Conexión a VMware
Crear y administrar conexiones y recursos describe los asistentes que crean una conexión. La siguiente información cubre detalles específicos de los entornos de virtualización de VMware.
Nota:
Antes de crear una conexión a VMware, primero debes configurar tu cuenta de VMware como una ubicación de recursos. Consulta Entornos de virtualización de VMware.
Permisos necesarios
Crea una cuenta de usuario de VMware y uno o varios roles de VMware con un conjunto o todos los permisos enumerados en este artículo. Basa la creación de los roles en el nivel específico de granularidad requerido sobre los permisos del usuario para solicitar las diversas operaciones de Citrix DaaS™ en cualquier momento. Para conceder los permisos específicos del usuario en cualquier momento, asócialos con el rol respectivo, como mínimo a nivel de centro de datos, con la opción Propagar a los elementos secundarios seleccionada. Sin embargo, para los permisos de StorageProfile y un permiso específico de Tags, aplica los permisos a nivel de servidor vCenter raíz, sin Propagar a los elementos secundarios. Consulta las notas de cada una de esas tablas.
Las siguientes tablas muestran las asignaciones entre las operaciones de Citrix DaaS y los permisos mínimos de VMware requeridos.
Agregar conexiones y recursos
| SDK | Interfaz de usuario |
|---|---|
| System. Anonymous, System. Read y System.View | Agregado automáticamente. Puedes usar el rol de solo lectura integrado. |
Administración de energía
| SDK | Interfaz de usuario |
|---|---|
| VirtualMachine.Interact.PowerOff | Máquina virtual > Interacción > Apagar |
| VirtualMachine.Interact.PowerOn | Máquina virtual > Interacción > Encender |
| VirtualMachine.Interact.Reset | Máquina virtual > Interacción > Reiniciar |
| VirtualMachine.Interact.Suspend | Máquina virtual > Interacción > Suspender |
| Datastore.Browse | Almacén de datos > Explorar almacén de datos |
Aprovisionar máquinas (Machine Creation Services™)
Para aprovisionar máquinas mediante MCS, los siguientes permisos son obligatorios:
| SDK | Interfaz de usuario |
|---|---|
| Datastore.AllocateSpace | Almacén de datos > Asignar espacio |
| Datastore.Browse | Almacén de datos > Explorar almacén de datos |
| Datastore.FileManagement | Almacén de datos > Operaciones de archivos de bajo nivel |
| Network.Assign | Red > Asignar red |
| Resource.AssignVMToPool | Recurso > Asignar máquina virtual a grupo de recursos |
| VirtualMachine.Config.AddExistingDisk | Máquina virtual > Configuración > Agregar disco existente |
| VirtualMachine.Config.AddNewDisk | Máquina virtual > Configuración > Agregar disco nuevo |
| Virtual machine.Config.Add or remove device | Máquina virtual > Configuración > Agregar o quitar dispositivo |
| VirtualMachine.Config.AdvancedConfig | Máquina virtual > Configuración > Avanzado |
| VirtualMachine.Config.RemoveDisk | Máquina virtual > Configuración > Quitar disco |
| VirtualMachine.Config.CPUCount | Máquina virtual > Configuración > Cambiar recuento de CPU |
| VirtualMachine.Config.Memory | Máquina virtual > Configuración > Cambiar memoria |
| VirtualMachine.Config.Settings | Máquina virtual > Configuración > Cambiar configuración |
| VirtualMachine.Interact.PowerOff | Máquina virtual > Interacción > Apagar |
| VirtualMachine.Interact.PowerOn | Máquina virtual > Interacción > Encender |
| VirtualMachine.Interact.Reset | Máquina virtual > Interacción > Reiniciar |
| VirtualMachine.Interact.Suspend | Máquina virtual > Interacción > Suspender |
| VirtualMachine.Inventory.CreateFromExisting | Máquina virtual > Inventario > Crear a partir de existente |
| VirtualMachine.Inventory.Create | Máquina virtual > Inventario > Crear nueva |
| VirtualMachine.Inventory.Delete | Máquina virtual > Inventario > Quitar |
| VirtualMachine.Provisioning.Clone | Máquina virtual > Aprovisionamiento > Clonar máquina virtual |
| VirtualMachine.State.CreateSnapshot | vSphere 5.0, Update 2, vSphere 5.1, Update 1 y vSphere 6.x, Update 1: Máquina virtual > Estado > Crear instantánea; vSphere 5.5: Máquina virtual > Administración de instantáneas > Crear instantánea; vSphere 8.0: Máquina virtual > Administración de instantáneas > Crear instantánea |
