This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
连接到 VMware
创建和管理连接和资源介绍了用于创建连接的向导。以下信息涵盖了 VMware 虚拟化环境特有的详细信息。
注意:
在创建到 VMware 的连接之前,您需要首先完成将 VMware 帐户设置为资源位置。请参阅VMware 虚拟化环境。
所需权限
创建一个 VMware 用户帐户和一个或多个 VMware 角色,其中包含本文中列出的一组或所有权限。根据随时请求各种 Citrix DaaS™ 操作所需的对用户权限的特定粒度级别来创建角色。要在任何时候授予用户特定权限,请将它们与相应角色关联,至少在数据中心级别,并选中传播到子项选项。但是,对于 StorageProfile 权限和特定的 Tags 权限,请在根 vCenter Server 级别应用权限,而不选中传播到子项。请参阅这些表中的注释。
下表显示了 Citrix DaaS 操作与所需最低 VMware 权限之间的映射。
添加连接和资源
| SDK | 用户界面 |
|---|---|
| System. Anonymous, System. Read, and System.View | 自动添加。可以使用内置的只读角色。 |
电源管理
| SDK | 用户界面 |
|---|---|
| VirtualMachine.Interact.PowerOff | 虚拟机 > 交互 > 关闭电源 |
| VirtualMachine.Interact.PowerOn | 虚拟机 > 交互 > 打开电源 |
| VirtualMachine.Interact.Reset | 虚拟机 > 交互 > 重置 |
| VirtualMachine.Interact.Suspend | 虚拟机 > 交互 > 暂停 |
| Datastore.Browse | 数据存储 > 浏览数据存储 |
预配计算机 (Machine Creation Services™)
要使用 MCS 预配计算机,以下权限是强制性的:
| SDK | 用户界面 |
|---|---|
| Datastore.AllocateSpace | 数据存储 > 分配空间 |
| Datastore.Browse | 数据存储 > 浏览数据存储 |
| Datastore.FileManagement | 数据存储 > 低级别文件操作 |
| Network.Assign | 网络 > 分配网络 |
| Resource.AssignVMToPool | 资源 > 将虚拟机分配到资源池 |
| VirtualMachine.Config.AddExistingDisk | 虚拟机 > 配置 > 添加现有磁盘 |
| VirtualMachine.Config.AddNewDisk | 虚拟机 > 配置 > 添加新磁盘 |
| Virtual machine.Config.Add or remove device | 虚拟机 > 配置 > 添加或移除设备 |
| VirtualMachine.Config.AdvancedConfig | 虚拟机 > 配置 > 高级 |
| VirtualMachine.Config.RemoveDisk | 虚拟机 > 配置 > 移除磁盘 |
| VirtualMachine.Config.CPUCount | 虚拟机 > 配置 > 更改 CPU 计数 |
| VirtualMachine.Config.Memory | 虚拟机 > 配置 > 更改内存 |
| VirtualMachine.Config.Settings | 虚拟机 > 配置 > 更改设置 |
| VirtualMachine.Interact.PowerOff | 虚拟机 > 交互 > 关闭电源 |
| VirtualMachine.Interact.PowerOn | 虚拟机 > 交互 > 打开电源 |
| VirtualMachine.Interact.Reset | 虚拟机 > 交互 > 重置 |
| VirtualMachine.Interact.Suspend | 虚拟机 > 交互 > 暂停 |
| VirtualMachine.Inventory.CreateFromExisting | 虚拟机 > 清单 > 从现有创建 |
| VirtualMachine.Inventory.Create | 虚拟机 > 清单 > 创建新项 |
| VirtualMachine.Inventory.Delete | 虚拟机 > 清单 > 移除 |
| VirtualMachine.Provisioning.Clone | 虚拟机 > 预配 > 克隆虚拟机 |
| VirtualMachine.State.CreateSnapshot | vSphere 5.0 Update 2、vSphere 5.1 Update 1 和 vSphere 6.x Update 1:虚拟机 > 状态 > 创建快照;vSphere 5.5:虚拟机 > 快照管理 > 创建快照;vSphere 8.0:虚拟机 > 快照管理 > 创建快照 |
