Verbindung mit VMware
Verbindungen und Ressourcen erstellen und verwalten beschreibt die Assistenten, die eine Verbindung erstellen. Die folgenden Informationen behandeln Details, die spezifisch für VMware-Virtualisierungsumgebungen sind.
Hinweis:
Bevor Sie eine Verbindung mit VMware erstellen, müssen Sie zuerst Ihr VMware-Konto als Ressourcenstandort einrichten. Siehe VMware-Virtualisierungsumgebungen.
Erforderliche Berechtigungen
Erstellen Sie ein VMware-Benutzerkonto und eine oder mehrere VMware-Rollen mit einem Satz oder allen in diesem Artikel aufgeführten Berechtigungen. Die Erstellung der Rollen basiert auf dem spezifischen Granularitätsgrad, der für die Berechtigungen des Benutzers erforderlich ist, um die verschiedenen Citrix DaaS™-Vorgänge jederzeit anzufordern. Um dem Benutzer zu einem beliebigen Zeitpunkt spezifische Berechtigungen zu erteilen, weisen Sie diese der jeweiligen Rolle mindestens auf Datacenter-Ebene zu, wobei die Option An untergeordnete Objekte weitergeben ausgewählt ist. Für StorageProfile-Berechtigungen und eine spezifische Tags-Berechtigung wenden Sie die Berechtigungen jedoch auf der Root-vCenter-Server-Ebene an, ohne An untergeordnete Objekte weitergeben. Beachten Sie die Hinweise in den jeweiligen Tabellen.
Die folgenden Tabellen zeigen die Zuordnungen zwischen Citrix DaaS-Vorgängen und den mindestens erforderlichen VMware-Berechtigungen.
Verbindungen und Ressourcen hinzufügen
| SDK | Benutzeroberfläche |
|---|---|
| System. Anonymous, System. Read und System.View | Automatisch hinzugefügt. Kann die integrierte schreibgeschützte Rolle verwenden. |
Energieverwaltung
| SDK | Benutzeroberfläche |
|---|---|
| VirtualMachine.Interact.PowerOff | Virtuelle Maschine > Interaktion > Ausschalten |
| VirtualMachine.Interact.PowerOn | Virtuelle Maschine > Interaktion > Einschalten |
| VirtualMachine.Interact.Reset | Virtuelle Maschine > Interaktion > Zurücksetzen |
| VirtualMachine.Interact.Suspend | Virtuelle Maschine > Interaktion > Anhalten |
| Datastore.Browse | Datastore > Datastore durchsuchen |
Maschinen bereitstellen (Machine Creation Services™)
Um Maschinen mit MCS bereitzustellen, sind die folgenden Berechtigungen obligatorisch:
| SDK | Benutzeroberfläche |
|---|---|
| Datastore.AllocateSpace | Datastore > Speicherplatz zuweisen |
| Datastore.Browse | Datastore > Datastore durchsuchen |
| Datastore.FileManagement | Datastore > Dateivorgänge auf niedriger Ebene |
| Network.Assign | Netzwerk > Netzwerk zuweisen |
| Resource.AssignVMToPool | Ressource > Virtuelle Maschine einem Ressourcenpool zuweisen |
| VirtualMachine.Config.AddExistingDisk | Virtuelle Maschine > Konfiguration > Vorhandene Festplatte hinzufügen |
| VirtualMachine.Config.AddNewDisk | Virtuelle Maschine > Konfiguration > Neue Festplatte hinzufügen |
| Virtual machine.Config.Add or remove device | Virtuelle Maschine > Konfiguration > Gerät hinzufügen oder entfernen |
| VirtualMachine.Config.AdvancedConfig | Virtuelle Maschine > Konfiguration > Erweitert |
| VirtualMachine.Config.RemoveDisk | Virtuelle Maschine > Konfiguration > Festplatte entfernen |
| VirtualMachine.Config.CPUCount | Virtuelle Maschine > Konfiguration > CPU-Anzahl ändern |
| VirtualMachine.Config.Memory | Virtuelle Maschine > Konfiguration > Arbeitsspeicher ändern |
| VirtualMachine.Config.Settings | Virtuelle Maschine > Konfiguration > Einstellungen ändern |
| VirtualMachine.Interact.PowerOff | Virtuelle Maschine > Interaktion > Ausschalten |
| VirtualMachine.Interact.PowerOn | Virtuelle Maschine > Interaktion > Einschalten |
| VirtualMachine.Interact.Reset | Virtuelle Maschine > Interaktion > Zurücksetzen |
| VirtualMachine.Interact.Suspend | Virtuelle Maschine > Interaktion > Anhalten |
| VirtualMachine.Inventory.CreateFromExisting | Virtuelle Maschine > Inventar > Aus vorhandener erstellen |
| VirtualMachine.Inventory.Create | Virtuelle Maschine > Inventar > Neu erstellen |
| VirtualMachine.Inventory.Delete | Virtuelle Maschine > Inventar > Entfernen |
