Citrix DaaS

与 VMware 的连接

创建和管理连接和资源介绍了用于创建连接的向导。以下信息涵盖了特定于 VMware 虚拟化环境的详细信息。

注意:

在创建与 VMware 的连接之前,需要先完成将 VMware 帐户设置为资源位置的过程。请参阅 VMware 虚拟化环境

所需的权限

创建一个 VMware 用户帐户和一个或多个 VMware 角色,该角色具有本文中列出的一组或全部权限。基于用户权限所需的特定粒度级别进行角色创建,以随时请求各种 Citrix DaaS 操作。要随时授予用户特定的权限,请至少在数据中心级别将其与相应的角色相关联,并选择 Propagate to children(传播到子代)选项。但是,对于 StorageProfile 权限和特定 Tags 权限,请在 Root vCenter Server 级别应用权限,而不必传播到子级。请参阅每张表格中的注释。

下表显示了 Citrix DaaS 操作与 VMware 所需的最低权限之间的映射。

添加连接和资源

SDK 用户界面
System.Anonymous、System.Read 和 System.View 自动添加。可以使用内置的只读角色。

电源管理

SDK 用户界面
VirtualMachine.Interact.PowerOff 虚拟机 > 交互 > 关闭
VirtualMachine.Interact.PowerOn 虚拟机 > 交互 > 打开
VirtualMachine.Interact.Reset 虚拟机 > 交互 > 重置
VirtualMachine.Interact.Suspend 虚拟机 > 交互 > 挂起
Datastore.Browse 数据存储 > 浏览数据存储

预配计算机 (Machine Creation Services)

要使用 MCS 预配计算机,必须具备以下权限:

SDK 用户界面
Datastore.AllocateSpace 数据存储 > 分配空间
Datastore.Browse 数据存储 > 浏览数据存储
Datastore.FileManagement 数据存储 > 低级别文件操作
Network.Assign 网络 > 分配网络
Resource.AssignVMToPool 资源 > 将虚拟机分配到资源池
VirtualMachine.Config.AddExistingDisk 虚拟机 > 配置 > 添加现有磁盘
VirtualMachine.Config.AddNewDisk 虚拟机 > 配置 > 添加新磁盘
Virtual machine.Config.Add 或删除设备 虚拟机 > 配置 > 添加或删除设备
VirtualMachine.Config.AdvancedConfig 虚拟机 > 配置 > 高级
VirtualMachine.Config.RemoveDisk 虚拟机 > 配置 > 删除磁盘
VirtualMachine.Config.CPUCount 虚拟机 > 配置 > 更改 CPU 数量
VirtualMachine.Config.Memory 虚拟机 > 配置 > 更改内存
VirtualMachine.Config.Settings 虚拟机 > 配置 > 更改设置
VirtualMachine.Interact.PowerOff 虚拟机 > 交互 > 关闭
VirtualMachine.Interact.PowerOn 虚拟机 > 交互 > 打开
VirtualMachine.Interact.Reset 虚拟机 > 交互 > 重置
VirtualMachine.Interact.Suspend 虚拟机 > 交互 > 挂起
VirtualMachine.Inventory.CreateFromExisting 虚拟机 > 清单 > 从现有项创建
VirtualMachine.Inventory.Create 虚拟机 > 清单 > 新建
VirtualMachine.Inventory.Delete 虚拟机 > 清单 > 删除
VirtualMachine.Provisioning.Clone 虚拟机 > 预配 > 克隆虚拟机
VirtualMachine.State.CreateSnapshot vSphere 5.0,更新 2,vSphere 5.1,更新 1,以及 vSphere 6.x,更新 1:虚拟机 > 状态 > 创建快照;vSphere 5.5:虚拟机 > 快照管理 > 创建快照;vSphere 8.0:虚拟机 > 快照管理 > 创建快照

映像更新和回滚

SDK 用户界面
Datastore.AllocateSpace 数据存储 > 分配空间
Datastore.Browse 数据存储 > 浏览数据存储
Datastore.FileManagement 数据存储 > 低级别文件操作
Network.Assign 网络 > 分配网络
Resource.AssignVMToPool 资源 > 将虚拟机分配到资源池
VirtualMachine.Config.AddExistingDisk 虚拟机 > 配置 > 添加现有磁盘
VirtualMachine.Config.AddNewDisk 虚拟机 > 配置 > 添加新磁盘
VirtualMachine.Config.AdvancedConfig 虚拟机 > 配置 > 高级
VirtualMachine.Config.RemoveDisk 虚拟机 > 配置 > 删除磁盘
VirtualMachine.Interact.PowerOff 虚拟机 > 交互 > 关闭
VirtualMachine.Interact.PowerOn 虚拟机 > 交互 > 打开
VirtualMachine.Interact.Reset 虚拟机 > 交互 > 重置
VirtualMachine.Inventory.CreateFromExisting 虚拟机 > 清单 > 从现有项创建
VirtualMachine.Inventory.Create 虚拟机 > 清单 > 新建
VirtualMachine.Inventory.Delete 虚拟机 > 清单 > 删除
VirtualMachine.Provisioning.Clone 虚拟机 > 预配 > 克隆虚拟机

