Conexão com o VMware
Criar e gerenciar conexões e recursos descreve os assistentes que criam uma conexão. As informações a seguir abrangem detalhes específicos dos ambientes de virtualização VMware.
Nota:
Antes de criar uma conexão com o VMware, você precisa primeiro concluir a configuração da sua conta VMware como um local de recurso. Consulte Ambientes de virtualização VMware.
Criar uma conexão
No assistente de criação de conexão:
- Selecione o tipo de conexão VMware.
- Especifique o endereço do ponto de acesso para o SDK do vCenter.
- Especifique as credenciais para uma conta de usuário VMware que você configurou anteriormente e que tem permissões para criar VMs. Especifique o nome de usuário no formato domínio/nome_de_usuário.
Impressão digital SSL do VMware
O recurso de impressão digital SSL do VMware elimina a necessidade de criar manualmente uma conexão de host com um hipervisor VMware vSphere. Não é mais necessário criar manualmente uma relação de confiança entre os Delivery Controllers no Site e o certificado do hipervisor antes de criar uma conexão.
O recurso de impressão digital SSL do VMware armazena a impressão digital do certificado não confiável no banco de dados do Site. Essa configuração garante que o hipervisor possa ser continuamente identificado como confiável pelo Citrix Virtual Apps and Desktops™, mesmo que não pelos Controllers.
Ao criar uma conexão de host vSphere no Studio, uma caixa de diálogo permite que você visualize o certificado da máquina à qual está se conectando. Você pode então escolher se deseja confiar nele.
Privilégios necessários
Crie uma conta de usuário VMware e uma ou mais funções VMware com um conjunto ou todas as permissões listadas neste artigo. Baseie a criação das funções no nível específico de granularidade exigido sobre as permissões do usuário para solicitar as várias operações do Citrix DaaS™ a qualquer momento. Para conceder as permissões específicas do usuário a qualquer momento, associe-as à função respectiva, no nível do data center, no mínimo, com a opção Propagar para filhos selecionada. No entanto, para permissões de StorageProfile e uma permissão específica de Tags, aplique as permissões no nível do Root vCenter Server, sem Propagar para Filhos. Consulte as notas em cada uma dessas tabelas.
As tabelas a seguir mostram os mapeamentos entre as operações do Citrix Virtual Apps and Desktops e os privilégios mínimos necessários do VMware.
Nota:
O nome de exibição da lista de permissões, especificamente a Interface do Usuário, é diferente para algumas versões do vSphere. Por exemplo, no vSphere 6.7, a permissão Interface do Usuário é Alterar Memória e Alterar Configurações, em vez de Configurações e Memória, conforme descrito nos privilégios necessários observados nesta página.
Adicionar conexões e recursos
| SDK | Interface do usuário |
|---|---|
| System. Anonymous, System. Read, e System.View | Adicionado automaticamente. Pode usar a função somente leitura integrada. |
Gerenciamento de energia
| SDK | Interface do usuário |
|---|---|
| VirtualMachine.Interact.PowerOff | Máquina virtual > Interação > Desligar |
| VirtualMachine.Interact.PowerOn | Máquina virtual > Interação > Ligar |
| VirtualMachine.Interact.Reset | Máquina virtual > Interação > Reiniciar |
| VirtualMachine.Interact.Suspend | Máquina virtual > Interação > Suspender |
| Datastore.Browse | Datastore > Navegar no datastore |
Provisionar máquinas (Machine Creation Services™)
Para provisionar máquinas usando o MCS, as seguintes permissões são obrigatórias:
| SDK | Interface do usuário |
|---|---|
| Datastore.AllocateSpace | Datastore > Alocar espaço |
| Datastore.Browse | Datastore > Navegar no datastore |
| Datastore.FileManagement | Datastore > Operações de arquivo de baixo nível |
| Network.Assign | Rede > Atribuir rede |
| Resource.AssignVMToPool | Recurso > Atribuir máquina virtual ao pool de recursos |
| VirtualMachine.Config.AddExistingDisk | Máquina virtual > Configuração > Adicionar disco existente |
| VirtualMachine.Config.AddNewDisk | Máquina virtual > Configuração > Adicionar novo disco |
| Virtual machine.Config.Add or remove device | Máquina virtual > Configuração > Adicionar ou remover dispositivo |
| VirtualMachine.Config.AdvancedConfig | Máquina virtual > Configuração > Avançado |
| VirtualMachine.Config.RemoveDisk | Máquina virtual > Configuração > Remover disco |
| VirtualMachine.Config.CPUCount | Máquina virtual > Configuração > Alterar contagem de CPU |