| VirtualMachine.Provisioning.Clone | Virtuelle Maschine > Bereitstellung > Virtuelle Maschine klonen |
| VirtualMachine.State.CreateSnapshot | vSphere 5.0, Update 2, vSphere 5.1, Update 1 und vSphere 6.x, Update 1: Virtuelle Maschine > Status > Snapshot erstellen; vSphere 5.5: Virtuelle Maschine > Snapshot-Verwaltung > Snapshot erstellen; vSphere 8.0: Virtuelle Maschine > Snapshot-Verwaltung > Snapshot erstellen |
| VirtualMachine.Config.Rename | Virtuelle Maschine > Konfiguration > Umbenennen |
Image-Update und Rollback
| SDK | Benutzeroberfläche |
|---|---|
| Datastore.AllocateSpace | Datastore > Speicherplatz zuweisen |
| Datastore.Browse | Datastore > Datastore durchsuchen |
| Datastore.FileManagement | Datastore > Dateivorgänge auf niedriger Ebene |
| Network.Assign | Netzwerk > Netzwerk zuweisen |
| Resource.AssignVMToPool | Ressource > Virtuelle Maschine einem Ressourcenpool zuweisen |
| VirtualMachine.Config.AddExistingDisk | Virtuelle Maschine > Konfiguration > Vorhandene Festplatte hinzufügen |
| VirtualMachine.Config.AddNewDisk | Virtuelle Maschine > Konfiguration > Neue Festplatte hinzufügen |
| VirtualMachine.Config.AdvancedConfig | Virtuelle Maschine > Konfiguration > Erweitert |
| VirtualMachine.Config.RemoveDisk | Virtuelle Maschine > Konfiguration > Festplatte entfernen |
| VirtualMachine.Interact.PowerOff | Virtuelle Maschine > Interaktion > Ausschalten |
| VirtualMachine.Interact.PowerOn | Virtuelle Maschine > Interaktion > Einschalten |
| VirtualMachine.Interact.Reset | Virtuelle Maschine > Interaktion > Zurücksetzen |
| VirtualMachine.Inventory.CreateFromExisting | Virtuelle Maschine > Inventar > Aus vorhandener erstellen |
| VirtualMachine.Inventory.Create | Virtuelle Maschine > Inventar > Neu erstellen |
| VirtualMachine.Inventory.Delete | Virtuelle Maschine > Inventar > Entfernen |
| VirtualMachine.Provisioning.Clone | Virtuelle Maschine > Bereitstellung > Virtuelle Maschine klonen |
Vorbereitete Images freigeben
Um vorbereitete Images über verschiedene Hostverbindungen hinweg freizugeben, sind die folgenden Berechtigungen für die Ziel-Hostverbindung obligatorisch:
| SDK | Benutzeroberfläche |
|---|---|
| Datastore.AllocateSpace | Datastore > Speicherplatz zuweisen |
| Network.Assign | Netzwerk > Netzwerk zuweisen |
| Resource.AssignVMToPool | Ressource > Virtuelle Maschine einem Ressourcenpool zuweisen |
| VirtualMachine.Config.Add or remove device | Virtuelle Maschine > Konfiguration > Gerät hinzufügen oder entfernen |
| VirtualMachine.Config.RemoveDisk | Virtuelle Maschine > Konfiguration > Festplatte entfernen |
| VirtualMachine.Config.Settings | Virtuelle Maschine > Konfiguration > Einstellungen ändern |
| VirtualMachine.Inventory.Register | Virtuelle Maschine > Inventar > Registrieren |
| VirtualMachine.Inventory.Delete | Virtuelle Maschine > Inventar > Entfernen |
Bereitgestellte Maschinen löschen
| SDK | Benutzeroberfläche |
|---|---|
| Datastore.Browse | Datastore > Datastore durchsuchen |
| Datastore.FileManagement | Datastore > Dateivorgänge auf niedriger Ebene |
| VirtualMachine.Config.RemoveDisk | Virtuelle Maschine > Konfiguration > Festplatte entfernen |
| VirtualMachine.Interact.PowerOff | Virtuelle Maschine > Interaktion > Ausschalten |
| VirtualMachine.Inventory.Delete | Virtuelle Maschine > Inventar > Entfernen |
Speicherprofil
Um Speicherrichtlinien während der Katalogerstellung auf einem vSAN- oder vVol-Datastore anzuzeigen, zu erstellen oder zu löschen, sind die folgenden Berechtigungen obligatorisch:
| SDK | Benutzeroberfläche |
|---|---|
| StorageProfile.Update | PROFILBASIERTER SPEICHER > Profilbasierten Speicher aktualisieren. Für vSphere 8: VM-Speicherrichtlinien > VM-Speicherrichtlinien aktualisieren |
| StorageProfile.View | PROFILBASIERTER SPEICHER > Profilbasierten Speicher anzeigen. Für vSphere 8: VM-Speicherrichtlinien > VM-Speicherrichtlinien anzeigen |
Hinweis:
Wenden Sie die Berechtigungen für Speicherprofile auf der Root-vCenter-Server-Ebene an, ohne An untergeordnete Objekte weitergeben.
