VMware 虚拟化环境
如果您使用 VMware 提供虚拟机,请遵循此指导。
安装 vCenter Server 和相应的管理工具。(不支持 vSphere vCenter 链接模式操作。)
如果您计划使用 MCS,请勿禁用 vCenter Server 中的 Datastore Browser 功能(如 https://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2101567 中所述)。禁用此功能后,MCS 将无法正常工作。
您可以使用 Citrix Provisioning(以前称为预配服务)和计算机创建服务™ 来预配:
- 支持的桌面或服务器操作系统虚拟机 (VM) 的传统 BIOS。
- 支持的桌面或服务器操作系统虚拟机 (VM) 的 UEFI,包括安全启动。
需要具备的权限
创建一个 VMware 用户帐户和一个或多个 VMware 角色,其中包含本文中列出的部分或所有权限。角色的创建应基于用户权限所需的特定粒度级别,以便随时请求各种 Citrix DaaS™ 操作。要在任何时候授予用户特定权限,请将其与相应的角色关联,至少在数据中心级别,并选中“传播到子项”选项。但是,对于 StorageProfile 权限和特定的 Tags 权限,请在 Root vCenter Server 级别应用权限,而不选中“传播到子项”。请参阅这些表格中的注释。
以下表格展示了 Citrix Virtual Apps and Desktops™ 的各项操作与所需的最低 VMware 权限之间的映射。
注意:
权限列表显示名称,特别是 用户界面,在某些 vSphere 版本中有所不同。例如,在 vSphere 6.7 中,用户界面 权限是 更改内存 和 更改设置,而不是本页所述的所需权限中的 设置 和 内存。
添加连接以及资源
| SDK | 用户界面 |
|---|---|
| 系统.匿名、系统.读取和系统.查看 | 自动添加。可以使用内置的只读角色。 |
电源管理
| SDK | 用户界面 |
|---|---|
| 虚拟机.交互.关机 | 虚拟机 > 交互 > 关闭电源 |
| 虚拟机.交互.开机 | 虚拟机 > 交互 > 打开电源 |
| 虚拟机.交互.重置 | 虚拟机 > 交互 > 重置 |
| 虚拟机.交互.暂停 | 虚拟机 > 交互 > 挂起 |
| 数据存储.浏览 | 数据存储 > 浏览数据存储 |
预配计算机(计算机创建服务)
要使用 MCS 预配计算机,需要以下权限:
| SDK | 用户界面 |
|---|---|
| 数据存储.分配空间 | 数据存储 > 分配空间 |
| 数据存储.浏览 | 数据存储 > 浏览数据存储 |
| 数据存储.文件管理 | 数据存储 > 低级别文件操作 |
| 网络.分配 | 网络 > 分配网络 |
| 资源.分配虚拟机到池 | 资源 > 将虚拟机分配到资源池 |
| 虚拟机.配置.添加现有磁盘 | 虚拟机 > 配置 > 添加现有磁盘 |
| 虚拟机.Config.添加新磁盘 | 虚拟机 > 配置 > 添加新磁盘 |
| 虚拟机.Config.添加或移除设备 | 虚拟机 > 配置 > 添加或移除设备 |
| 虚拟机.Config.高级配置 | 虚拟机 > 配置 > 高级 |
| 虚拟机.Config.移除磁盘 | 虚拟机 > 配置 > 移除磁盘 |
| VirtualMachine.Config.CPUCount | 虚拟机 > 配置 > 更改 CPU 数量 |
| 虚拟机.Config.内存 | 虚拟机 > 配置 > 更改内存 |
| 虚拟机.Config.设置 | 虚拟机 > 配置 > 更改设置 |
| 虚拟机.交互.关机 | 虚拟机 > 交互 > 关机 |
| 虚拟机.交互.开机 | 虚拟机 > 交互 > 开机 |
| 虚拟机.交互.重置 | 虚拟机 > 交互 > 重置 |
| 虚拟机.交互.暂停 | 虚拟机 > 交互 > 暂停 |
| 虚拟机.清单.从现有创建 | 虚拟机 > 清单 > 从现有创建 |
| 虚拟机.清单.创建 | 虚拟机 > 清单 > 创建新项 |
| 虚拟机.清单.删除 | 虚拟机 > 清单 > 移除 |
| 虚拟机.置备.克隆 | 虚拟机 > 置备 > 克隆虚拟机 |
| 虚拟机.状态.创建快照 | vSphere 5.0, 更新 2, vSphere 5.1, 更新 1, and vSphere 6.x, 更新 1: 虚拟机 > 状态 > 创建快照; vSphere 5.5: 虚拟机 > 快照管理 > 创建快照 |
映像更新和回滚
| SDK | 用户界面 |
|---|---|
| 数据存储.分配空间 | 数据存储 > 分配空间 |
| 数据存储.浏览 | 数据存储 > 浏览数据存储 |
| 数据存储.文件管理 | 数据存储 > 低级别文件操作 |
| 网络.分配 | 网络 > 分配网络 |
| 资源.将虚拟机分配到池 | 资源 > 将虚拟机分配到资源池 |
| 虚拟机.配置.添加现有磁盘 | 虚拟机 > 配置 > 添加现有磁盘 |
