Verbindung zu VMware
Unter Verbindungen und Ressourcen erstellen und verwalten werden die Assistenten zum Erstellen einer Verbindung beschrieben. Die folgenden Informationen beziehen sich speziell auf VMware-Virtualisierungsumgebungen.
Hinweis
Bevor Sie eine Verbindung zu VMware herstellen, müssen Sie zunächst Ihr VMware-Konto als Ressourcenstandort eingerichtet haben. Siehe VMware-Virtualisierungsumgebungen.
Erforderliche Berechtigungen
Erstellen Sie ein VMware-Benutzerkonto und mindestens eine VMware-Rolle mit einigen oder allen Berechtigungen, die in diesem Artikel aufgeführt sind. Berücksichtigen Sie bei der Rollenerstellung die erforderliche Granularität für die Benutzerberechtigungen zum jederzeitigen Anfordern der verschiedenen Citrix DaaS-Vorgänge. Zum Gewähren spezifischer Berechtigungen für jeden Zeitpunkt weisen Sie dem Benutzer die entsprechende Rolle mindestens auf Datencenterebene zu, wobei die Option An untergeordnete Elemente weitergeben aktiviert ist. Wenden Sie jedoch für StorageProfile-Berechtigungen und eine bestimmte Tags-Berechtigung die Berechtigungen auf der Root-vCenter-Serverebene an, ohne Weitergabe an untergeordnete Elemente. Beachten Sie die Hinweise in den einzelnen Tabellen.
Die folgenden Tabellen zeigen die Zuordnungen zwischen Citrix DaaS-Vorgängen und die erforderlichen VMware-Mindestberechtigungen.
Verbindungen und Ressourcen hinzufügen
Zum Hinzufügen von Verbindungen und Ressourcen sind die folgenden VMware-Berechtigungen erforderlich:
Benutzeroberfläche: Automatisch hinzugefügt. Kann die integrierte Lesezugriff-Rolle verwenden.
SDK:
System.Anonymous
<!--NeedCopy-->
System.Read
<!--NeedCopy-->
System.View
<!--NeedCopy-->
Energieverwaltung
| SDK | Benutzeroberfläche |
|---|---|
| VirtualMachine.Interact.PowerOff | Virtual machine > Interaction > Power Off |
| VirtualMachine.Interact.PowerOn | Virtual machine > Interaction > Power On |
| VirtualMachine.Interact.Reset | Virtual machine > Interaction > Reset |
| VirtualMachine.Interact.Suspend | Virtual machine > Interaction > Suspend |
| Datastore.Browse | Datastore > Browse datastore |
Bereitstellen von Maschinen (Maschinenerstellungsdienste)
Für das Provisioning von Maschinen mit MCS sind die folgenden Berechtigungen erforderlich:
| SDK | Benutzeroberfläche |
|---|---|
| Datastore.AllocateSpace | Datastore > Allocate Space |
| Datastore.Browse | Datastore > Browse datastore |
| Datastore.FileManagement | Datastore > Low level file operations |
| Network.Assign | Network > Assign network |
| Resource.AssignVMToPool | Resource > Assign virtual machine to resource pool |
| VirtualMachine.Config.AddExistingDisk | Virtual machine > Configuration > Add existing disk |
| VirtualMachine.Config.AddNewDisk | Virtual machine > Configuration > Add new disk |
| Virtual machine.Config > Add or remove device | Virtual machine > Configuration > Add or remove device |
| VirtualMachine.Config.AdvancedConfig | Virtual machine > Configuration > Advanced |
| VirtualMachine.Config.RemoveDisk | Virtual machine > Configuration > Remove disk |
| VirtualMachine.Config.CPUCount | Virtuelle Maschine > Konfiguration > CPU-Anzahl ändern |
| VirtualMachine.Config.Memory | Virtuelle Maschine > Konfiguration > Speicher ändern |
| VirtualMachine.Config.Settings | Virtuelle Maschine > Konfiguration > Einstellungen ändern |
| VirtualMachine.Interact.PowerOff | Virtual machine > Interaction > Power Off |