Tags und benutzerdefinierte Attribute
Tags und benutzerdefinierte Attribute ermöglichen es Ihnen, Metadaten an die in der vSphere-Bestandsliste erstellten VMs anzuhängen und erleichtern das Suchen und Filtern dieser Objekte. Zum Erstellen, Bearbeiten, Zuweisen und Löschen von Tags oder Kategorien sind die folgenden Berechtigungen zwingend erforderlich:
| SDK | Benutzeroberfläche |
|---|---|
| InventoryService.Tagging.CreateTag | vSphere-Tagging > vSphere-Tag erstellen |
| InventoryService.Tagging.CreateCategory | vSphere-Tagging > vSphere-Tag-Kategorie erstellen |
| InventoryService.Tagging.EditTag | vSphere-Tagging > vSphere-Tag bearbeiten |
| InventoryService.Tagging.EditCategory | vSphere-Tagging > vSphere-Tag-Kategorie bearbeiten |
| InventoryService.Tagging.DeleteTag | vSphere-Tagging > vSphere-Tag löschen |
| InventoryService.Tagging.DeleteCategory | vSphere-Tagging > vSphere-Tag-Kategorie löschen |
| InventoryService.Tagging.AttachTag | vSphere-Tagging > vSphere-Tag zuweisen oder aufheben |
| InventoryService.Tagging.ObjectAttachable | vSphere-Tagging > vSphere-Tag für Objekt zuweisen oder aufheben |
| Global.ManageCustomFields | Global > Benutzerdefinierte Attribute verwalten |
| Global.SetCustomField | Global > Benutzerdefiniertes Attribut festlegen |
Hinweis:
- Wenn MCS einen Maschinenkatalog erstellt, versieht es die Ziel-VMs mit speziellen Namenstags. Diese Tags unterscheiden das Master-Image von den von MCS erstellten VMs und verhindern die Verwendung von MCS-erstellten VMs für die Image-Vorbereitung. Sie können den Unterschied anhand des Werts des Attributs
XdProvisionedin vCenter erkennen. Das Attribut wird auf True gesetzt, wenn MCS VMs erstellt.- Wenden Sie die Berechtigung
InventoryService.Tagging.AttachTagauf der Root-vCenter-Server-Ebene an, ohne An untergeordnete Objekte weitergeben.
Kryptografische Operationen
Berechtigungen für kryptografische Operationen steuern, wer welche Art von kryptografischer Operation an welchem Objekttyp durchführen kann. Der vSphere Native Key Provider verwendet die Berechtigungen Cryptographer.*. Die folgenden Mindestberechtigungen sind für kryptografische Operationen erforderlich:
Hinweis:
Diese Berechtigungen sind für die Erstellung von MCS-Maschinenkatalogen mit vTPM-ausgestatteten VMs erforderlich.
