 6.7, a permissão User Interface é Change Memory e Change Settings, em vez de Settings e Memory, conforme descrito nos privilégios necessários observados nesta página.
Adicionar conexões e recursos
| SDK | User interface |
|---|---|
| System. Anonymous, System. Read, e System.View | Adicionado automaticamente. Pode usar a função somente leitura integrada. |
Gerenciamento de energia
| SDK | User interface |
|---|---|
| VirtualMachine.Interact.PowerOff | Virtual machine > Interaction > Power Off |
| VirtualMachine.Interact.PowerOn | Virtual machine > Interaction > Power On |
| VirtualMachine.Interact.Reset | Virtual machine > Interaction > Reset |
| VirtualMachine.Interact.Suspend | Virtual machine > Interaction > Suspend |
| Datastore.Browse | Datastore > Browse datastore |
Provisionar máquinas (Machine Creation Services™)
Para provisionar máquinas usando o MCS, as seguintes permissões são obrigatórias:
| SDK | User interface |
|---|---|
| Datastore.AllocateSpace | Datastore > Allocate space |
| Datastore.Browse | Datastore > Browse datastore |
| Datastore.FileManagement | Datastore > Low level file operations |
| Network.Assign | Network > Assign network |
| Resource.AssignVMToPool | Resource > Assign virtual machine to resource pool |
| VirtualMachine.Config.AddExistingDisk | Virtual machine > Configuration > Add existing disk |
| VirtualMachine.Config.AddNewDisk | Virtual machine > Configuration > Add new disk |
| Virtual machine.Config.Add or remove device | Virtual machine > Configuration > Add or remove device |
| VirtualMachine.Config.AdvancedConfig | Virtual machine > Configuration > Advanced |
| VirtualMachine.Config.RemoveDisk | Virtual machine > Configuration > Remove disk |
| VirtualMachine.Config.CPUCount | Virtual machine > Configuration > Change CPU count |
| VirtualMachine.Config.Memory | Virtual machine > Configuration > Change memory |
| VirtualMachine.Config.Settings | Virtual machine > Configuration > Change settings |
| VirtualMachine.Interact.PowerOff | Virtual machine > Interaction > Power Off |
| VirtualMachine.Interact.PowerOn | Virtual machine > Interaction > Power On |
| VirtualMachine.Interact.Reset | Virtual machine > Interaction > Reset |
| VirtualMachine.Interact.Suspend | Virtual machine > Interaction > Suspend |
| VirtualMachine.Inventory.CreateFromExisting | Virtual machine > Inventory > Create from existing |
| VirtualMachine.Inventory.Create | Virtual machine > Inventory > Create new |
| VirtualMachine.Inventory.Delete | Virtual machine > Inventory > Remove |
| VirtualMachine.Provisioning.Clone | Virtual machine > Provisioning > Clone virtual machine |
| VirtualMachine.State.CreateSnapshot | vSphere 5.0, Update 2, vSphere 5.1, Update 1, e vSphere 6.x, Update 1: Virtual machine > State > Create snapshot; vSphere 5.5: Virtual machine > Snapshot management > Create snapshot |
Atualização e reversão de imagem
| SDK | User interface |
|---|---|
| Datastore.AllocateSpace | Datastore > Allocate space |
| Datastore.Browse | Datastore > Browse datastore |
| Datastore.FileManagement | Datastore > Low level file operations |
| Network.Assign | Network > Assign network |
| Resource.AssignVMToPool | Resource > Assign virtual machine to resource pool |
| VirtualMachine.Config.AddExistingDisk | Virtual machine > Configuration > Add existing disk |
| VirtualMachine.Config.AddNewDisk | Virtual machine > Configuration > Add new disk |
| VirtualMachine.Config.AdvancedConfig | Virtual machine > Configuration > Advanced |
| VirtualMachine.Config.RemoveDisk | Virtual machine > Configuration > Remove disk |
| VirtualMachine.Interact.PowerOff | Virtual machine > Interaction > Power Off |
| VirtualMachine.Interact.PowerOn | Virtual machine > Interaction > Power On |
| VirtualMachine.Interact.Reset | Virtual machine > Interaction > Reset |
| VirtualMachine.Inventory.CreateFromExisting | Virtual machine > Inventory > Create from existing |
| VirtualMachine.Inventory.Create | Virtual machine > Inventory > Create new |
| VirtualMachine.Inventory.Delete | Virtual machine > Inventory > Remove |
| VirtualMachine.Provisioning.Clone | Virtual machine > Provisioning > Clone virtual machine |
Excluir máquinas provisionadas
| SDK | User interface |
|---|---|