| VirtualMachine.Config.Rename | 虚拟机 > 配置 > 重命名 |
映像更新和回滚
| SDK | 用户界面 |
|---|---|
| Datastore.AllocateSpace | 数据存储 > 分配空间 |
| Datastore.Browse | 数据存储 > 浏览数据存储 |
| Datastore.FileManagement | 数据存储 > 低级别文件操作 |
| Network.Assign | 网络 > 分配网络 |
| Resource.AssignVMToPool | 资源 > 将虚拟机分配到资源池 |
| VirtualMachine.Config.AddExistingDisk | 虚拟机 > 配置 > 添加现有磁盘 |
| VirtualMachine.Config.AddNewDisk | 虚拟机 > 配置 > 添加新磁盘 |
| VirtualMachine.Config.AdvancedConfig | 虚拟机 > 配置 > 高级 |
| VirtualMachine.Config.RemoveDisk | 虚拟机 > 配置 > 移除磁盘 |
| VirtualMachine.Interact.PowerOff | 虚拟机 > 交互 > 关闭电源 |
| VirtualMachine.Interact.PowerOn | 虚拟机 > 交互 > 打开电源 |
| VirtualMachine.Interact.Reset | 虚拟机 > 交互 > 重置 |
| VirtualMachine.Interact.Suspend | 虚拟机 > 交互 > 暂停 |
| VirtualMachine.Inventory.CreateFromExisting | 虚拟机 > 清单 > 从现有创建 |
| VirtualMachine.Inventory.Create | 虚拟机 > 清单 > 创建新项 |
| VirtualMachine.Inventory.Delete | 虚拟机 > 清单 > 移除 |
| VirtualMachine.Provisioning.Clone | 虚拟机 > 预配 > 克隆虚拟机 |
共享准备好的映像
要在不同的托管连接之间共享准备好的映像,目标托管连接需要以下强制性权限:
| SDK | 用户界面 |
|---|---|
| Datastore.AllocateSpace | 数据存储 > 分配空间 |
| Network.Assign | 网络 > 分配网络 |
| Resource.AssignVMToPool | 资源 > 将虚拟机分配到资源池 |
| VirtualMachine.Config.Add or remove device | 虚拟机 > 配置 > 添加或移除设备 |
| VirtualMachine.Config.RemoveDisk | 虚拟机 > 配置 > 移除磁盘 |
| VirtualMachine.Config.Settings | 虚拟机 > 配置 > 更改设置 |
| VirtualMachine.Inventory.Register | 虚拟机 > 清单 > 注册 |
| VirtualMachine.Inventory.Delete | 虚拟机 > 清单 > 移除 |
| VirtualMachine.Provisioning.MarkAsTemplate | 虚拟机 > 预配 > 标记为模板 |
| VirtualMachine.Provisioning.MarkAsVM | 虚拟机 > 预配 > 标记为虚拟机 |
| Host.Config.Network | 主机 > 配置 > 网络配置 |
删除预配的计算机
| SDK | 用户界面 |
|---|---|
| Datastore.Browse | 数据存储 > 浏览数据存储 |
| Datastore.FileManagement | 数据存储 > 低级别文件操作 |
| VirtualMachine.Config.RemoveDisk | 虚拟机 > 配置 > 移除磁盘 |
| VirtualMachine.Interact.PowerOff | 虚拟机 > 交互 > 关闭电源 |
| VirtualMachine.Inventory.Delete | 虚拟机 > 清单 > 移除 |
存储配置文件
要在 vSAN 或 vVol 数据存储上创建目录期间查看、创建或删除存储策略,以下权限是强制性的:
| SDK | 用户界面 |
|---|---|
| StorageProfile.Update | 配置文件驱动存储 > 配置文件驱动存储更新。对于 vSphere 8:VM 存储策略 > 更新 VM 存储策略 |
| StorageProfile.View | 配置文件驱动存储 > 配置文件驱动存储视图。对于 vSphere 8:VM 存储策略 > 查看 VM 存储策略 |
注意:
在根 vCenter Server 级别应用存储配置文件权限,不勾选 传播到子对象。
标签和自定义属性