| SDK | Benutzeroberfläche |
|---|---|
| Cryptographer.Access | Berechtigungen > Alle Berechtigungen > Kryptografische Operationen > Direkter Zugriff |
| Cryptographer.AddDisk | Berechtigungen > Alle Berechtigungen > Kryptografische Operationen > Festplatte hinzufügen |
| Cryptographer.Clone | Berechtigungen > Alle Berechtigungen > Kryptografische Operationen > Klonen |
| Cryptographer.Encrypt | Berechtigungen > Alle Berechtigungen > Kryptografische Operationen > Verschlüsseln |
| Cryptographer.EncryptNew | Berechtigungen > Alle Berechtigungen > Kryptografische Operationen > Neu verschlüsseln |
| Cryptographer.Decrypt | Berechtigungen > Alle Berechtigungen > Kryptografische Operationen > Entschlüsseln |
| Cryptographer.Migrate | Berechtigungen > Alle Berechtigungen > Kryptografische Operationen > Migrieren |
| Cryptographer.ReadKeyServersInfo | Berechtigungen > Alle Berechtigungen > Kryptografische Operationen > KMS-Informationen lesen |
Maschinen bereitstellen (Citrix Provisioning™)
Diese Berechtigungen zum Klonen und Bereitstellen einer Vorlage sind erforderlich, um VMs mithilfe des Citrix Virtual Apps and Desktops™ Setup Wizard und des Export Devices Wizard über die Citrix Provisioning-Konsole bereitzustellen. Legen Sie die Berechtigungen beim Erstellen einer Hostverbindung fest. Sie benötigen alle Berechtigungen von Maschinen bereitstellen (Machine Creation Services) und die folgenden.
| SDK | Benutzeroberfläche |
|---|---|
| VirtualMachine.Config.AddRemoveDevice | Virtuelle Maschine > Konfiguration > Gerät hinzufügen oder entfernen |
| VirtualMachine.Config.CPUCount | Virtuelle Maschine > Konfiguration > CPU-Anzahl ändern |
| VirtualMachine.Config.Memory | Virtuelle Maschine > Konfiguration > Arbeitsspeicher |
| VirtualMachine.Config.Settings | Virtuelle Maschine > Konfiguration > Einstellungen |
| VirtualMachine.Provisioning.CloneTemplate | Virtuelle Maschine > Bereitstellung > Vorlage klonen |
| VirtualMachine.Provisioning.DeployTemplate | Virtuelle Maschine > Bereitstellung > Vorlage bereitstellen |
| VApp.Export | vApp > Exportieren |
Hinweis:
Die Berechtigung
VApp.Exportist für die Erstellung von MCS-Maschinenkatalogen mithilfe von Maschinenprofilen erforderlich.
Sichern von Verbindungen zur VMware-Umgebung
Die Verwendung von HTTPS/SSL-Verbindungen zu vCenter erfordert, dass die Verbindung von Citrix DaaS als vertrauenswürdig eingestuft wird.
Es gibt zwei Optionen:
- (Empfohlen) Die Citrix DaaS-Datenbank verfügt über den installierten SSL-Fingerabdruck. Dieser Fingerabdruck wird von Citrix DaaS auf jedem Cloud Connector verwendet, um Verbindungen zu vCenter zu vertrauen.
- (Alternative) Jeder Cloud Connector vertraut dem vCenter-Zertifikat, und Dienste auf dem Cloud Connector nutzen dieses Vertrauen wieder. Dieses Vertrauen kann herrühren von:
- vCenter-Zertifikat, ausgestellt von der Zertifizierungsstelle und von Windows als vertrauenswürdig eingestuft, was zu einer etablierten Vertrauensbeziehung zwischen Windows und vCenter führt.
- vCenter-Zertifikat, das unter Windows installiert ist, was zu einer etablierten Vertrauensbeziehung zwischen Windows und vCenter führt.OT
Hinweis:
vCenter-Zertifikat und VMware SSL-Fingerabdruck sind für VMware Cloud und seine Partnerlösungen nicht erforderlich.
VMware SSL-Fingerabdruck
Die Funktion VMware SSL-Fingerabdruck behebt einen häufig gemeldeten Fehler beim Erstellen einer Hostverbindung zu einem VMware vSphere-Hypervisor. Zuvor mussten Administratoren manuell eine Vertrauensbeziehung zwischen den von Citrix verwalteten Delivery Controllern in der Site und dem Zertifikat des Hypervisors herstellen, bevor eine Verbindung erstellt werden konnte. Die Funktion VMware SSL-Fingerabdruck beseitigt diese manuelle Anforderung: Der Fingerabdruck des nicht vertrauenswürdigen Zertifikats wird in der Site-Datenbank gespeichert, sodass der Hypervisor von Citrix DaaS kontinuierlich als vertrauenswürdig identifiziert werden kann, auch wenn dies nicht durch die Controller geschieht.
Beim Erstellen einer vSphere-Hostverbindung können Sie in einem Dialogfeld das Zertifikat der Maschine anzeigen, mit der Sie sich verbinden. Sie können dann wählen, ob Sie ihm vertrauen möchten.
