Verbindung zu VMware
Unter Verbindungen und Ressourcen erstellen und verwalten werden die Assistenten zum Erstellen einer Verbindung beschrieben. Die folgenden Informationen beziehen sich speziell auf VMware-Virtualisierungsumgebungen.
Hinweis:
Bevor Sie eine Verbindung zu VMware herstellen, müssen Sie zunächst Ihr VMware-Konto als Ressourcenstandort eingerichtet haben. Siehe VMware-Virtualisierungsumgebungen.
Verbindung erstellen
Führen Sie im Assistenten für die Verbindungserstellung folgende Schritte aus:
- Wählen Sie den Verbindungstyp “VMware”.
- Geben Sie die Adresse des Zugriffspunkts für das vCenter SDK an.
- Geben Sie die Anmeldeinformationen für ein zuvor eingerichtetes VMware-Konto ein, das Berechtigungen zum Erstellen von VMs hat. Geben Sie den Benutzernamen im Format Domäne/Benutzername ein.
VMware SSL-Fingerabdruck
Der VMware SSL-Fingerabdruck macht das manuelle Erstellen einer Hostverbindung zu einem VMware vSphere-Hypervisor überflüssig. Es ist nicht mehr erforderlich, dass der Administrator eine Vertrauensstellung zwischen den Site-Delivery Controllern und dem Hypervisor-Zertifikat vor dem Erstellen einer Verbindung manuell erstellt.
Das VMware SSL-Fingerabdruckfeature speichert den Fingerabdruck des nicht vertrauenswürdigen Zertifikats in der Sitedatenbank. Diese Konfiguration gewährleistet, dass der Hypervisor dauerhaft von Citrix Virtual Apps and Desktops als vertrauenswürdig identifiziert werden kann, selbst wenn die Controller dies nicht können.
Beim Erstellen einer vSphere-Hostverbindung in Studio wird ein Dialogfeld mit dem Zertifikat der Maschine angezeigt, mit der Sie eine Verbindung herstellen. Sie können dann wählen, ob sie als vertrauenswürdig gelten soll.
Erforderliche Privilegien
Erstellen Sie ein VMware-Benutzerkonto und mindestens eine VMware-Rolle mit einigen oder allen Berechtigungen, die in diesem Artikel aufgeführt sind. Berücksichtigen Sie bei der Rollenerstellung die erforderliche Granularität für die Benutzerberechtigungen zum jederzeitigen Anfordern der verschiedenen Citrix DaaS-Vorgänge. Zum Gewähren spezifischer Berechtigungen für jeden Zeitpunkt weisen Sie dem Benutzer die entsprechende Rolle mindestens auf Datencenterebene zu, wobei die Option An untergeordnete Elemente weitergeben aktiviert ist. Für StorageProfile
-Berechtigungen und eine bestimmte Tags
-Berechtigung wenden Sie die Berechtigungen jedoch auf Root-vCenter Server-Ebene an, ohne an Untergeordnete weiterzugeben. Sehen Sie sich die Hinweise in jeder dieser Tabellen an.
Die folgenden Tabellen zeigen die Zuordnungen zwischen Citrix Virtual Apps and Desktops-Vorgängen und die erforderlichen VMware-Mindestberechtigungen.
Hinweis:
Der Anzeigename der Berechtigungsliste, insbesondere für User Interface, ist in einigen vSphere-Versionen unterschiedlich. In vSphere 6.7 lautet die Berechtigung für User Interface beispielsweise Change Memory und Change Settings und nicht Settings und Memory, wie hier in den erforderlichen Berechtigungen beschrieben.
