Conexión a VMware
Crear y administrar conexiones y recursos describe los asistentes que crean una conexión. La siguiente información cubre detalles específicos de los entornos de virtualización de VMware.
Nota:
Antes de crear una conexión a VMware, primero debes terminar de configurar tu cuenta de VMware como una ubicación de recursos. Consulta Entornos de virtualización de VMware.
Crear una conexión
En el asistente de creación de conexiones:
- Selecciona el tipo de conexión de VMware.
- Especifica la dirección del punto de acceso para el SDK de vCenter.
- Especifica las credenciales de una cuenta de usuario de VMware que configuraste anteriormente y que tiene permisos para crear máquinas virtuales. Especifica el nombre de usuario en el formato dominio/nombredeusuario.
Huella digital SSL de VMware
La función de huella digital SSL de VMware elimina la necesidad de crear manualmente una conexión de host a un hipervisor VMware vSphere. Ya no es necesario crear manualmente una relación de confianza entre los Delivery Controllers del sitio y el certificado del hipervisor antes de crear una conexión.
La función de huella digital SSL de VMware almacena la huella digital del certificado no confiable en la base de datos del sitio. Esta configuración garantiza que Citrix Virtual Apps and Desktops™ pueda identificar continuamente el hipervisor como de confianza, incluso si los Controllers no lo hacen.
Al crear una conexión de host de vSphere en Studio, un cuadro de diálogo te permite ver el certificado de la máquina a la que te estás conectando. Luego puedes elegir si confiar en él.
Privilegios necesarios
Crea una cuenta de usuario de VMware y uno o varios roles de VMware con un conjunto o todos los permisos enumerados en este artículo. Basa la creación de los roles en el nivel específico de granularidad requerido sobre los permisos del usuario para solicitar las diversas operaciones de Citrix DaaS™ en cualquier momento. Para otorgar los permisos específicos del usuario en cualquier momento, asócialos con el rol respectivo, como mínimo a nivel de centro de datos, con la opción Propagar a los elementos secundarios seleccionada. Sin embargo, para los permisos de StorageProfile y un permiso específico de Tags, aplica los permisos a nivel de servidor raíz de vCenter, sin Propagar a los elementos secundarios. Consulta las notas de cada una de esas tablas.
Las siguientes tablas muestran las asignaciones entre las operaciones de Citrix Virtual Apps™ and Desktops y los privilegios mínimos de VMware necesarios.
Nota:
El nombre para mostrar de la lista de permisos, específicamente la Interfaz de usuario, es diferente para algunas versiones de vSphere. Por ejemplo, en vSphere 6.7 el permiso de Interfaz de usuario es Cambiar memoria y Cambiar configuración, en lugar de Configuración y Memoria, como se describe en los privilegios necesarios que se indican en esta página.
Agregar conexiones y recursos
| SDK | Interfaz de usuario |
|---|---|
| System. Anonymous, System. Read, y System.View | Agregado automáticamente. Puedes usar el rol de solo lectura integrado. |
Administración de energía
| SDK | Interfaz de usuario |
|---|---|
| VirtualMachine.Interact.PowerOff | Máquina virtual > Interacción > Apagar |
| VirtualMachine.Interact.PowerOn | Máquina virtual > Interacción > Encender |
| VirtualMachine.Interact.Reset | Máquina virtual > Interacción > Reiniciar |
| VirtualMachine.Interact.Suspend | Máquina virtual > Interacción > Suspender |
| Datastore.Browse | Almacén de datos > Explorar almacén de datos |
Aprovisionar máquinas (Machine Creation Services™)
Para aprovisionar máquinas mediante MCS, los siguientes permisos son obligatorios:
| SDK | Interfaz de usuario |
|---|---|
| Datastore.AllocateSpace | Almacén de datos > Asignar espacio |
| Datastore.Browse | Almacén de datos > Explorar almacén de datos |
| Datastore.FileManagement | Almacén de datos > Operaciones de archivos de bajo nivel |
| Network.Assign | Red > Asignar red |
| Resource.AssignVMToPool | Recurso > Asignar máquina virtual a grupo de recursos |
| VirtualMachine.Config.AddExistingDisk | Máquina virtual > Configuración > Agregar disco existente |
| VirtualMachine.Config.AddNewDisk | Máquina virtual > Configuración > Agregar nuevo disco |
| Virtual machine.Config.Add or remove device | Máquina virtual > Configuración > Agregar o quitar dispositivo |
| VirtualMachine.Config.AdvancedConfig | Máquina virtual > Configuración > Avanzado |
| VirtualMachine.Config.RemoveDisk | Máquina virtual > Configuración > Quitar disco |
| VirtualMachine.Config.CPUCount | Máquina virtual > Configuración > Cambiar recuento de CPU |
| VirtualMachine.Config.Memory | Máquina virtual > Configuración > Cambiar memoria |