| VirtualMachine.Config.Rename | Máquina virtual > Configuración > Cambiar nombre |
Actualización y reversión de imágenes
| SDK | Interfaz de usuario |
|---|---|
| Datastore.AllocateSpace | Almacén de datos > Asignar espacio |
| Datastore.Browse | Almacén de datos > Explorar almacén de datos |
| Datastore.FileManagement | Almacén de datos > Operaciones de archivos de bajo nivel |
| Network.Assign | Red > Asignar red |
| Resource.AssignVMToPool | Recurso > Asignar máquina virtual a grupo de recursos |
| VirtualMachine.Config.AddExistingDisk | Máquina virtual > Configuración > Agregar disco existente |
| VirtualMachine.Config.AddNewDisk | Máquina virtual > Configuración > Agregar disco nuevo |
| VirtualMachine.Config.AdvancedConfig | Máquina virtual > Configuración > Avanzado |
| VirtualMachine.Config.RemoveDisk | Máquina virtual > Configuración > Quitar disco |
| VirtualMachine.Interact.PowerOff | Máquina virtual > Interacción > Apagar |
| VirtualMachine.Interact.PowerOn | Máquina virtual > Interacción > Encender |
| VirtualMachine.Interact.Reset | Máquina virtual > Interacción > Reiniciar |
| VirtualMachine.Inventory.CreateFromExisting | Máquina virtual > Inventario > Crear a partir de existente |
| VirtualMachine.Inventory.Create | Máquina virtual > Inventario > Crear nueva |
| VirtualMachine.Inventory.Delete | Máquina virtual > Inventario > Quitar |
| VirtualMachine.Provisioning.Clone | Máquina virtual > Aprovisionamiento > Clonar máquina virtual |
Compartir imágenes preparadas
Para compartir imágenes preparadas entre diferentes conexiones de alojamiento, los siguientes permisos son obligatorios para la conexión de alojamiento de destino:
| SDK | Interfaz de usuario |
|---|---|
| Datastore.AllocateSpace | Almacén de datos > Asignar espacio |
| Network.Assign | Red > Asignar red |
| Resource.AssignVMToPool | Recurso > Asignar máquina virtual a grupo de recursos |
| VirtualMachine.Config.Add or remove device | Máquina virtual > Configuración > Agregar o quitar dispositivo |
| VirtualMachine.Config.RemoveDisk | Máquina virtual > Configuración > Quitar disco |
| VirtualMachine.Config.Settings | Máquina virtual > Configuración > Cambiar configuración |
| VirtualMachine.Inventory.Register | Máquina virtual > Inventario > Registrar |
| VirtualMachine.Inventory.Delete | Máquina virtual > Inventario > Quitar |
| VirtualMachine.Provisioning.MarkAsTemplate | Máquina virtual > Aprovisionamiento > Marcar como plantilla |
| VirtualMachine.Provisioning.MarkAsVM | Máquina virtual > Aprovisionamiento > Marcar como máquina virtual |
| Host.Config.Network | Host > Configuración > Configuración de red |
Eliminar máquinas aprovisionadas
| SDK | Interfaz de usuario |
|---|---|
| Datastore.Browse | Almacén de datos > Explorar almacén de datos |
| Datastore.FileManagement | Almacén de datos > Operaciones de archivos de bajo nivel |
| VirtualMachine.Config.RemoveDisk | Máquina virtual > Configuración > Quitar disco |
| VirtualMachine.Interact.PowerOff | Máquina virtual > Interacción > Apagar |
| VirtualMachine.Inventory.Delete | Máquina virtual > Inventario > Quitar |
Perfil de almacenamiento
Para ver, crear o eliminar directivas de almacenamiento durante la creación de catálogos en un almacén de datos vSAN o vVol, los siguientes permisos son obligatorios:
| SDK | Interfaz de usuario |
|---|---|
| StorageProfile.Update | ALMACENAMIENTO BASADO EN PERFILES > Actualización de almacenamiento basado en perfiles. Para vSphere 8: Directivas de almacenamiento de VM > Actualizar directivas de almacenamiento de VM |
| StorageProfile.View | ALMACENAMIENTO BASADO EN PERFILES > Vista de almacenamiento basado en perfiles. Para vSphere 8: Directivas de almacenamiento de VM > Ver directivas de almacenamiento de VM |
Nota:
Aplica los permisos del perfil de almacenamiento en el nivel de servidor raíz de vCenter, sin Propagar a elementos secundarios.