Der VMware SSL-Thumbprint kann später mit dem PowerShell SDK Set-Item -LiteralPath "<FullPath_to_connection>" -username $cred.username -Securepassword $cred.password -SslThumbprint "<New ThumbPrint>" -hypervisorAddress <vcenter URL> aktualisiert werden.
Tipp:
Der Zertifikat-Thumbprint muss in Großbuchstaben geschrieben werden.
Zertifikat abrufen und importieren
Zum Schutz der vSphere-Kommunikation empfiehlt Citrix® die Verwendung von HTTPS anstelle von HTTP. HTTPS erfordert digitale Zertifikate. Citrix empfiehlt die Verwendung eines digitalen Zertifikats, das von einer Zertifizierungsstelle gemäß der Sicherheitsrichtlinie Ihrer Organisation ausgestellt wurde.
Wenn Sie kein von einer Zertifizierungsstelle ausgestelltes digitales Zertifikat verwenden können und die Sicherheitsrichtlinie Ihrer Organisation dies zulässt, können Sie das von VMware installierte selbstsignierte Zertifikat verwenden. Fügen Sie das VMware vCenter-Zertifikat jedem Cloud Connector hinzu.
-
Fügen Sie den vollqualifizierten Domänennamen (FQDN) des Computers, auf dem der vCenter Server ausgeführt wird, der Hostdatei auf diesem Server hinzu, die sich unter %SystemRoot%/WINDOWS/system32/Drivers/etc/ befindet. Dieser Schritt ist nur erforderlich, wenn der FQDN des Computers, auf dem der vCenter Server ausgeführt wird, noch nicht im Domänennamensystem vorhanden ist.
-
Rufen Sie das vCenter-Zertifikat mit einer der folgenden drei Methoden ab:
Vom vCenter Server:
- Kopieren Sie die Datei rui.crt vom vCenter Server an einen Speicherort, der auf Ihren Cloud Connectors zugänglich ist.
- Navigieren Sie auf dem Cloud Connector zum Speicherort des exportierten Zertifikats und öffnen Sie die Datei rui.crt.
Zertifikat über einen Webbrowser herunterladen: Wenn Sie Internet Explorer verwenden, müssen Sie je nach Benutzerkonto mit der rechten Maustaste auf Internet Explorer klicken und Als Administrator ausführen auswählen, um das Zertifikat herunterzuladen oder zu installieren.
- Öffnen Sie Ihren Webbrowser und stellen Sie eine sichere Webverbindung zum vCenter Server her (z. B. https://server1.domain1.com).
- Akzeptieren Sie die Sicherheitswarnungen.
- Klicken Sie auf die Adressleiste, die den Zertifikatfehler anzeigt.
- Klicken Sie auf Zertifikat ist ungültig und dann auf die Registerkarte Details.
- Klicken Sie auf Exportieren…
- Speichern Sie das exportierte Zertifikat.
- Navigieren Sie zum Speicherort des exportierten Zertifikats und öffnen Sie die .CER-Datei.
Direkt aus Internet Explorer als Administrator importieren:
- Öffnen Sie Ihren Webbrowser und stellen Sie eine sichere Webverbindung zum vCenter Server her (z. B. https://server1.domain1.com).
- Akzeptieren Sie die Sicherheitswarnungen.
- Klicken Sie auf die Adressleiste, die den Zertifikatfehler anzeigt.
- Zeigen Sie das Zertifikat an.
-
Importieren Sie das Zertifikat in den Zertifikatspeicher auf jedem Cloud Connector.
- Klicken Sie auf Zertifikat installieren, wählen Sie Lokaler Computer und klicken Sie dann auf Weiter.
- Wählen Sie Alle Zertifikate in folgendem Speicher ablegen und klicken Sie dann auf Durchsuchen. In einer später unterstützten Version: Wählen Sie Vertrauenswürdige Personen und klicken Sie dann auf OK. Klicken Sie auf Weiter und dann auf Fertig stellen.
Wichtig:
Wenn Sie den Namen des vSphere-Servers nach der Installation ändern, müssen Sie auf diesem Server ein neues selbstsigniertes Zertifikat generieren, bevor Sie das neue Zertifikat importieren.
Nächste Schritte
- Wenn Sie sich im anfänglichen Bereitstellungsprozess befinden, lesen Sie Maschinenkataloge erstellen.
- VMware-spezifische Informationen finden Sie unter Einen VMware-Katalog erstellen.