| VirtualMachine.Config.Settings | Máquina virtual > Configuración > Cambiar configuración |
| VirtualMachine.Interact.PowerOff | Máquina virtual > Interacción > Apagar |
| VirtualMachine.Interact.PowerOn | Máquina virtual > Interacción > Encender |
| VirtualMachine.Interact.Reset | Máquina virtual > Interacción > Reiniciar |
| VirtualMachine.Interact.Suspend | Máquina virtual > Interacción > Suspender |
| VirtualMachine.Inventory.CreateFromExisting | Máquina virtual > Inventario > Crear a partir de existente |
| VirtualMachine.Inventory.Create | Máquina virtual > Inventario > Crear nuevo |
| VirtualMachine.Inventory.Delete | Máquina virtual > Inventario > Quitar |
| VirtualMachine.Provisioning.Clone | Máquina virtual > Aprovisionamiento > Clonar máquina virtual |
| VirtualMachine.State.CreateSnapshot | vSphere 5.0, Update 2, vSphere 5.1, Update 1 y vSphere 6.x, Update 1: Máquina virtual > Estado > Crear instantánea; vSphere 5.5: Máquina virtual > Administración de instantáneas > Crear instantánea |
| VirtualMachine.Config.Rename | Máquina virtual > Configuración > Cambiar nombre |
Actualización y reversión de imágenes
| SDK | Interfaz de usuario |
|---|---|
| Datastore.AllocateSpace | Almacén de datos > Asignar espacio |
| Datastore.Browse | Almacén de datos > Explorar almacén de datos |
| Datastore.FileManagement | Almacén de datos > Operaciones de archivos de bajo nivel |
| Network.Assign | Red > Asignar red |
| Resource.AssignVMToPool | Recurso > Asignar máquina virtual a grupo de recursos |
| VirtualMachine.Config.AddExistingDisk | Máquina virtual > Configuración > Agregar disco existente |
| VirtualMachine.Config.AddNewDisk | Máquina virtual > Configuración > Agregar nuevo disco |
| VirtualMachine.Config.AdvancedConfig | Máquina virtual > Configuración > Avanzado |
| VirtualMachine.Config.RemoveDisk | Máquina virtual > Configuración > Quitar disco |
| VirtualMachine.Interact.PowerOff | Máquina virtual > Interacción > Apagar |
| VirtualMachine.Interact.PowerOn | Máquina virtual > Interacción > Encender |
| VirtualMachine.Interact.Reset | Máquina virtual > Interacción > Reiniciar |
| VirtualMachine.Interact.Suspend | Máquina virtual > Interacción > Suspender |
| VirtualMachine.Inventory.CreateFromExisting | Máquina virtual > Inventario > Crear a partir de existente |
| VirtualMachine.Inventory.Create | Máquina virtual > Inventario > Crear nuevo |
| VirtualMachine.Inventory.Delete | Máquina virtual > Inventario > Quitar |
| VirtualMachine.Provisioning.Clone | Máquina virtual > Aprovisionamiento > Clonar máquina virtual |
Compartir imágenes preparadas
Para compartir imágenes preparadas entre diferentes conexiones de alojamiento, los siguientes permisos son obligatorios para la conexión de alojamiento de destino:
| SDK | Interfaz de usuario |
|---|---|
| Datastore.AllocateSpace | Almacén de datos > Asignar espacio |
| Network.Assign | Red > Asignar red |
| Resource.AssignVMToPool | Recurso > Asignar máquina virtual a grupo de recursos |
| VirtualMachine.Config.Add or remove device | Máquina virtual > Configuración > Agregar o quitar dispositivo |
| VirtualMachine.Config.RemoveDisk | Máquina virtual > Configuración > Quitar disco |
| VirtualMachine.Config.Settings | Máquina virtual > Configuración > Cambiar configuración |
| VirtualMachine.Inventory.Register | Máquina virtual > Inventario > Registrar |
| VirtualMachine.Inventory.Delete | Máquina virtual > Inventario > Quitar |
Quitar máquinas aprovisionadas
| SDK | Interfaz de usuario |
|---|---|
| Datastore.Browse | Almacén de datos > Explorar almacén de datos |
| Datastore.FileManagement | Almacén de datos > Operaciones de archivos de bajo nivel |
| VirtualMachine.Config.RemoveDisk | Máquina virtual > Configuración > Quitar disco |
| VirtualMachine.Interact.PowerOff | Máquina virtual > Interacción > Apagar |
| VirtualMachine.Inventory.Delete | Máquina virtual > Inventario > Quitar |
Perfil de almacenamiento
Para ver, crear o quitar directivas de almacenamiento durante la creación de catálogos en un almacén de datos vSAN o vVol, los siguientes permisos son obligatorios:
| SDK | Interfaz de usuario |
|---|---|
| StorageProfile.Update | ALMACENAMIENTO BASADO EN PERFILES > Actualización de almacenamiento basado en perfiles. Para vSphere 8: Directivas de almacenamiento de máquinas virtuales > Actualizar directivas de almacenamiento de máquinas virtuales |
| StorageProfile.View | ALMACENAMIENTO BASADO EN PERFILES > Vista de almacenamiento basado en perfiles. Para vSphere 8: Directivas de almacenamiento de máquinas virtuales > Ver directivas de almacenamiento de máquinas virtuales |
Nota:
Aplica los permisos del perfil de almacenamiento a nivel de servidor raíz de vCenter, sin Propagar a los elementos secundarios.