标签和自定义属性允许您将元数据附加到 vSphere 清单中创建的 VM,并使搜索和筛选这些对象变得更轻松。要创建、编辑、分配和删除标签或类别,需要以下权限:
| SDK | 用户界面 |
|---|---|
| InventoryService.Tagging.CreateTag | vSphere 标记 > 创建 vSphere 标签 |
| InventoryService.Tagging.CreateCategory | vSphere 标记 > 创建 vSphere 标签类别 |
| InventoryService.Tagging.EditTag | vSphere 标记 > 编辑 vSphere 标签 |
| InventoryService.Tagging.EditCategory | vSphere 标记 > 编辑 vSphere 标签类别 |
| InventoryService.Tagging.DeleteTag | vSphere 标记 > 删除 vSphere 标签 |
| InventoryService.Tagging.DeleteCategory | vSphere 标记 > 删除 vSphere 标签类别 |
| InventoryService.Tagging.AttachTag | vSphere 标记 > 分配或取消分配 vSphere 标签 |
| InventoryService.Tagging.ObjectAttachable | vSphere 标记 > 在对象上分配或取消分配 vSphere 标签 |
| Global.ManageCustomFields | 全局 > 管理自定义属性 |
| Global.SetCustomField | 全局 > 设置自定义属性 |
注意:
- 当 MCS 创建计算机目录时,它会使用特殊名称标签标记目标 VM。这些标签将主映像与 MCS 创建的 VM 区分开来,并防止使用 MCS 创建的 VM 进行映像准备。您可以通过 vCenter 中
XdProvisioned属性的值来识别差异。如果 MCS 创建 VM,则该属性设置为 True。- 在根 vCenter Server 级别应用
InventoryService.Tagging.AttachTag权限,不勾选 传播到子对象。
加密操作
加密操作权限控制谁可以在哪种类型的对象上执行哪种类型的加密操作。vSphere 本机密钥提供程序使用 Cryptographer.* 权限。加密操作需要以下最低权限:
注意:
> 创建配备 vTPM 的 VM 的 MCS 计算机目录需要这些权限。
| SDK | 用户界面 |
|---|---|
| Cryptographer.Access | 权限 > 所有权限 > 加密操作 > 直接访问 |
| Cryptographer.AddDisk | 权限 > 所有权限 > 加密操作 > 添加磁盘 |
| Cryptographer.Clone | 权限 > 所有权限 > 加密操作 > 克隆 |
| Cryptographer.Encrypt | 权限 > 所有权限 > 加密操作 > 加密 |
| Cryptographer.EncryptNew | 权限 > 所有权限 > 加密操作 > 加密新内容 |
| Cryptographer.Decrypt | 权限 > 所有权限 > 加密操作 > 解密 |
| Cryptographer.Migrate | 权限 > 所有权限 > 加密操作 > 迁移 |
| Cryptographer.ReadKeyServersInfo | 权限 > 所有权限 > 加密操作 > 读取 KMS 信息 |
预配计算机 (Citrix Provisioning™)
使用 Citrix Virtual Apps and Desktops™ 安装向导和导出设备向导通过 Citrix Provisioning 控制台预配 VM 需要克隆和部署模板的这些权限。创建主机连接时设置权限。 您需要预配计算机(Machine Creation Services)中的所有权限以及以下权限。
| SDK | 用户界面 |
|---|---|
| VirtualMachine.Config.AddRemoveDevice | 虚拟机 > 配置 > 添加或移除设备 |
| VirtualMachine.Config.CPUCount | 虚拟机 > 配置 > 更改 CPU 计数 |
| VirtualMachine.Config.Memory | 虚拟机 > 配置 > 内存 |
| VirtualMachine.Config.Settings | 虚拟机 > 配置 > 设置 |
| VirtualMachine.Provisioning.CloneTemplate | 虚拟机 > 预配 > 克隆模板 |
| VirtualMachine.Provisioning.DeployTemplate | 虚拟机 > 预配 > 部署模板 |
| VApp.Export | vApp > 导出 |
注意:
使用计算机配置文件创建 MCS 计算机目录需要
VApp.Export。
保护与 VMware 环境的连接