| VirtualMachine.Interact.PowerOn | Virtual machine > Interaction > Power On |
| VirtualMachine.Interact.Reset | Virtual machine > Interaction > Reset |
| VirtualMachine.Interact.Suspend | Virtual machine > Interaction > Suspend |
| VirtualMachine.Inventory.CreateFromExisting | Virtual machine > Inventory > Create from existing |
| VirtualMachine.Inventory.Create | Virtual machine > Inventory > Create new |
| VirtualMachine.Inventory.Delete | Virtual machine > Inventory > Remove |
| VirtualMachine.Provisioning.Clone | Virtual machine > Provisioning > Clone virtual machine |
| VirtualMachine.State.CreateSnapshot | vSphere 5.0, Update 2, vSphere 5.1, Update 1 und vSphere 6.x, Update 1: Virtuelle Maschine > Status > Snapshot erstellen; vSphere 5.5: Virtuelle Maschine > Snapshotverwaltung > Snapshot erstellen; vSphere 8.0: Virtuelle Maschine > Snapshotverwaltung > Snapshot erstellen |
Updates und Rollbacks von Images
| SDK | Benutzeroberfläche |
|---|---|
| Datastore.AllocateSpace | Datastore > Allocate Space |
| Datastore.Browse | Datastore > Browse datastore |
| Datastore.FileManagement | Datastore > Low level file operations |
| Network.Assign | Network > Assign network |
| Resource.AssignVMToPool | Resource > Assign virtual machine to resource pool |
| VirtualMachine.Config.AddExistingDisk | Virtual machine > Configuration > Add existing disk |
| VirtualMachine.Config.AddNewDisk | Virtual machine > Configuration > Add new disk |
| VirtualMachine.Config.AdvancedConfig | Virtual machine > Configuration > Advanced |
| VirtualMachine.Config.RemoveDisk | Virtual machine > Configuration > Remove disk |
| VirtualMachine.Interact.PowerOff | Virtual machine > Interaction > Power Off |
| VirtualMachine.Interact.PowerOn | Virtual machine > Interaction > Power On |
| VirtualMachine.Interact.Reset | Virtual machine > Interaction > Reset |
| VirtualMachine.Inventory.CreateFromExisting | Virtual machine > Inventory > Create from existing |
| VirtualMachine.Inventory.Create | Virtual machine > Inventory > Create new |
| VirtualMachine.Inventory.Delete | Virtual machine > Inventory > Remove |
| VirtualMachine.Provisioning.Clone | Virtual machine > Provisioning > Clone virtual machine |
Löschen bereitgestellter Maschinen
| SDK | Benutzeroberfläche |
|---|---|
| Datastore.Browse | Datastore > Browse datastore |
| Datastore.FileManagement | Datastore > Low level file operations |
| VirtualMachine.Config.RemoveDisk | Virtual machine > Configuration > Remove disk |
| VirtualMachine.Interact.PowerOff | Virtual machine > Interaction > Power Off |
| VirtualMachine.Inventory.Delete | Virtual machine > Inventory > Remove |
Speicherprofil (vSAN)
Zum Anzeigen, Erstellen oder Löschen von Speicherrichtlinien bei der Katalogerstellung in einem vSAN-Datenspeicher sind die folgenden Berechtigungen obligatorisch:
| SDK | Benutzeroberfläche |
|---|---|
| StorageProfile.Update | PROFILGESTEUERTER SPEICHER > Profilgesteuertes Speicherupdate. Für vSphere 8: VM-Speicherrichtlinien > VM-Speicherrichtlinien aktualisieren |
| StorageProfile.View | PROFILGESTEUERTER SPEICHER > Profilgesteuerte Speicheransicht. Für vSphere 8: VM-Speicherrichtlinien > VM-Speicherrichtlinien anzeigen |
Hinweis
Wenden Sie die Speicherprofilberechtigungen auf der Ebene des Stammservers von vCenter an, ohne An untergeordnete Elemente weitergeben.