Etiquetas y atributos personalizados
Las etiquetas y los atributos personalizados te permiten adjuntar metadatos a las máquinas virtuales creadas en el inventario de vSphere y facilitan la búsqueda y el filtrado de estos objetos. Para crear, modificar, asignar y quitar etiquetas o categorías, los siguientes permisos son obligatorios:
| SDK | Interfaz de usuario |
|---|---|
| InventoryService.Tagging.CreateTag | Etiquetado de vSphere > Crear etiqueta de vSphere |
| InventoryService.Tagging.CreateCategory | Etiquetado de vSphere > Crear categoría de etiqueta de vSphere |
| InventoryService.Tagging.EditTag | Etiquetado de vSphere > Modificar etiqueta de vSphere |
| InventoryService.Tagging.EditCategory | Etiquetado de vSphere > Modificar categoría de etiqueta de vSphere |
| InventoryService.Tagging.DeleteTag | Etiquetado de vSphere > Quitar etiqueta de vSphere |
| InventoryService.Tagging.DeleteCategory | Etiquetado de vSphere > Quitar categoría de etiqueta de vSphere |
| InventoryService.Tagging.AttachTag | Etiquetado de vSphere > Asignar o desasignar etiqueta de vSphere |
| InventoryService.Tagging.ObjectAttachable | Etiquetado de vSphere > Asignar o desasignar etiqueta de vSphere en objeto |
| Global.ManageCustomFields | Global > Administrar atributos personalizados |
| Global.SetCustomField | Global > Establecer atributo personalizado |
Nota:
- Cuando MCS crea un catálogo de máquinas, etiqueta las máquinas virtuales de destino con etiquetas de nombre especiales. Estas etiquetas diferencian la imagen maestra de las máquinas virtuales creadas por MCS y evitan el uso de máquinas virtuales creadas por MCS para la preparación de imágenes. Puedes identificar la diferencia por el valor del atributo
XdProvisioneden vCenter. El atributo se establece en True si MCS crea máquinas virtuales.- Aplica el permiso
InventoryService.Tagging.AttachTaga nivel de servidor raíz de vCenter, sin Propagar a los elementos secundarios.
Operaciones criptográficas
Los privilegios de operaciones criptográficas controlan quién puede realizar qué tipo de operación criptográfica en qué tipo de objeto. vSphere Native Key Provider usa los privilegios Cryptographer.*. Los siguientes permisos mínimos son necesarios para las operaciones criptográficas:
Nota:
Estos permisos son necesarios para crear catálogos de máquinas MCS con máquinas virtuales equipadas con vTPM.
| SDK | Interfaz de usuario |
|---|---|
| Cryptographer.Access | Privilegios > Todos los privilegios > Operaciones criptográficas > Acceso directo |
| Cryptographer.AddDisk | Privilegios > Todos los privilegios > Operaciones criptográficas > Agregar disco |
| Cryptographer.Clone | Privilegios > Todos los privilegios > Operaciones criptográficas > Clonar |
| Cryptographer.Encrypt | Privilegios > Todos los privilegios > Operaciones criptográficas > Cifrar |
| Cryptographer.EncryptNew | Privilegios > Todos los privilegios > Operaciones criptográficas > Cifrar nuevo |
| Cryptographer.Decrypt | Privilegios > Todos los privilegios > Operaciones criptográficas > Descifrar |
| Cryptographer.Migrate | Privilegios > Todos los privilegios > Operaciones criptográficas > Migrar |
| Cryptographer.ReadKeyServersInfo | Privilegios > Todos los privilegios > Operaciones criptográficas > Leer información de KMS |
Aprovisionar máquinas (Citrix Provisioning™)
Estos permisos para clonar e implementar una plantilla son necesarios para aprovisionar máquinas virtuales mediante el Asistente de configuración de Citrix Virtual Apps and Desktops y el Asistente para exportar dispositivos a través de la consola de Citrix Provisioning. Establece los permisos al crear una conexión de alojamiento. Necesitas todos los permisos de Aprovisionar máquinas (Machine Creation Services) y los siguientes.