| VirtualMachine.Config.Memory | Máquina virtual > Configuração > Alterar memória |
| VirtualMachine.Config.Settings | Máquina virtual > Configuração > Alterar configurações |
| VirtualMachine.Interact.PowerOff | Máquina virtual > Interação > Desligar |
| VirtualMachine.Interact.PowerOn | Máquina virtual > Interação > Ligar |
| VirtualMachine.Interact.Reset | Máquina virtual > Interação > Reiniciar |
| VirtualMachine.Interact.Suspend | Máquina virtual > Interação > Suspender |
| VirtualMachine.Inventory.CreateFromExisting | Máquina virtual > Inventário > Criar a partir de existente |
| VirtualMachine.Inventory.Create | Máquina virtual > Inventário > Criar novo |
| VirtualMachine.Inventory.Delete | Máquina virtual > Inventário > Remover |
| VirtualMachine.Provisioning.Clone | Máquina virtual > Provisionamento > Clonar máquina virtual |
| VirtualMachine.State.CreateSnapshot | vSphere 5.0, Update 2, vSphere 5.1, Update 1 e vSphere 6.x, Update 1: Máquina virtual > Estado > Criar snapshot; vSphere 5.5: Máquina virtual > Gerenciamento de snapshot > Criar snapshot |
Atualização e reversão de imagem
| SDK | Interface do usuário |
|---|---|
| Datastore.AllocateSpace | Datastore > Alocar espaço |
| Datastore.Browse | Datastore > Navegar no datastore |
| Datastore.FileManagement | Datastore > Operações de arquivo de baixo nível |
| Network.Assign | Rede > Atribuir rede |
| Resource.AssignVMToPool | Recurso > Atribuir máquina virtual ao pool de recursos |
| VirtualMachine.Config.AddExistingDisk | Máquina virtual > Configuração > Adicionar disco existente |
| VirtualMachine.Config.AddNewDisk | Máquina virtual > Configuração > Adicionar novo disco |
| VirtualMachine.Config.AdvancedConfig | Máquina virtual > Configuração > Avançado |
| VirtualMachine.Config.RemoveDisk | Máquina virtual > Configuração > Remover disco |
| VirtualMachine.Interact.PowerOff | Máquina virtual > Interação > Desligar |
| VirtualMachine.Interact.PowerOn | Máquina virtual > Interação > Ligar |
| VirtualMachine.Interact.Reset | Máquina virtual > Interação > Reiniciar |
| VirtualMachine.Inventory.CreateFromExisting | Máquina virtual > Inventário > Criar a partir de existente |
| VirtualMachine.Inventory.Create | Máquina virtual > Inventário > Criar novo |
| VirtualMachine.Inventory.Delete | Máquina virtual > Inventário > Remover |
| VirtualMachine.Provisioning.Clone | Máquina virtual > Provisionamento > Clonar máquina virtual |
Compartilhar imagens preparadas
Para compartilhar imagens preparadas entre diferentes conexões de hospedagem, as seguintes permissões são obrigatórias para a conexão de hospedagem de destino:
| SDK | Interface do usuário |
|---|---|
| Datastore.AllocateSpace | Datastore > Alocar espaço |
| Network.Assign | Rede > Atribuir rede |
| Resource.AssignVMToPool | Recurso > Atribuir máquina virtual ao pool de recursos |
| VirtualMachine.Config.Add or remove device | Máquina virtual > Configuração > Adicionar ou remover dispositivo |
| VirtualMachine.Config.RemoveDisk | Máquina virtual > Configuração > Remover disco |
| VirtualMachine.Config.Settings | Máquina virtual > Configuração > Alterar configurações |
| VirtualMachine.Inventory.Register | Máquina virtual > Inventário > Registrar |
| VirtualMachine.Inventory.Delete | Máquina virtual > Inventário > Remover |
Excluir máquinas provisionadas
| SDK | Interface do usuário |
|---|---|
| Datastore.Browse | Datastore > Navegar no datastore |
| Datastore.FileManagement | Datastore > Operações de arquivo de baixo nível |
| VirtualMachine.Config.RemoveDisk | Máquina virtual > Configuração > Remover disco |
| VirtualMachine.Interact.PowerOff | Máquina virtual > Interação > Desligar |
| VirtualMachine.Inventory.Delete | Máquina virtual > Inventário > Remover |
Perfil de Armazenamento (vSAN)
Para visualizar, criar ou excluir políticas de armazenamento durante a criação de catálogos em um datastore vSAN, as seguintes permissões são obrigatórias:
| SDK | Interface do usuário |
|---|---|
| StorageProfile.Update | ARMAZENAMENTO ORIENTADO POR PERFIL > Atualização de armazenamento orientado por perfil. Para vSphere 8: Políticas de armazenamento de VM > Atualizar políticas de armazenamento de VM |
| StorageProfile.View | ARMAZENAMENTO ORIENTADO POR PERFIL > Visualização de armazenamento orientado por perfil. Para vSphere 8: Políticas de armazenamento de VM > Visualizar políticas de armazenamento de VM |
Nota:
Aplique as permissões de perfil de armazenamento no nível do Root vCenter Server, sem Propagar para Filhos.