Tags und benutzerdefinierte Attribute
Mithilfe von Tags und benutzerdefinierten Attributen können Sie Metadaten an die im vSphere-Bestand erstellten VMs anhängen und das Suchen und Filtern dieser Objekte vereinfachen. Zum Erstellen, Bearbeiten, Zuweisen und Löschen von Tags oder Kategorien sind die folgenden Berechtigungen erforderlich:
| SDK | Benutzeroberfläche |
|---|---|
| InventoryService.Tagging.CreateTag | vSphere-Tagging >vSphere-Tag erstellen |
| InventoryService.Tagging.CreateCategory | vSphere-Tagging > vSphere-Tag-Kategorie erstellen |
| InventoryService.Tagging.EditTag | vSphere-Tagging > vSphere-Tag bearbeiten |
| InventoryService.Tagging.EditCategory | vSphere-Tagging > vSphere-Tag-Kategorie bearbeiten |
| InventoryService.Tagging.DeleteTag | vSphere-Tagging > vSphere-Tag löschen |
| InventoryService.Tagging.DeleteCategory | vSphere-Tagging > vSphere-Tag-Kategorie löschen |
| InventoryService.Tagging.AttachTag | vSphere-Tagging > vSphere-Tag zuweisen oder aufheben |
| InventoryService.Tagging.ObjectAttachable | vSphere-Tagging > vSphere-Tag einem Objekt zuweisen oder aufheben |
| Global.ManageCustomFields | Global > Manage custom attributes |
| Global.SetCustomField | Global > Benutzerdefiniertes Attribut festlegen |
Hinweis
- Wenn MCS einen Maschinenkatalog erstellt, weist es den Ziel-VMs Namens-Tags zu. Anhand der Tags wird das Masterimage von mit MCS erstellten VMs unterschieden und verhindert, dass letztere für die Imageerstellung verwendet werden. Sie können den Unterschied anhand des Werts des Attributs
XdProvisionedin vCenter erkennen. Das Attribut ist True, wenn MCS VMs erstellt.- Wenden Sie die Berechtigung
InventoryService.Tagging.AttachTagauf der Ebene des Root-vCenter-Servers an, ohne An untergeordnete Elemente weitergeben.
Kryptographische Verfahren
Durch Berechtigungen für kryptografische Operationen wird gesteuert, wer welche Art von kryptografischer Operation an welchem Objekttyp durchführen darf. vSphere Native Key Provider verwendet die Berechtigungen Cryptographer.*. Die folgenden Mindestberechtigungen sind für kryptographische Verfahren erforderlich:
Hinweis
Diese Berechtigungen sind für die Erstellung von MCS-Maschinenkatalogen mit VMs mit vTPM erforderlich.
| SDK | Benutzeroberfläche |
|---|---|
| Cryptographer.Access | Berechtigungen > Alle Berechtigungen > Kryptografische Operationen > Direktzugriff |
| Cryptographer.AddDisk | Berechtigungen > Alle Berechtigungen > Kryptografische Operationen > Datenträger hinzufügen |
| Cryptographer.Clone | Berechtigungen > Alle Berechtigungen > Kryptografische Operationen > Klonen |
| Cryptographer.Encrypt | Berechtigungen > Alle Berechtigungen > Kryptografische Operationen > Verschlüsseln |
| Cryptographer.EncryptNew | Berechtigungen > Alle Berechtigungen > Kryptografische Operationen > Neu verschlüsseln |
| Cryptographer.Decrypt | Berechtigungen > Alle Berechtigungen > Kryptografische Operationen > Entschlüsseln |
| Cryptographer.Migrate | Berechtigungen > Alle Berechtigungen > Kryptografische Operationen > Migrieren |
| Cryptographer.ReadKeyServersInfo | Berechtigungen > Alle Berechtigungen > Kryptografische Operationen > KMS-Informationen lesen |
Bereitstellen von Maschinen (Citrix Provisioning)
Um VMs über die Citrix Provisioning-Konsole mit dem Citrix Virtual Apps and Desktops-Setupassistenten und dem Assistenten zum Exportieren von Geräten bereitzustellen, sind diese Berechtigungen zum Klonen und Bereitstellen einer Vorlage erforderlich. Legen Sie die Berechtigungen fest, während Sie eine Hostingverbindung herstellen. Sie benötigen alle Berechtigungen von “Bereitstellen von Maschinen (Maschinenerstellungsdienste)” sowie folgende:
| SDK | Benutzeroberfläche |
|---|---|
| VirtualMachine.Config.AddRemoveDevice | Virtual machine > Configuration > Add or remove device |
| VirtualMachine.Config.CPUCount | Virtuelle Maschine > Konfiguration > CPU-Anzahl ändern |
| VirtualMachine.Config.Memory | Virtual machine > Configuration > Memory |
| VirtualMachine.Config.Settings | Virtual machine > Configuration > Settings |
| VirtualMachine.Provisioning.CloneTemplate | Virtual machine > Provisioning > Clone template |
| VirtualMachine.Provisioning.DeployTemplate | Virtual machine > Provisioning > Deploy template |
| VApp.Export | vApp > Export |
Hinweis
VApp.Exportwird zum Erstellen von MCS-Maschinenkatalogen mit Maschinenprofilen benötigt.