Verbindungen und Ressourcen hinzufügen
SDK | Benutzeroberfläche |
---|---|
System.Anonymous, System.Read und System.View | Automatisch hinzugefügt. Kann die integrierte Lesezugriff-Rolle verwenden. |
Energieverwaltung
SDK | Benutzeroberfläche |
---|---|
VirtualMachine.Interact.PowerOff | Virtual machine > Interaction > Power Off |
VirtualMachine.Interact.PowerOn | Virtual machine > Interaction > Power On |
VirtualMachine.Interact.Reset | Virtual machine > Interaction > Reset |
VirtualMachine.Interact.Suspend | Virtual machine > Interaction > Suspend |
Datastore.Browse | Datastore > Browse datastore |
Bereitstellen von Maschinen (Maschinenerstellungsdienste)
Für das Provisioning von Maschinen mit MCS sind die folgenden Berechtigungen erforderlich:
SDK | Benutzeroberfläche |
---|---|
Datastore.AllocateSpace | Datastore > Allocate Space |
Datastore.Browse | Datastore > Browse datastore |
Datastore.FileManagement | Datastore > Low level file operations |
Network.Assign | Network > Assign network |
Resource.AssignVMToPool | Resource > Assign virtual machine to resource pool |
VirtualMachine.Config.AddExistingDisk | Virtual machine > Configuration > Add existing disk |
VirtualMachine.Config.AddNewDisk | Virtual machine > Configuration > Add new disk |
Virtual machine.Config > Add or remove device | Virtual machine > Configuration > Add or remove device |
VirtualMachine.Config.AdvancedConfig | Virtual machine > Configuration > Advanced |
VirtualMachine.Config.RemoveDisk | Virtual machine > Configuration > Remove disk |
VirtualMachine.Config.CPUCount | Virtual machine > Configuration > Change CPU count |
VirtualMachine.Config.Memory | Virtual machine > Configuration > Change memory |
VirtualMachine.Config.Settings | Virtual machine > Configuration > Change settings |
VirtualMachine.Interact.PowerOff | Virtual machine > Interaction > Power Off |
VirtualMachine.Interact.PowerOn | Virtual machine > Interaction > Power On |
VirtualMachine.Interact.Reset | Virtual machine > Interaction > Reset |
VirtualMachine.Interact.Suspend | Virtual machine > Interaction > Suspend |
VirtualMachine.Inventory.CreateFromExisting | Virtual machine > Inventory > Create from existing |
VirtualMachine.Inventory.Create | Virtual machine > Inventory > Create new |
VirtualMachine.Inventory.Delete | Virtual machine > Inventory > Remove |
VirtualMachine.Provisioning.Clone | Virtual machine > Provisioning > Clone virtual machine |
VirtualMachine.State.CreateSnapshot | vSphere 5.0, Update 2, vSphere 5.1, Update 1, and vSphere 6.x, Update 1: Virtual machine > State > Create snapshot; vSphere 5.5: Virtual machine > Snapshot management > Create snapshot |
Updates und Rollbacks von Images
SDK | Benutzeroberfläche |
---|---|
Datastore.AllocateSpace | Datastore > Allocate Space |
Datastore.Browse | Datastore > Browse datastore |
Datastore.FileManagement | Datastore > Low level file operations |
Network.Assign | Network > Assign network |
Resource.AssignVMToPool | Resource > Assign virtual machine to resource pool |
VirtualMachine.Config.AddExistingDisk | Virtual machine > Configuration > Add existing disk |
VirtualMachine.Config.AddNewDisk | Virtual machine > Configuration > Add new disk |
VirtualMachine.Config.AdvancedConfig | Virtual machine > Configuration > Advanced |
VirtualMachine.Config.RemoveDisk | Virtual machine > Configuration > Remove disk |
VirtualMachine.Interact.PowerOff | Virtual machine > Interaction > Power Off |
VirtualMachine.Interact.PowerOn | Virtual machine > Interaction > Power On |
VirtualMachine.Interact.Reset | Virtual machine > Interaction > Reset |
VirtualMachine.Inventory.CreateFromExisting | Virtual machine > Inventory > Create from existing |
VirtualMachine.Inventory.Create | Virtual machine > Inventory > Create new |
VirtualMachine.Inventory.Delete | Virtual machine > Inventory > Remove |
VirtualMachine.Provisioning.Clone | Virtual machine > Provisioning > Clone virtual machine |
Löschen bereitgestellter Maschinen
SDK | Benutzeroberfläche |
---|---|
Datastore.Browse | Datastore > Browse datastore |
Datastore.FileManagement | Datastore > Low level file operations |
VirtualMachine.Config.RemoveDisk | Virtual machine > Configuration > Remove disk |
VirtualMachine.Interact.PowerOff | Virtual machine > Interaction > Power Off |
VirtualMachine.Inventory.Delete | Virtual machine > Inventory > Remove |
Speicherprofil (vSAN)
Zum Anzeigen, Erstellen oder Löschen von Speicherrichtlinien bei der Katalogerstellung in einem vSAN-Datenspeicher sind die folgenden Berechtigungen obligatorisch:
SDK | Benutzeroberfläche |
---|---|
StorageProfile.Update | PROFILE-DRIVEN STORAGE > Profile-driven storage update. vSphere 8: VM storage policies > Update VM storage policies |
StorageProfile.View | PROFILE-DRIVEN STORAGE > Profile-driven storage view. vSphere 8: VM storage policies > View VM storage policies |
Hinweis:
Wenden Sie die Speicherprofilberechtigungen auf Root-vCenter Server-Ebene an, ohne sie an Untergeordnete weiterzugeben.