| Datastore.Browse | Datastore > Browse datastore |
| Datastore.FileManagement | Datastore > Low level file operations |
| VirtualMachine.Config.RemoveDisk | Virtual machine > Configuration > Remove disk |
| VirtualMachine.Interact.PowerOff | Virtual machine > Interaction > Power Off |
| VirtualMachine.Inventory.Delete | Virtual machine > Inventory > Remove |
Storage Profile (vSAN)
Para visualizar, criar ou excluir políticas de armazenamento durante a criação de catálogos em um datastore vSAN, as seguintes permissões são obrigatórias:
| SDK | User interface |
|---|---|
| StorageProfile.Update | PROFILE-DRIVEN STORAGE > Profile-driven storage update. Para vSphere 8: VM storage policies > Update VM storage policies |
| StorageProfile.View | PROFILE-DRIVEN STORAGE > Profile-driven storage view. Para vSphere 8: VM storage policies > View VM storage policies |
Nota:
Aplique as permissões de perfil de armazenamento no nível do Root vCenter Server, sem Propagate to Children.
Tags e atributos personalizados
Tags e atributos personalizados permitem anexar metadados às VMs criadas no inventário do vSphere e facilitam a pesquisa e filtragem desses objetos. Para criar, editar, atribuir e excluir tags ou categorias, as seguintes permissões são obrigatórias:
| SDK | User interface |
|---|---|
| InventoryService.Tagging.CreateTag | vSphere Tagging > Create vSphere Tag |
| InventoryService.Tagging.CreateCategory | vSphere Tagging > Create vSphere Tag Category |
| InventoryService.Tagging.EditTag | vSphere Tagging > Edit vSphere Tag |
| InventoryService.Tagging.EditCategory | vSphere Tagging > Edit vSphere Tag Category |
| InventoryService.Tagging.DeleteTag | vSphere Tagging > Delete vSphere Tag |
| InventoryService.Tagging.DeleteCategory | vSphere Tagging > Delete vSphere Tag Category |
| InventoryService.Tagging.AttachTag | vSphere Tagging > Assign or Unassign vSphere Tag |
| InventoryService.Tagging.ObjectAttachable | vSphere Tagging > Assign or Unassign vSphere Tag on Object |
| Global.ManageCustomFields | Global > Manage custom attributes |
| Global.SetCustomField | Global > Set custom attribute |
Nota:
- Quando o MCS cria um catálogo de máquinas, ele marca as VMs de destino com tags de nome especiais. Essas tags diferenciam a imagem mestre das VMs criadas pelo MCS e impedem o uso de VMs criadas pelo MCS para preparação de imagem. Você pode identificar a diferença pelo valor do atributo
XdProvisionedno vCenter. O atributo é definido como True se o MCS criar VMs.- Aplique a permissão
InventoryService.Tagging.AttachTagno nível do Root vCenter Server, sem Propagate to Children.
Operações criptográficas
Os privilégios de operações criptográficas controlam quem pode realizar qual tipo de operação criptográfica em qual tipo de objeto. O vSphere Native Key Provider usa os privilégios Cryptographer.*. As seguintes permissões mínimas são necessárias para operações criptográficas:
Nota:
Essas permissões são necessárias para criar catálogos de máquinas MCS com VM equipada com vTPM.
| SDK | User interface |
|---|---|
| Cryptographer.Access | Privileges > All Privileges > Cryptographic operations > Direct Access |
| Cryptographer.AddDisk | Privileges > All Privileges > Cryptographic operations > Add disk |
| Cryptographer.Clone | Privileges > All Privileges > Cryptographic operations > Clone |
| Cryptographer.Encrypt | Privileges > All Privileges > Cryptographic operations > Encrypt |
| Cryptographer.EncryptNew | Privileges > All Privileges > Cryptographic operations > Encrypt new |
| Cryptographer.Decrypt | Privileges > All Privileges > Cryptographic operations > Decrypt |
| Cryptographer.Migrate | Privileges > All Privileges > Cryptographic operations > Migrate |
| Cryptographer.ReadKeyServersInfo | Privileges > All Privileges > Cryptographic operations > Read KMS information |
Provisionar máquinas (Citrix Provisioning™)
Essas permissões para clonar e implantar um modelo são necessárias para provisionar VMs usando o Assistente de Configuração do Citrix Virtual Apps and Desktops e o Assistente de Exportação de Dispositivos por meio do console do Citrix Provisioning. Defina as permissões ao criar uma conexão de hospedagem. Você precisa de todas as permissões de Provisionar máquinas (Machine Creation Services) e as seguintes.