Schützen von Verbindungen zur VMware Umgebung
Die Verwendung von HTTPS/SSL-Verbindungen zu vCenter erfordert, dass Citrix DaaS der Verbindung vertraut.
Es gibt zwei Optionen:
- (Empfohlen) In der Citrix DaaS-Datenbank ist der SSL-Fingerabdruck installiert. Der Fingerabdruck wird zur Herstellung einer Vertrauensstellung zwischen Citrix DaaS auf jedem Cloud Connector und Verbindungen mit vCenter verwendet.
- (Alternative) Jeder Cloud Connector vertraut dem vCenter-Zertifikat und die Dienste auf dem Connector verwenden diese Vertrauensstellung. Die Vertrauensstellung kann auf Folgendem basieren:
- vCenter-Zertifikat, das von der Zertifizierungsstelle ausgestellt und von Windows als vertrauenswürdig eingestuft wird, was zu einer Vertrauensstellung zwischen Windows und vCenter führt.
- Unter Windows installiertes vCenter-Zertifikat, das zu einer Vertrauensstellung zwischen Windows und vCenter.OT führt
Hinweis
vCenter-Zertifikat und VMware-SSL-Fingerabdruck sind für VMware Cloud und seine Partnerlösungen nicht erforderlich.
VMware SSL-Fingerabdruck
Mit dem VMware SSL-Fingerabdruckfeature wurde ein häufig aufgetretener Fehler beim Erstellen einer Hostverbindung mit einem VMware vSphere-Hypervisor behoben. Bisher musste der Administrator eine Vertrauensstellung zwischen den von Citrix verwalteten Delivery Controllern der Site und dem Hypervisor-Zertifikat vor dem Erstellen einer Verbindung manuell erstellen. Dank VMware SSL-Fingerabdruck ist dies nicht mehr nötig. Der Fingerabdruck des nicht vertrauenswürdigen Zertifikats wird in der Sitedatenbank gespeichert, damit der Hypervisor zwar nicht von den Controllern, jedoch von Citrix DaaS immer als vertrauenswürdig eingestuft wird.
Beim Erstellen einer vSphere-Hostverbindung wird ein Dialogfeld mit dem Zertifikat der Maschine angezeigt, mit der Sie eine Verbindung herstellen. Sie können dann wählen, ob sie als vertrauenswürdig gelten soll.
Der VMware SSL-Fingerabdruck kann später mit PowerShell SDK Set-Item -LiteralPath "<FullPath_to_connection>" -username $cred.username -Securepassword $cred.password -SslThumbprint "<New ThumbPrint>" -hypervisorAddress <vcenter URL> aktualisiert werden.
Tipp
Der Fingerabdruck des Zertifikats muss aus Großbuchstaben bestehen.