使用 HTTPS/SSL 连接到 vCenter 要求连接受 Citrix DaaS 信任。
有两种选择:
- (推荐)Citrix DaaS 数据库已安装 SSL 指纹。Citrix DaaS 在每个 Cloud Connector 上使用此指纹来信任与 vCenter 的连接。
- (备选)每个 Cloud Connector 都信任 vCenter 证书,并且 Cloud Connector 上的服务会重用此信任。此信任可能来自:
- 由证书颁发机构颁发并受 Windows 信任的 vCenter 证书,从而在 Windows 和 vCenter 之间建立信任。
- 安装在 Windows 上的 vCenter 证书,从而在 Windows 和 vCenter 之间建立信任。
注意:
VMware Cloud 及其合作伙伴解决方案不需要 vCenter 证书和 VMware SSL 指纹。
VMware SSL 指纹
VMware SSL 指纹功能解决了在创建到 VMware vSphere 虚拟机管理程序的宿主连接时经常报告的错误。以前,管理员必须在创建连接之前,手动在站点中由 Citrix 管理的 Delivery Controller 与虚拟机管理程序的证书之间建立信任关系。VMware SSL 指纹功能消除了这一手动要求:未受信任证书的指纹存储在站点数据库中,以便虚拟机管理程序可以被 Citrix DaaS 持续识别为受信任,即使 Delivery Controller 不信任它。
创建 vSphere 宿主连接时,对话框允许您查看所连接计算机的证书。然后您可以选择是否信任它。
VMware SSL 指纹稍后可以使用 PowerShell SDK Set-Item -LiteralPath "<FullPath_to_connection>" -username $cred.username -Securepassword $cred.password -SslThumbprint "<New ThumbPrint>" -hypervisorAddress <vcenter URL> 进行更新。
提示:
证书指纹必须以大写字母书写。
获取并导入证书
为了保护 vSphere 通信,Citrix® 建议您使用 HTTPS 而不是 HTTP。HTTPS 需要数字证书。Citrix 建议您根据组织的安全性策略使用由证书颁发机构颁发的数字证书。
如果您无法使用由证书颁发机构颁发的数字证书,并且您的组织安全策略允许,则可以使用 VMware 安装的自签名证书。将 VMware vCenter 证书添加到每个 Cloud Connector。
-
将运行 vCenter Server 的计算机的完全限定域名 (FQDN) 添加到该服务器上的主机文件,该文件位于 %SystemRoot%/WINDOWS/system32/Drivers/etc/。仅当运行 vCenter Server 的计算机的 FQDN 尚未存在于域名系统中时,才需要执行此步骤。
-
使用以下三种方法之一获取 vCenter 证书:
从 vCenter 服务器:
- 将文件 rui.crt 从 vCenter 服务器复制到 Cloud Connector 上可访问的位置。
- 在 Cloud Connector 上,导航到导出证书的位置并打开 rui.crt 文件。
使用 Web 浏览器下载证书: 如果您使用的是 Internet Explorer,则根据您的用户帐户,您必须右键单击 Internet Explorer 并选择“以管理员身份运行”才能下载或安装证书。
- 打开您的 Web 浏览器并与 vCenter 服务器建立安全 Web 连接(例如 https://server1.domain1.com)。
- 接受安全警告。
- 单击显示证书错误的地址栏。
- 单击“证书无效”,然后单击“详细信息”选项卡。
- 单击“导出…”
- 保存导出的证书。
- 导航到导出证书的位置并打开 .CER 文件。
直接从以管理员身份运行的 Internet Explorer 导入:
- 打开您的 Web 浏览器并与 vCenter 服务器建立安全 Web 连接(例如 https://server1.domain1.com)。
- 接受安全警告。
- 单击显示证书错误的地址栏。
- 查看证书。
-
将证书导入到每个 Cloud Connector 上的证书存储中。
- 单击“安装证书”,选择“本地计算机”,然后单击“下一步”。
- 选择“将所有证书放入以下存储”,然后单击“浏览”。在更高版本中:选择“受信任的人”,然后单击“确定”。单击“下一步”,然后单击“完成”。
重要提示:
如果您在安装后更改 vSphere 服务器的名称,则必须在该服务器上生成新的自签名证书,然后才能导入新证书。
后续步骤
- 如果您处于初始部署过程中,请参阅创建计算机目录。
- 有关 VMware 的特定信息,请参阅创建 VMware 目录。
更多信息
共享
共享
在本文中
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.