Tags e Atributos Personalizados
Tags e atributos personalizados permitem anexar metadados às VMs criadas no inventário do vSphere e facilitam a pesquisa e a filtragem desses objetos. Para criar, editar, atribuir e excluir tags ou categorias, as seguintes permissões são obrigatórias:
| SDK | Interface do usuário |
|---|---|
| InventoryService.Tagging.CreateTag | Marcação vSphere > Criar Tag vSphere |
| InventoryService.Tagging.CreateCategory | Marcação vSphere > Criar Categoria de Tag vSphere |
| InventoryService.Tagging.EditTag | Marcação vSphere > Editar Tag vSphere |
| InventoryService.Tagging.EditCategory | Marcação vSphere > Editar Categoria de Tag vSphere |
| InventoryService.Tagging.DeleteTag | Marcação vSphere > Excluir Tag vSphere |
| InventoryService.Tagging.DeleteCategory | Marcação vSphere > Excluir Categoria de Tag vSphere |
| InventoryService.Tagging.AttachTag | Marcação vSphere > Atribuir ou Desatribuir Tag vSphere |
| InventoryService.Tagging.ObjectAttachable | Marcação vSphere > Atribuir ou Desatribuir Tag vSphere no Objeto |
| Global.ManageCustomFields | Global > Gerenciar atributos personalizados |
| Global.SetCustomField | Global > Definir atributo personalizado |
Nota:
- Quando o MCS cria um catálogo de máquinas, ele marca as VMs de destino com tags de nome especiais. Essas tags diferenciam a imagem mestre das VMs criadas pelo MCS e impedem o uso de VMs criadas pelo MCS para preparação de imagem. Você pode identificar a diferença pelo valor do atributo
XdProvisionedno vCenter. O atributo é definido como True se o MCS criar VMs.- Aplique a permissão
InventoryService.Tagging.AttachTagno nível do Root vCenter Server, sem Propagar para Filhos.
Operações criptográficas
Os privilégios de operações criptográficas controlam quem pode realizar qual tipo de operação criptográfica em qual tipo de objeto. O vSphere Native Key Provider usa os privilégios Cryptographer.*. As seguintes permissões mínimas são necessárias para operações criptográficas:
Nota:
Essas permissões são necessárias para criar catálogos de máquinas MCS com VMs equipadas com vTPM.
| SDK | Interface do usuário |
|---|---|
| Cryptographer.Access | Privilégios > Todos os Privilégios > Operações criptográficas > Acesso Direto |
| Cryptographer.AddDisk | Privilégios > Todos os Privilégios > Operações criptográficas > Adicionar disco |
| Cryptographer.Clone | Privilégios > Todos os Privilégios > Operações criptográficas > Clonar |
| Cryptographer.Encrypt | Privilégios > Todos os Privilégios > Operações criptográficas > Criptografar |
| Cryptographer.EncryptNew | Privilégios > Todos os Privilégios > Operações criptográficas > Criptografar novo |
| Cryptographer.Decrypt | Privilégios > Todos os Privilégios > Operações criptográficas > Descriptografar |
| Cryptographer.Migrate | Privilégios > Todos os Privilégios > Operações criptográficas > Migrar |
| Cryptographer.ReadKeyServersInfo | Privilégios > Todos os Privilégios > Operações criptográficas > Ler informações do KMS |
Provisionar máquinas (Citrix Provisioning™)
Essas permissões para clonar e implantar um modelo são necessárias para provisionar VMs usando o Assistente de Configuração do Citrix Virtual Apps and Desktops e o Assistente de Exportação de Dispositivos através do console do Citrix Provisioning. Defina as permissões ao criar uma conexão de hospedagem. Você precisa de todas as permissões de Provisionar máquinas (Machine Creation Services) e as seguintes.