| 虚拟机.配置.添加新磁盘 | 虚拟机 > 配置 > 添加新磁盘 |
| 虚拟机.配置.高级配置 | 虚拟机 > 配置 > 高级 |
| 虚拟机.配置.移除磁盘 | 虚拟机 > 配置 > 移除磁盘 |
| 虚拟机.交互.关闭电源 | 虚拟机 > 交互 > 关闭电源 |
| 虚拟机.交互.打开电源 | 虚拟机 > 交互 > 打开电源 |
| 虚拟机.交互.重置 | 虚拟机 > 交互 > 重置 |
| 虚拟机.清单.从现有创建 | 虚拟机 > 清单 > 从现有创建 |
| 虚拟机.清单.创建 | 虚拟机 > 清单 > 创建新的 |
| 虚拟机.清单.删除 | 虚拟机 > 清单 > 移除 |
| 虚拟机.置备.克隆 | 虚拟机 > 置备 > 克隆虚拟机 |
删除已置备的计算机
| SDK | 用户界面 |
|---|---|
| 数据存储.浏览 | 数据存储 > 浏览数据存储 |
| 数据存储.文件管理 | 数据存储 > 低级别文件操作 |
| 虚拟机.配置.移除磁盘 | 虚拟机 > 配置 > 移除磁盘 |
| 虚拟机.交互.关机 | 虚拟机 > 交互 > 关机 |
| 虚拟机.清单.删除 | 虚拟机 > 清单 > 移除 |
存储配置文件 (vSAN)
要在 vSAN 数据存储上创建目录期间查看、创建或删除存储策略,需要以下权限:
| SDK | 用户界面 |
|---|---|
| 存储配置文件.更新 | 配置文件驱动的存储 > 配置文件驱动的存储更新。对于 vSphere 8:VM 存储策略 > 更新 VM 存储策略 |
| 存储配置文件.查看 | 配置文件驱动的存储 > 配置文件驱动的存储视图。对于 vSphere 8:VM 存储策略 > 查看 VM 存储策略 |
注意:
在根 vCenter Server 级别应用存储配置文件权限,不勾选 传播到子对象。
标签和自定义属性
标签和自定义属性允许您将元数据附加到 vSphere 清单中创建的 VM,并使其更易于搜索和筛选这些对象。要创建、编辑、分配和删除标签或类别,以下权限是强制性的:
| SDK | 用户界面 |
|---|---|
| InventoryService.Tagging.CreateTag | vSphere 标记功能管理 > 执行 vSphere 标记创建操作 |
| InventoryService.Tagging.CreateCategory | vSphere 标记功能 > 创建 vSphere 标记类别 |
| 清单服务.标签.编辑标签 | vSphere 标签功能管理 > 编辑 vSphere 标签 |
| InventoryService.Tagging.EditCategory | vSphere 标记功能 > 编辑 vSphere 标记类别 |
| 清单服务.标记.删除标签 | vSphere 标记功能管理 > 删除 vSphere 标记操作 |
| InventoryService.Tagging.DeleteCategory | vSphere 标记功能 > 删除 vSphere 标记类别 |
| 库存服务.标记.附加标签 | vSphere 标记 > 分配或取消分配 vSphere 标记 |
| 库存服务.标记.对象可附加 | vSphere 标记 > 在对象上分配或取消分配 vSphere 标记 |
| 全局.管理自定义字段 | 全局 > 管理自定义属性 |
| 全局.设置自定义字段 | 全局 > 设置自定义属性 |
注意:
- 当 MCS 创建计算机目录时,它会使用特殊的名称标签标记目标 VM。这些标签将主映像与 MCS 创建的 VM 区分开来,并防止使用 MCS 创建的 VM 进行映像准备。您可以通过 vCenter 中
XdProvisioned属性的值来识别差异。如果 MCS 创建 VM,则该属性设置为 True。- 在根 vCenter Server 级别应用
InventoryService.Tagging.AttachTag权限,不带 传播到子对象。
密码功能操作
加密操作权限控制谁可以在哪种类型的对象上执行哪种类型的加密操作。vSphere 本机密钥提供程序使用 Cryptographer.* 权限。加密操作需要以下最低权限:
| SDK | 用户界面 |
|---|---|
| 密码操作访问 | 权限 > 所有权限 > 加密操作 > 直接访问 |
| 加密器.添加磁盘 | 权限 > 所有权限 > 加密操作 > 添加磁盘 |
| 加密器.克隆 | 权限 > 所有权限 > 加密操作 > 克隆 |
| Cryptographer.Encrypt | 权限 > 所有权限 > 加密操作 > 加密 |
| 密码器.新建加密 | 权限 > 所有权限 > 加密操作 > 加密新项 |
| 加密器.解密 | 权限 > 所有权限 > 加密操作 > 解密 |
| 加密器.迁移 | 权限 > 所有权限 > 加密操作 > 迁移 |
| 密码器.读取密钥服务器信息 | 权限 > 所有权限 > 加密操作 > 读取 KMS 信息 |
Provision machines (Citrix Provisioning™)