Tags und benutzerdefinierte Attribute
Mithilfe von Tags und benutzerdefinierten Attributen können Sie Metadaten an die im vSphere-Bestand erstellten VMs anhängen und das Suchen und Filtern dieser Objekte vereinfachen. Zum Erstellen, Bearbeiten, Zuweisen und Löschen von Tags oder Kategorien sind die folgenden Berechtigungen erforderlich:
SDK | Benutzeroberfläche |
---|---|
InventoryService.Tagging.CreateTag | vSphere Tagging > Create vSphere Tag |
InventoryService.Tagging.CreateCategory | vSphere Tagging > Create vSphere Tag Category |
InventoryService.Tagging.EditTag | vSphere Tagging > Edit vSphere Tag |
InventoryService.Tagging.EditCategory | vSphere Tagging > Edit vSphere Tag Category |
InventoryService.Tagging.DeleteTag | vSphere Tagging > Delete vSphere Tag |
InventoryService.Tagging.DeleteCategory | vSphere Tagging > Delete vSphere Tag Category |
InventoryService.Tagging.AttachTag | vSphere Tagging > Assign or Unassign vSphere Tag |
InventoryService.Tagging.ObjectAttachable | vSphere Tagging > Assign or Unassign vSphere Tag on Object |
Global.ManageCustomFields | Global > Manage custom attributes |
Global.SetCustomField | Global > Set custom attribute |
Hinweis:
- Wenn MCS einen Maschinenkatalog erstellt, weist es den Ziel-VMs Namens-Tags zu. Anhand der Tags wird das Masterimage von mit MCS erstellten VMs unterschieden und verhindert, dass letztere für die Imageerstellung verwendet werden. Sie können den Unterschied anhand des Attributs
XdProvisioned
in vCenter identifizieren. Das Attribut ist True, wenn MCS VMs erstellt.- Wenden Sie die
InventoryService.Tagging.AttachTag
-Berechtigung auf Root-vCenter Server-Ebene an, ohne sie an Untergeordnete weiterzugeben.
Kryptographische Verfahren
Berechtigungen für kryptografische Verfahren legen fest, welcher Benutzer welche Art von kryptografischem Verfahren an welchem Objekttyp ausführen kann. vSphere Native Key Provider verwendet die Cryptographer.*
-Berechtigungen. Die folgenden Mindestberechtigungen sind für kryptographische Verfahren erforderlich:
Hinweis:
Diese Berechtigungen sind für die Erstellung von MCS-Maschinenkatalogen mit VMs mit vTPM erforderlich.
SDK | Benutzeroberfläche |
---|---|
Cryptographer.Access | Privileges > All Privileges > Cryptographic operations > Direct Access |
Cryptographer.AddDisk | Privileges > All Privileges > Cryptographic operations > Add disk |
Cryptographer.Clone | Privileges > All Privileges > Cryptographic operations > Clone |
Cryptographer.Encrypt | Privileges > All Privileges > Cryptographic operations > Encrypt |
Cryptographer.EncryptNew | Privileges > All Privileges > Cryptographic operations > Encrypt new |
Cryptographer.Decrypt | Privileges > All Privileges > Cryptographic operations > Decrypt |
Cryptographer.Migrate | Privileges > All Privileges > Cryptographic operations > Migrate |
Cryptographer.ReadKeyServersInfo | Privileges > All Privileges > Cryptographic operations > Read KMS information |
Bereitstellen von Maschinen (Citrix Provisioning)
Um VMs über die Citrix Provisioning-Konsole mit dem Citrix Virtual Apps and Desktops-Setupassistenten und dem Assistenten zum Exportieren von Geräten bereitzustellen, sind diese Berechtigungen zum Klonen und Bereitstellen einer Vorlage erforderlich. Legen Sie die Berechtigungen fest, während Sie eine Hostingverbindung herstellen. Sie benötigen alle Berechtigungen von “Bereitstellen von Maschinen (Maschinenerstellungsdienste)” sowie folgende:
SDK | Benutzeroberfläche |
---|---|
VirtualMachine.Config.AddRemoveDevice | Virtual machine > Configuration > Add or remove device |
VirtualMachine.Config.CPUCount | Virtual machine > Configuration > Change CPU Count |
VirtualMachine.Config.Memory | Virtual machine > Configuration > Memory |
VirtualMachine.Config.Settings | Virtual machine > Configuration > Settings |
VirtualMachine.Provisioning.CloneTemplate | Virtual machine > Provisioning > Clone template |
VirtualMachine.Provisioning.DeployTemplate | Virtual machine > Provisioning > Deploy template |
VApp.Export | vApp > Export |
Hinweis:
vApp.Export
ist für die Erstellung von MCS-Maschinenkatalogen mithilfe von Maschinenprofilen erforderlich.