| SDK | User interface |
|---|---|
| VirtualMachine.Config.AddRemoveDevice | Virtual machine > Configuration > Add or remove device |
| VirtualMachine.Config.CPUCount | Virtual machine > Configuration > Change CPU Count |
| VirtualMachine.Config.Memory | Virtual machine > Configuration > Memory |
| VirtualMachine.Config.Settings | Virtual machine > Configuration > Settings |
| VirtualMachine.Provisioning.CloneTemplate | Virtual machine > Provisioning > Clone template |
| VirtualMachine.Provisioning.DeployTemplate | Virtual machine > Provisioning > Deploy template |
| VApp.Export | vApp > Export |
Nota:
O
VApp.Exporté necessário para criar catálogos de máquinas MCS usando o perfil da máquina.
Obter e importar um certificado
Para proteger as comunicações do vSphere, a Citrix® recomenda que você use HTTPS em vez de HTTP.
O HTTPS requer certificados digitais. Use um certificado digital emitido por uma autoridade de certificação que atenda à política de segurança da sua organização.
Se você não puder usar um certificado digital emitido por uma autoridade de certificação, poderá usar o certificado autoassinado instalado pelo VMware. Use este método apenas se a política de segurança da sua organização permitir. Adicione o certificado do VMware vCenter a cada Delivery Controller.
-
Adicione o nome de domínio totalmente qualificado (FQDN) do computador que executa o vCenter Server ao arquivo hosts nesse servidor, em
%SystemRoot%/WINDOWS/system32/Drivers/etc/. Esta etapa é necessária apenas se o FQDN do computador que executa o vCenter Server ainda não estiver presente no sistema de nomes de domínio. -
Obtenha o certificado do vCenter usando qualquer um dos três métodos a seguir:
Do servidor vCenter.
- Copie o arquivo rui.crt do servidor vCenter para um local acessível em seus Delivery Controllers.
- No Controller, navegue até o local do certificado exportado e abra o arquivo rui.crt.
Baixe o certificado usando um navegador da web. Se você estiver usando o Internet Explorer, clique com o botão direito do mouse no Internet Explorer e escolha “Executar como administrador” para baixar ou instalar o certificado.
- Abra seu navegador da web e faça uma conexão web segura com o servidor vCenter (por exemplo, https://server1.domain1.com).
- Aceite os avisos de segurança.
- Clique na barra de endereço que exibe o erro de certificado.
- Visualize o certificado e clique na guia “Detalhes”.
- Selecione “Copiar para arquivo e exportar no formato .CER”, fornecendo um nome quando solicitado.
- Salve o certificado exportado.
- Navegue até o local do certificado exportado e abra o arquivo .CER.
Importe diretamente do Internet Explorer executando como administrador.
- Abra seu navegador da web e faça uma conexão web segura com o servidor vCenter (por exemplo, https://server1.domain1.com).
- Aceite os avisos de segurança.
- Clique na barra de endereço que exibe o erro de certificado.
- Visualize o certificado.
-
Importe o certificado para o armazenamento de certificados em cada um dos seus Controllers.
- Clique na opção “Instalar certificado”, selecione “Máquina local” e clique em “Avançar”.
- Selecione “Colocar todos os certificados no seguinte armazenamento” e clique em “Procurar”. Selecione “Pessoas Confiáveis” e clique em “OK”. Clique em “Avançar” e depois em “Concluir”.
Se você alterar o nome do servidor vSphere após a instalação, deverá gerar um novo certificado autoassinado nesse servidor antes de importar o novo certificado.
Onde ir em seguida
- Se você estiver no processo de implantação inicial, consulte Criar catálogos de máquinas
- Para informações específicas do VMware, consulte Criar um catálogo VMware