通过 Citrix Provisioning 控制台使用 Citrix Virtual Apps and Desktops 安装向导和导出设备向导预配 VM 时,需要这些克隆和部署模板的权限。在创建主机连接时设置这些权限。您需要预配计算机(Machine Creation Services)中的所有权限以及以下权限。
| SDK | 用户界面 |
|---|---|
| 虚拟机.配置.添加移除设备 | 虚拟机 > 配置 > 添加或移除设备 |
| 虚拟机.配置.CPU数量 | 虚拟机 > 配置 > 更改 CPU 计数 |
| 虚拟机.配置.内存 | 虚拟机 > 配置 > 内存 |
| 虚拟机.配置.设置 | 虚拟机 > 配置 > 设置 |
| VirtualMachine.Provisioning.CloneTemplate | 虚拟机 > 预配 > 克隆模板 |
| 虚拟机.预配.部署模板 | 虚拟机 > 预配 > 部署模板 |
| 虚拟应用.导出 | 虚拟应用 > 导出 |
注意:
使用计算机配置文件创建 MCS 计算机目录需要
VApp.Export。
获取并导入安全证书
为了保护 vSphere 通信的安全,Citrix® 建议您使用 HTTPS 而不是 HTTP 协议。
HTTPS 需要数字证书。请使用符合您组织安全策略的证书颁发机构颁发的数字证书。
如果您无法使用证书颁发机构颁发的数字证书,则可以使用 VMware 安装的自签名证书。仅当您组织的安全策略允许时才使用此方法。将 VMware vCenter 证书添加到每个 Delivery Controller。
-
将运行 vCenter Server 的计算机的完全限定域名 (FQDN) 添加到该服务器上的 hosts 文件中,位置为
%SystemRoot%/WINDOWS/system32/Drivers/etc/。仅当运行 vCenter Server 的计算机的 FQDN 尚未存在于域名系统中时,才需要执行此步骤。 -
使用以下三种方法之一获取 vCenter 证书:
从 vCenter 服务器获取。
- 将 rui.crt 文件从 vCenter 服务器复制到您的交付控制器可访问的位置。
- 在 Controller 上,导航到导出的证书所在位置并打开 rui.crt 文件。
使用 Web 浏览器下载证书。 如果您使用的是 Internet Explorer,请右键单击 Internet Explorer 并选择 以管理员身份运行 以下载或安装证书。
- 打开您的 Web 浏览器并与 vCenter 服务器建立安全的 Web 连接(例如 https://server1.domain1.com)。
- 请接受安全警告。
- 请单击显示证书错误的地址栏。
- 查看证书并单击“详细信息”选项卡。
- 选择 复制到文件并以 .CER 格式导出,并在出现提示时提供名称。
- 保存导出的证书。
- 导航到导出的证书所在位置并打开 .CER 文件。
直接从以管理员身份运行的 Internet Explorer 导入。
- 打开您的 Web 浏览器并与 vCenter 服务器建立安全的 Web 连接(例如 https://server1.domain1.com)。
- 请接受安全警告。
- 请单击显示证书错误的地址栏。
- 请查看证书。
-
将证书导入到每个 Controller 上的证书存储中。
- 单击“安装证书”选项,选择“本地计算机”,然后单击“下一步”。
- 选择“将所有证书放入以下存储”,然后单击“浏览”。选择“受信任的人”,然后单击“确定”。单击“下一步”,然后单击“完成”。
如果在安装后更改 vSphere 服务器的名称,则必须在该服务器上生成新的自签名证书,然后才能导入新证书。
配置方面的注意事项
创建主 VM:
使用主 VM 在计算机目录中提供用户桌面和应用程序。在您的虚拟机管理程序上:
- 在主 VM 上安装 VDA,选择优化桌面的选项,这可以提高性能。
- 为主 VM 创建快照以用作备份。
创建连接:
在连接创建向导中:
- 选择 VMware 连接类型。
- 指定 vCenter SDK 访问点的地址。
- 指定您之前设置的具有创建 VM 权限的 VMware 用户帐户的凭据。以 domain/username 形式指定用户名。
威睿 SSL 指纹
VMware SSL 指纹功能消除了手动创建到 VMware vSphere 管理程序的主机连接的需要。在创建连接之前,不再需要手动在站点中的 Delivery Controller 和管理程序的证书之间创建信任关系。
VMware SSL 指纹功能将不受信任证书的指纹存储在站点数据库中。此配置可确保 Citrix Virtual Apps and Desktops 持续将管理程序识别为受信任,即使 Controller 不将其识别为受信任。
在 Studio 中创建 vSphere 主机连接时,一个对话框允许您查看所连接计算机的证书。然后您可以选择是否信任它。
故障排除
如果目录创建失败,请参阅 CTX294978。