Etiquetas y atributos personalizados
Las etiquetas y los atributos personalizados te permiten adjuntar metadatos a las VM creadas en el inventario de vSphere y facilitan la búsqueda y el filtrado de estos objetos. Para crear, modificar, asignar y eliminar etiquetas o categorías, los siguientes permisos son obligatorios:
| SDK | Interfaz de usuario |
|---|---|
| InventoryService.Tagging.CreateTag | Etiquetado de vSphere > Crear etiqueta de vSphere |
| InventoryService.Tagging.CreateCategory | Etiquetado de vSphere > Crear categoría de etiqueta de vSphere |
| InventoryService.Tagging.EditTag | Etiquetado de vSphere > Modificar etiqueta de vSphere |
| InventoryService.Tagging.EditCategory | Etiquetado de vSphere > Modificar categoría de etiqueta de vSphere |
| InventoryService.Tagging.DeleteTag | Etiquetado de vSphere > Eliminar etiqueta de vSphere |
| InventoryService.Tagging.DeleteCategory | Etiquetado de vSphere > Eliminar categoría de etiqueta de vSphere |
| InventoryService.Tagging.AttachTag | Etiquetado de vSphere > Asignar o anular la asignación de etiqueta de vSphere |
| InventoryService.Tagging.ObjectAttachable | Etiquetado de vSphere > Asignar o anular la asignación de etiqueta de vSphere en el objeto |
| Global.ManageCustomFields | Global > Administrar atributos personalizados |
| Global.SetCustomField | Global > Establecer atributo personalizado |
Nota:
- Cuando MCS crea un catálogo de máquinas, etiqueta las VM de destino con etiquetas de nombre especiales. Estas etiquetas diferencian la imagen maestra de las VM creadas por MCS y evitan el uso de las VM creadas por MCS para la preparación de imágenes. Puedes identificar la diferencia por el valor del atributo
XdProvisioneden vCenter. El atributo se establece en True si MCS crea VM.- Aplica el permiso
InventoryService.Tagging.AttachTagen el nivel de servidor raíz de vCenter, sin Propagar a elementos secundarios.
Operaciones criptográficas
Los privilegios de operaciones criptográficas controlan quién puede realizar qué tipo de operación criptográfica en qué tipo de objeto. vSphere Native Key Provider usa los privilegios Cryptographer.*. Los siguientes permisos mínimos son necesarios para las operaciones criptográficas:
Nota:
Estos permisos son necesarios para crear catálogos de máquinas MCS con VM equipadas con vTPM.
- | SDK | Interfaz de usuario |
| Cryptographer.Access | Privilegios > Todos los privilegios > Operaciones criptográficas > Acceso directo |
| Cryptographer.AddDisk | Privilegios > Todos los privilegios > Operaciones criptográficas > Agregar disco |
| Cryptographer.Clone | Privilegios > Todos los privilegios > Operaciones criptográficas > Clonar |
| Cryptographer.Encrypt | Privilegios > Todos los privilegios > Operaciones criptográficas > Cifrar |
| Cryptographer.EncryptNew | Privilegios > Todos los privilegios > Operaciones criptográficas > Cifrar nuevo |
| Cryptographer.Decrypt | Privilegios > Todos los privilegios > Operaciones criptográficas > Descifrar |
| Cryptographer.Migrate | Privilegios > Todos los privilegios > Operaciones criptográficas > Migrar |
| Cryptographer.ReadKeyServersInfo | Privilegios > Todos los privilegios > Operaciones criptográficas > Leer información de KMS |
Aprovisionar máquinas (Citrix Provisioning™)
Estos permisos para clonar e implementar una plantilla son necesarios para aprovisionar VM mediante el Asistente de configuración de Citrix Virtual Apps and Desktops™ y el Asistente para exportar dispositivos a través de la consola de Citrix Provisioning. Establece los permisos al crear una conexión de alojamiento. Necesitas todos los permisos de Aprovisionar máquinas (Machine Creation Services) y los siguientes.
| SDK | Interfaz de usuario |
|---|---|
| VirtualMachine.Config.AddRemoveDevice | Máquina virtual > Configuración > Agregar o quitar dispositivo |
| VirtualMachine.Config.CPUCount | Máquina virtual > Configuración > Cambiar recuento de CPU |
| VirtualMachine.Config.Memory | Máquina virtual > Configuración > Memoria |
| VirtualMachine.Config.Settings | Máquina virtual > Configuración > Configuración |
| VirtualMachine.Provisioning.CloneTemplate | Máquina virtual > Aprovisionamiento > Clonar plantilla |
| VirtualMachine.Provisioning.DeployTemplate | Máquina virtual > Aprovisionamiento > Implementar plantilla |
| VApp.Export | vApp > Exportar |
Nota:
El permiso
VApp.Exportes necesario para crear catálogos de máquinas MCS mediante un perfil de máquina.
Protección de las conexiones al entorno VMware
El uso de conexiones HTTPS/SSL a vCenter requiere que Citrix DaaS confíe en la conexión.
Hay dos opciones:
- (Recomendado) La base de datos de Citrix DaaS tiene instalada la huella digital SSL. Citrix DaaS utiliza esta huella digital en cada Cloud Connector para confiar en las conexiones a vCenter.