Zertifikat beschaffen und importieren
Um die vSphere-Kommunikation zu schützen, empfiehlt Citrix die Verwendung von HTTPS statt HTTP.
HTTPS benötigt digitale Zertifikate. Verwenden Sie ein digitales Zertifikat von einer Zertifizierungsstelle, das den Sicherheitsrichtlinien Ihrer Organisation entspricht.
Wenn Sie kein digitales Zertifikat verwenden können, das von einer Zertifizierungsstelle ausgestellt wurde, können Sie das mit VMware installierte selbstsignierte Zertifikat verwenden. Tun Sie das nur, wenn die Sicherheitsrichtlinie Ihrer Organisation es zulässt. Fügen Sie das VMware vCenter-Zertifikat jedem Delivery Controller hinzu.
-
Fügen Sie den vollqualifizierten Domänennamen (FQDN) des Computers, auf dem vCenter Server ausgeführt wird, der Hostdatei auf dem Server im Verzeichnis
%SystemRoot%/WINDOWS/system32/Drivers/etc/
hinzu. Dieser Schritt ist nur erforderlich, wenn der FQDN des Computers, auf dem vCenter Server ausgeführt wird, nicht bereits im Domänennamensystem vorhanden ist. -
Rufen Sie das vCenter-Zertifikat mit einer der folgenden drei Methoden ab:
Führen Sie auf dem vCenter-Server folgende Schritte aus:
- Kopieren Sie die Datei rui.crt vom vCenter-Server zu einem Speicherort, auf den Ihre Delivery Controller zugreifen können.
- Navigieren Sie auf dem Controller zu dem Speicherort des exportierten Zertifikats und öffnen Sie die Datei rui.crt.
Laden Sie das Zertifikat über einen Webbrowser herunter. Bei Verwendung von Internet Explorer klicken Sie in Internet Explorer mit der rechten Maustaste und wählen Sie Als Administrator ausführen, um das Zertifikat herunterzuladen oder zu installieren.
- Öffnen Sie einen Webbrowser und stellen Sie eine sichere Webverbindung mit dem vCenter-Server her (z. B. https://server1.domain1.com)).
- Akzeptieren Sie die Sicherheitswarnungen.
- Klicken Sie auf die Adressleiste, in der der Zertifikatfehler angezeigt wird.
- Zeigen Sie das Zertifikat an und klicken Sie auf die Registerkarte “Details”.
- Wählen Sie Copy to file and export in .CER format und geben Sie bei entsprechender Aufforderung einen Namen an.
- Speichern Sie das exportierte Zertifikat.
- Navigieren Sie auf den Speicherort des exportierten Zertifikats und öffnen Sie die CER-Datei.
Importieren Sie direkt über Internet Explorer unter Ausführung als Administrator.
- Öffnen Sie einen Webbrowser und stellen Sie eine sichere Webverbindung mit dem vCenter-Server her (z. B. https://server1.domain1.com)).
- Akzeptieren Sie die Sicherheitswarnungen.
- Klicken Sie auf die Adressleiste, in der der Zertifikatfehler angezeigt wird.
- Zeigen Sie das Zertifikat an.
-
Importieren Sie das Zertifikat auf jedem Controller in den Zertifikatspeicher.
- Klicken Sie auf Zertifikat installieren, wählen Sie Lokaler Computer und klicken Sie dann auf Weiter.
- Wählen Sie Alle Zertifikate in folgendem Speicher speichern und klicken Sie dann auf Durchsuchen. Wählen Sie Vertrauenswürdige Personen und klicken Sie auf OK. Klicken Sie auf Weiter und dann auf Fertigstellen.
Wenn Sie den Namen des vSphere-Servers nach der Installation ändern, müssen Sie ein neues selbstsigniertes Zertifikat auf diesem Server erstellen, bevor Sie das neue Zertifikat importieren.
So geht es weiter
- Wenn dies die erste Bereitstellung ist, lesen Sie Maschinenkatalog erstellen.
- VMware-spezifische Informationen finden Sie unter VMware-Katalog erstellen.