| SDK | Interface do usuário |
|---|---|
| VirtualMachine.Config.AddRemoveDevice | Máquina virtual > Configuração > Adicionar ou remover dispositivo |
| VirtualMachine.Config.CPUCount | Máquina virtual > Configuração > Alterar contagem de CPU |
| VirtualMachine.Config.Memory | Máquina virtual > Configuração > Memória |
| VirtualMachine.Config.Settings | Máquina virtual > Configuração > Configurações |
| VirtualMachine.Provisioning.CloneTemplate | Máquina virtual > Provisionamento > Clonar modelo |
| VirtualMachine.Provisioning.DeployTemplate | Máquina virtual > Provisionamento > Implantar modelo |
| VApp.Export | vApp > Exportar |
Nota:
O
VApp.Exporté necessário para criar catálogos de máquinas MCS usando o perfil de máquina.
Obter e importar um certificado
Para proteger as comunicações do vSphere, a Citrix® recomenda que você use HTTPS em vez de HTTP.
HTTPS requer certificados digitais. Use um certificado digital emitido por uma autoridade de certificação que atenda à política de segurança da sua organização.
Se você não conseguir usar um certificado digital emitido por uma autoridade de certificação, poderá usar o certificado autoassinado instalado pelo VMware. Use este método apenas se a política de segurança da sua organização permitir. Adicione o certificado VMware vCenter a cada Delivery Controller.
-
Adicione o nome de domínio totalmente qualificado (FQDN) do computador que executa o vCenter Server ao arquivo hosts nesse servidor, em
%SystemRoot%/WINDOWS/system32/Drivers/etc/. Esta etapa é necessária apenas se o FQDN do computador que executa o vCenter Server ainda não estiver presente no sistema de nomes de domínio. -
Obtenha o certificado do vCenter usando qualquer um dos três métodos a seguir:
Do servidor vCenter.
- Copie o arquivo rui.crt do servidor vCenter para um local acessível nos seus Delivery Controllers.
- No Controller, navegue até o local do certificado exportado e abra o arquivo rui.crt.
Baixe o certificado usando um navegador da web. Se você estiver usando o Internet Explorer, clique com o botão direito do mouse no Internet Explorer e escolha Executar como administrador para baixar ou instalar o certificado.
- Abra seu navegador da web e faça uma conexão web segura com o servidor vCenter (por exemplo https://server1.domain1.com).
- Aceite os avisos de segurança.
- Clique na barra de endereço que exibe o erro de certificado.
- Visualize o certificado e clique na guia “Detalhes”.
- Selecione “Copiar para arquivo e exportar no formato .CER”, fornecendo um nome quando solicitado.
- Salve o certificado exportado.
- Navegue até o local do certificado exportado e abra o arquivo .CER.
Importe diretamente do Internet Explorer executando como administrador.
- Abra seu navegador da web e faça uma conexão web segura com o servidor vCenter (por exemplo https://server1.domain1.com).
- Aceite os avisos de segurança.
- Clique na barra de endereço que exibe o erro de certificado.
- Visualize o certificado.
-
Importe o certificado para o armazenamento de certificados em cada um dos seus Controllers.
- Clique na opção “Instalar certificado”, selecione “Computador Local” e, em seguida, clique em “Avançar”.
- Selecione “Colocar todos os certificados no seguinte armazenamento” e, em seguida, clique em “Procurar”. Selecione “Pessoas Confiáveis” e, em seguida, clique em “OK”. Clique em “Avançar” e, em seguida, clique em “Concluir”.
Se você alterar o nome do servidor vSphere após a instalação, deverá gerar um novo certificado autoassinado nesse servidor antes de importar o novo certificado.
Onde ir em seguida
- Se você estiver no processo de implantação inicial, consulte Criar catálogos de máquinas
- Para informações específicas do VMware, consulte Criar um catálogo VMware