- (Alternativa) Cada Cloud Connector confía en el certificado de vCenter, y los servicios del Cloud Connector reutilizan esta confianza. Esta confianza puede provenir de:
- El certificado de vCenter, emitido por la entidad de certificación y de confianza para Windows, lo que da como resultado una confianza establecida entre Windows y vCenter.
- El certificado de vCenter instalado en Windows, lo que da como resultado una confianza establecida entre Windows y vCenter.
Nota:
El certificado de vCenter y la huella digital SSL de VMware no son necesarios para VMware Cloud y sus soluciones asociadas.
Huella digital SSL de VMware
La función de huella digital SSL de VMware aborda un error notificado con frecuencia al crear una conexión de host a un hipervisor VMware vSphere. Anteriormente, los administradores tenían que crear manualmente una relación de confianza entre los Delivery Controllers administrados por Citrix en el sitio y el certificado del hipervisor antes de crear una conexión. La función de huella digital SSL de VMware elimina ese requisito manual: la huella digital del certificado no confiable se almacena en la base de datos del sitio para que Citrix DaaS pueda identificar continuamente el hipervisor como de confianza, incluso si no lo es para los Controllers.
Al crear una conexión de host de vSphere, un cuadro de diálogo te permite ver el certificado de la máquina a la que te estás conectando. Luego puedes elegir si confiar en él.
El thumbprint SSL de VMware se puede actualizar más tarde mediante el SDK de PowerShell Set-Item -LiteralPath "<FullPath_to_connection>" -username $cred.username -Securepassword $cred.password -SslThumbprint "<New ThumbPrint>" -hypervisorAddress <vcenter URL>.
Consejo:
El thumbprint del certificado debe escribirse en mayúsculas.
Obtener e importar un certificado
Para proteger las comunicaciones de vSphere, Citrix® recomienda que uses HTTPS en lugar de HTTP. HTTPS requiere certificados digitales. Citrix recomienda que uses un certificado digital emitido por una autoridad de certificación de acuerdo con la política de seguridad de tu organización.
Si no puedes usar un certificado digital emitido por una autoridad de certificación, y la política de seguridad de tu organización lo permite, puedes usar el certificado autofirmado instalado por VMware. Agrega el certificado de VMware vCenter a cada Cloud Connector.
-
Agrega el nombre de dominio completo (FQDN) del equipo que ejecuta vCenter Server al archivo host de ese servidor, ubicado en %SystemRoot%/WINDOWS/system32/Drivers/etc/. Este paso solo es necesario si el FQDN del equipo que ejecuta vCenter Server no está ya presente en el sistema de nombres de dominio.
-
Obtén el certificado de vCenter mediante cualquiera de los tres métodos siguientes:
Desde el servidor de vCenter:
- Copia el archivo rui.crt del servidor de vCenter a una ubicación accesible en tus Cloud Connectors.
- En el Cloud Connector, navega hasta la ubicación del certificado exportado y abre el archivo rui.crt.
Descarga el certificado mediante un explorador web: Si usas Internet Explorer, según tu cuenta de usuario, debes hacer clic con el botón derecho en Internet Explorer y elegir Ejecutar como administrador para descargar o instalar el certificado.
- Abre tu explorador web y establece una conexión web segura con el servidor de vCenter (por ejemplo, https://server1.domain1.com).
- Acepta las advertencias de seguridad.
- Haz clic en la barra de direcciones que muestra el error del certificado.
- Haz clic en El certificado no es válido y, a continuación, haz clic en la ficha Detalles.
- Haz clic en Exportar…
- Guarda el certificado exportado.
- Navega hasta la ubicación del certificado exportado y abre el archivo .CER.
Importar directamente desde Internet Explorer ejecutándose como administrador:
- Abre tu explorador web y establece una conexión web segura con el servidor de vCenter (por ejemplo, https://server1.domain1.com).
- Acepta las advertencias de seguridad.
- Haz clic en la barra de direcciones que muestra el error del certificado.
- Visualiza el certificado.
-
Importa el certificado al almacén de certificados de cada Cloud Connector.
- Haz clic en Instalar certificado, selecciona Equipo local y, a continuación, haz clic en Siguiente.
- Selecciona Colocar todos los certificados en el siguiente almacén y, a continuación, haz clic en Explorar. En una versión posterior compatible: selecciona Personas de confianza y, a continuación, haz clic en Aceptar. Haz clic en Siguiente y, a continuación, haz clic en Finalizar.
Importante:
Si cambias el nombre del servidor de vSphere después de la instalación, debes generar un nuevo certificado autofirmado en ese servidor antes de importar el nuevo certificado.
Pasos siguientes
- Si estás en el proceso de implementación inicial, consulta Crear catálogos de máquinas.
- Para obtener información específica de VMware, consulta Crear un catálogo de VMware.