| SDK | Interfaz de usuario |
|---|---|
| VirtualMachine.Config.AddRemoveDevice | Máquina virtual > Configuración > Agregar o quitar dispositivo |
| VirtualMachine.Config.CPUCount | Máquina virtual > Configuración > Cambiar recuento de CPU |
| VirtualMachine.Config.Memory | Máquina virtual > Configuración > Memoria |
| VirtualMachine.Config.Settings | Máquina virtual > Configuración > Configuración |
| VirtualMachine.Provisioning.CloneTemplate | Máquina virtual > Aprovisionamiento > Clonar plantilla |
| VirtualMachine.Provisioning.DeployTemplate | Máquina virtual > Aprovisionamiento > Implementar plantilla |
| VApp.Export | vApp > Exportar |
Nota:
El permiso
VApp.Exportes necesario para crear catálogos de máquinas MCS mediante el perfil de máquina.
Obtener e importar un certificado
Para proteger las comunicaciones de vSphere, Citrix® recomienda que uses HTTPS en lugar de HTTP.
HTTPS requiere certificados digitales. Usa un certificado digital emitido por una autoridad de certificación que cumpla con la política de seguridad de tu organización.
Si no puedes usar un certificado digital emitido por una autoridad de certificación, puedes usar el certificado autofirmado instalado por VMware. Solo usa este método si la política de seguridad de tu organización lo permite. Agrega el certificado de VMware vCenter a cada Delivery Controller.
-
Agrega el nombre de dominio completo (FQDN) del equipo que ejecuta vCenter Server al archivo hosts de ese servidor, en
%SystemRoot%/WINDOWS/system32/Drivers/etc/. Este paso es necesario solo si el FQDN del equipo que ejecuta vCenter Server aún no está presente en el sistema de nombres de dominio. -
Obtén el certificado de vCenter mediante cualquiera de los tres métodos siguientes:
Desde el servidor de vCenter.
- Copia el archivo rui.crt del servidor de vCenter a una ubicación accesible en tus Delivery Controllers.
- En el Controller, navega hasta la ubicación del certificado exportado y abre el archivo rui.crt.
Descarga el certificado mediante un explorador web. Si usas Internet Explorer, haz clic con el botón derecho en Internet Explorer y elige Ejecutar como administrador para descargar o instalar el certificado.
- Abre tu explorador web y establece una conexión web segura con el servidor de vCenter (por ejemplo, https://server1.domain1.com).
- Acepta las advertencias de seguridad.
- Haz clic en la barra de direcciones que muestra el error del certificado.
- Visualiza el certificado y haz clic en la ficha Detalles.
- Selecciona Copiar a archivo y exportar en formato .CER, proporcionando un nombre cuando se te solicite.
- Guarda el certificado exportado.
- Navega hasta la ubicación del certificado exportado y abre el archivo .CER.
Importa directamente desde Internet Explorer ejecutándose como administrador.
- Abre tu explorador web y establece una conexión web segura con el servidor de vCenter (por ejemplo, https://server1.domain1.com).
- Acepta las advertencias de seguridad.
- Haz clic en la barra de direcciones que muestra el error del certificado.
- Visualiza el certificado.
-
Importa el certificado al almacén de certificados de cada uno de tus Controllers.
- Haz clic en la opción Instalar certificado, selecciona Equipo local y, a continuación, haz clic en Siguiente.
- Selecciona Colocar todos los certificados en el siguiente almacén y, a continuación, haz clic en Explorar. Selecciona Personas de confianza y, a continuación, haz clic en Aceptar. Haz clic en Siguiente y, a continuación, haz clic en Finalizar.
Si cambias el nombre del servidor de vSphere después de la instalación, debes generar un nuevo certificado autofirmado en ese servidor antes de importar el nuevo certificado.
Qué hacer a continuación
- Si estás en el proceso de implementación inicial, consulta Crear catálogos de máquinas
- Para obtener información específica de VMware, consulta Crear un catálogo de VMware