Zertifikat beschaffen und importieren
Um die vSphere-Kommunikation zu schützen, empfiehlt Citrix die Verwendung von HTTPS statt HTTP. HTTPS benötigt digitale Zertifikate. Citrix empfiehlt die Verwendung eines digitalen Zertifikats, das von einer Zertifizierungsstelle unter Berücksichtigung der Sicherheitsrichtlinie Ihrer Organisation erstellt wurde.
Wenn Sie kein digitales Zertifikat verwenden können, das von einer Zertifizierungsstelle ausgestellt wurde, können Sie das mit VMware installierte selbstsignierte Zertifikat verwenden, vorausgesetzt, die Sicherheitsrichtlinie Ihrer Organisation lässt dies zu. Fügen Sie das VMware vCenter-Zertifikat jedem Cloud Connector hinzu.
-
Fügen Sie den vollqualifizierten Domänennamen (FQDN) des Computers, auf dem vCenter Server ausgeführt wird, der Hostdatei auf dem Server im Verzeichnis %SystemRoot%/WINDOWS/system32/Drivers/etc/ hinzu. Dieser Schritt ist nur erforderlich, wenn der FQDN des Computers, auf dem vCenter Server ausgeführt wird, nicht bereits im Domänennamensystem vorhanden ist.
-
Rufen Sie das vCenter-Zertifikat mit einer der folgenden drei Methoden ab:
Führen Sie auf dem vCenter-Server folgende Schritte aus:
- Kopieren Sie die Datei rui.crt vom vCenter-Server zu einem Speicherort, auf den Ihre Cloud Connectors zugreifen können.
- Navigieren Sie auf dem Cloud Connector zu dem Speicherort des exportierten Zertifikats und öffnen Sie die Datei rui.crt.
Laden Sie das Zertifikat über einen Webbrowser herunter: Bei Verwendung von Internet Explorer müssen Sie (abhängig von Ihrem Benutzerkonto) ggf. in Internet Explorer mit der rechten Maustaste klicken und Als Administrator ausführen wählen, um das Zertifikat herunterzuladen und zu installieren.
- Öffnen Sie einen Webbrowser und stellen Sie eine sichere Webverbindung mit dem vCenter-Server her (z. B. https://server1.domain1.com).
- Akzeptieren Sie die Sicherheitswarnungen.
- Klicken Sie auf die Adressleiste, in der der Zertifikatfehler angezeigt wird.
- Klicken Sie auf Zertifikat ist nicht gültig und klicken Sie dann auf die Registerkarte Details.
- Klicken Sie auf Exportieren..
- Speichern Sie das exportierte Zertifikat.
- Navigieren Sie auf den Speicherort des exportierten Zertifikats und öffnen Sie die CER-Datei.
Direkter Import von Internet Explorer, der als Administrator ausgeführt wird:
- Öffnen Sie einen Webbrowser und stellen Sie eine sichere Webverbindung mit dem vCenter-Server her (z. B. https://server1.domain1.com).
- Akzeptieren Sie die Sicherheitswarnungen.
- Klicken Sie auf die Adressleiste, in der der Zertifikatfehler angezeigt wird.
- Zeigen Sie das Zertifikat an.
-
Importieren des Zertifikats in den Zertifikatspeicher jedes Cloud Connectors:
- Klicken Sie auf Zertifikat installieren, wählen Sie Lokaler Computer und klicken Sie dann auf Weiter.
- Wählen Sie Alle Zertifikate in folgendem Speicher speichern und klicken Sie dann auf Durchsuchen. Spätere unterstützte Version: Wählen Sie Vertrauenswürdige Personen und klicken Sie dann auf OK. Klicken Sie auf Weiter und dann auf Fertigstellen.
Wichtig:
Wenn Sie den Namen des vSphere-Servers nach der Installation ändern, müssen Sie ein neues selbstsigniertes Zertifikat auf diesem Server erstellen, bevor Sie das neue Zertifikat importieren.
So geht es weiter
- Wenn dies die erste Bereitstellung ist, lesen Sie Maschinenkatalog erstellen.
- VMware-spezifische Informationen finden Sie unter VMware-Katalog erstellen.