删除预配的计算机

SDK 用户界面
Datastore.Browse 数据存储 > 浏览数据存储
Datastore.FileManagement 数据存储 > 低级别文件操作
VirtualMachine.Config.RemoveDisk 虚拟机 > 配置 > 删除磁盘
VirtualMachine.Interact.PowerOff 虚拟机 > 交互 > 关闭
VirtualMachine.Inventory.Delete 虚拟机 > 清单 > 删除

存储配置文件 (vSAN)

要在 vSAN 数据存储上创建目录期间查看、创建或删除存储策略,必须具备以下权限:

SDK 用户界面
StorageProfile.Update 配置文件驱动的存储 > 配置文件驱动的存储更新。对于 vSphere 8:虚拟机存储策略 > 更新虚拟机存储策略
StorageProfile.View 配置文件驱动的存储 > 配置文件驱动的存储视图。对于 vSphere 8:VM 存储策略 > 查看 VM 存储策略

注意:

在 Root vCenter Server 级别应用存储配置文件权限,不使用“传播到子级”。

标记和自定义属性

标记和自定义属性允许您将元数据附加到在 vSphere 清单中创建的 VM,从而更轻松地搜索和筛选这些对象。要创建、编辑、分配和删除标记或类别,必须具备以下权限:

SDK 用户界面
InventoryService.Tagging.CreateTag vSphere 标记 > 创建 vSphere 标记
InventoryService.Tagging.CreateCategory vSphere 标记 > 创建 vSphere 标记类别
InventoryService.Tagging.EditTag vSphere 标记 > 编辑 vSphere 标记
InventoryService.Tagging.EditCategory vSphere 标记 > 编辑 vSphere 标记类别
InventoryService.Tagging.DeleteTag vSphere 标记 > 删除 vSphere 标记
InventoryService.Tagging.DeleteCategory vSphere 标记 > 删除 vSphere 标记类别
InventoryService.Tagging.AttachTag vSphere 标记 > 分配或取消分配 vSphere 标记
InventoryService.Tagging.ObjectAttachable vSphere 标记 > 在对象上分配或取消分配 vSphere 标记
Global.ManageCustomFields 全局 > 管理自定义属性
Global.SetCustomField 全局 > 设置自定义属性

注意:

  • 当 MCS 创建计算机目录时,它会使用特殊的名称标记来标记目标 VM。这些标记将主映像与 MCS 创建的 VM 区分开来,并防止使用 MCS 创建的 VM 进行映像准备。您可以在 vCenter 中通过 XdProvisioned 属性的值来识别差异。如果 MCS 创建了 VM,该属性将设置为 True
  • 在 Root vCenter Server 级别应用 InventoryService.Tagging.AttachTag 权限,不传递给子代

加密操作

加密操作权限控制谁可以对哪种类型的对象执行哪种类型的加密操作。vSphere Native Key Provider 使用 Cryptographer.* 权限。加密操作需要以下最低权限:

注意:

使用配备 vTPM 的 VM 创建 MCS 计算机目录需要这些权限。

SDK 用户界面
Cryptographer.Access 权限 > 所有权限 > 加密操作 > 直接访问
Cryptographer.AddDisk 权限 > 所有权限 > 加密操作 > 添加磁盘
Cryptographer.Clone 权限 > 所有权限 > 加密操作 > 克隆
Cryptographer.Encrypt 权限 > 所有权限 > 加密操作 > 加密
Cryptographer.EncryptNew 权限 > 所有权限 > 加密操作 > 加密新对象
Cryptographer.Decrypt 权限 > 所有权限 > 加密操作 > 解密
Cryptographer.Migrate 权限 > 所有权限 > 加密操作 > 迁移
Cryptographer.ReadKeyServersInfo 权限 > 所有权限 > 加密操作 > 读取 KMS 信息

预配计算机 (Citrix Provisioning)

要通过 Citrix Provisioning 控制台使用 Citrix Virtual Apps and Desktops 设置向导和“导出设备”向导预配 VM,需要这些克隆和部署模板的权限。在创建托管连接时设置权限。 您需要来自预配计算机 (Machine Creation Services) 的所有权限以及以下权限。

SDK 用户界面
VirtualMachine.Config.AddRemoveDevice 虚拟机 > 配置 > 添加或删除设备
VirtualMachine.Config.CPUCount 虚拟机 > 配置 > 更改 CPU 数量
VirtualMachine.Config.Memory 虚拟机 > 配置 > 内存
VirtualMachine.Config.Settings 虚拟机 > 配置 > 设置
VirtualMachine.Provisioning.CloneTemplate 虚拟机 > 预配 > 克隆模板
VirtualMachine.Provisioning.DeployTemplate 虚拟机 > 预配 > 部署模板
VApp.Export vApp > 导出

注意:

VApp.Export 对使用计算机配置文件创建 MCS 计算机目录是必需的。

保护与 VMware 环境的连接

使用 HTTPS/SSL 与 vCenter 的连接需要 Citrix DaaS 信任该连接。

有两种选择:

  • (推荐)Citrix DaaS 数据库安装了 SSL 指纹。每个 Cloud Connector 上的 Citrix DaaS 都使用此指纹来信任与 vCenter 的连接。
  • (备选)每个 Cloud Connector 都信任 vCenter 证书,Cloud Connector 上的服务会重复使用这种信任。这种信任可能来自:
    • vCenter 证书,由证书颁发机构颁发并受 Windows 信任,从而在 Windows 与 vCenter 之间建立信任。
    • 在 Windows 上安装了 vCenter 证书,从而在 Windows 和 vCenter.OT 之间建立了信任

注意:

VMware Cloud 及其合作伙伴解决方案不需要 vCenter 证书和 VMware SSL 指纹。

VMware SSL 指纹

VMware SSL 指纹功能解决了一个在与 VMware vSphere 虚拟机管理程序建立主机连接时经常报告的错误。以前,管理员必须在创建连接之前在站点中 Citrix 托管的 Delivery Controller 和虚拟机管理程序证书之间手动创建信任关系。VMware SSL 指纹功能取消了该手动要求:不可信证书的指纹存储在站点数据库中,这样 Citrix DaaS(即使控制者不是)也能持续将虚拟机管理程序识别为可信。

创建 vSphere 主机连接时,可以通过一个对话框查看要连接的计算机的证书。然后,您可以选择是否信任该证书。

稍后可以使用 PowerShell SDK Set-Item -LiteralPath "<FullPath_to_connection>" -username $cred.username -Securepassword $cred.password -SslThumbprint "<New ThumbPrint>" -hypervisorAddress <vcenter URL> 更新 VMware SSL 指纹。

提示:

证书指纹必须用大写字母书写。

获取和导入证书

为了保护 vSphere 通信的安全,Citrix 建议您使用 HTTPS,而不使用 HTTP。HTTPS 需要数字证书。Citrix 建议您根据贵组织的安全策略使用由证书颁发机构所颁发的数字证书。

如果无法使用证书颁发机构所颁发的数字证书,而您组织的安全策略允许使用数字证书,则可以使用由 VMware 安装的自签名证书。在每个 Cloud Connector 中添加 VMware vCenter 证书。

  1. 将运行 vCenter Server 的计算机的完全限定域名 (FQDN) 添加到该服务器上的主机文件中,该文件位于 %SystemRoot%/WINDOWS/system32/Drivers/etc/。只有当域名系统中尚不存在运行 vCenter Server 的计算机的 FQDN 时,才需要执行此步骤。

  2. 使用以下任意三种方法之一获取 vCenter 证书:

    从 vCenter Server:

    1. 将 rui.crt 文件从 vCenter Server 复制到 Cloud Connector 上可访问的位置。
    2. 在 Cloud Connector 上,导航到导出的证书所在的位置,然后打开 rui.crt 文件。

    使用 Web 浏览器下载证书: 如果您使用的是 Internet Explorer,则必须右键单击 Internet Explorer,然后选择以管理员身份运行才能下载或安装证书,具体取决于您的用户帐户。

    1. 打开 Web 浏览器,与 vCenter Server 建立安全 Web 连接(例如 https://server1.domain1.com)。
    2. 接受安全警告。
    3. 单击显示证书错误的地址栏。
    4. 单击“证书无效”,然后单击“详细信息”选项卡。
    5. 单击导出。
    6. 保存导出的证书。
    7. 导航到导出的证书所在的位置,然后打开 .CER 文件。

    从以管理员身份运行的 Internet Explorer 直接导入:

    1. 打开 Web 浏览器,与 vCenter Server 建立安全 Web 连接(例如 https://server1.domain1.com)。
    2. 接受安全警告。
    3. 单击显示证书错误的地址栏。
    4. 查看证书。
  3. 将证书导入到每个 Cloud Connector 上的证书存储中。

    1. 单击安装证书,选择本地计算机,然后单击下一步
    2. 选择将所有的证书都放入下列存储,然后单击浏览。在受支持的更高版本中:选中受信任人,然后单击确定。单击下一步,然后单击完成

重要:

如果在安装后更改 vSphere 服务器的名称,必须在该服务器上生成新的自签名证书,然后再导入新证书。

下一步的去向

更多信息

与 VMware 的连接