Connexion à VMware
Créer et gérer des connexions et des ressources décrit les assistants qui créent une connexion. Les informations suivantes couvrent les détails spécifiques aux environnements de virtualisation VMware.
Remarque :
Avant de créer une connexion à VMware, vous devez d’abord configurer votre compte VMware en tant qu’emplacement de ressources. Consultez Environnements de virtualisation VMware.
Autorisations requises
Créez un compte utilisateur VMware et un ou plusieurs rôles VMware avec un ensemble ou toutes les autorisations répertoriées dans cet article. Basez la création des rôles sur le niveau de granularité spécifique requis pour les autorisations de l’utilisateur afin de demander les diverses opérations Citrix DaaS™ à tout moment. Pour accorder les autorisations spécifiques à l’utilisateur à tout moment, associez-les au rôle respectif, au niveau du centre de données au minimum, avec l’option Propager aux enfants sélectionnée. Cependant, pour les autorisations StorageProfile et une autorisation Tags spécifique, appliquez les autorisations au niveau du serveur Root vCenter, sans Propager aux enfants. Consultez les notes dans chacune de ces tables.
Les tableaux suivants présentent les correspondances entre les opérations Citrix DaaS et les autorisations VMware minimales requises.
Ajouter des connexions et des ressources
| SDK | Interface utilisateur |
|---|---|
| System. Anonymous, System. Read, and System.View | Ajouté automatiquement. Peut utiliser le rôle en lecture seule intégré. |
Gestion de l’alimentation
| SDK | Interface utilisateur |
|---|---|
| VirtualMachine.Interact.PowerOff | Machine virtuelle > Interaction > Mettre hors tension |
| VirtualMachine.Interact.PowerOn | Machine virtuelle > Interaction > Mettre sous tension |
| VirtualMachine.Interact.Reset | Machine virtuelle > Interaction > Réinitialiser |
| VirtualMachine.Interact.Suspend | Machine virtuelle > Interaction > Suspendre |
| Datastore.Browse | Banque de données > Parcourir la banque de données |
Provisionner des machines (Machine Creation Services™)
Pour provisionner des machines à l’aide de MCS, les autorisations suivantes sont obligatoires :
| SDK | Interface utilisateur |
|---|---|
| Datastore.AllocateSpace | Banque de données > Allouer de l’espace |
| Datastore.Browse | Banque de données > Parcourir la banque de données |
| Datastore.FileManagement | Banque de données > Opérations de fichiers de bas niveau |
| Network.Assign | Réseau > Attribuer un réseau |
| Resource.AssignVMToPool | Ressource > Attribuer une machine virtuelle au pool de ressources |
| VirtualMachine.Config.AddExistingDisk | Machine virtuelle > Configuration > Ajouter un disque existant |
| VirtualMachine.Config.AddNewDisk | Machine virtuelle > Configuration > Ajouter un nouveau disque |
| Virtual machine.Config.Add or remove device | Machine virtuelle > Configuration > Ajouter ou supprimer un périphérique |
| VirtualMachine.Config.AdvancedConfig | Machine virtuelle > Configuration > Avancé |
| VirtualMachine.Config.RemoveDisk | Machine virtuelle > Configuration > Supprimer un disque |
| VirtualMachine.Config.CPUCount | Machine virtuelle > Configuration > Modifier le nombre de CPU |
| VirtualMachine.Config.Memory | Machine virtuelle > Configuration > Modifier la mémoire |
| VirtualMachine.Config.Settings | Machine virtuelle > Configuration > Modifier les paramètres |
| VirtualMachine.Interact.PowerOff | Machine virtuelle > Interaction > Mettre hors tension |
| VirtualMachine.Interact.PowerOn | Machine virtuelle > Interaction > Mettre sous tension |
| VirtualMachine.Interact.Reset | Machine virtuelle > Interaction > Réinitialiser |
| VirtualMachine.Interact.Suspend | Machine virtuelle > Interaction > Suspendre |
| VirtualMachine.Inventory.CreateFromExisting | Machine virtuelle > Inventaire > Créer à partir d’un existant |
| VirtualMachine.Inventory.Create | Machine virtuelle > Inventaire > Créer un nouveau |
| VirtualMachine.Inventory.Delete | Machine virtuelle > Inventaire > Supprimer |
| VirtualMachine.Provisioning.Clone | Machine virtuelle > Provisionnement > Cloner une machine virtuelle |
| VirtualMachine.State.CreateSnapshot | vSphere 5.0, Update 2, vSphere 5.1, Update 1 et vSphere 6.x, Update 1 : Machine virtuelle > État > Créer un instantané ; vSphere 5.5 : Machine virtuelle > Gestion des instantanés > Créer un instantané ; vSphere 8.0 : Machine virtuelle > Gestion des instantanés > Créer un instantané |
| VirtualMachine.Config.Rename | Machine virtuelle > Configuration > Renommer |
Mise à jour et restauration d’image
| SDK | Interface utilisateur |
|---|---|
| Datastore.AllocateSpace | Banque de données > Allouer de l’espace |
| Datastore.Browse | Banque de données > Parcourir la banque de données |
| Datastore.FileManagement | Banque de données > Opérations de fichiers de bas niveau |
| Network.Assign | Réseau > Attribuer un réseau |
| Resource.AssignVMToPool | Ressource > Attribuer une machine virtuelle au pool de ressources |
| VirtualMachine.Config.AddExistingDisk | Machine virtuelle > Configuration > Ajouter un disque existant |
| VirtualMachine.Config.AddNewDisk | Machine virtuelle > Configuration > Ajouter un nouveau disque |
| VirtualMachine.Config.AdvancedConfig | Machine virtuelle > Configuration > Avancé |
| VirtualMachine.Config.RemoveDisk | Machine virtuelle > Configuration > Supprimer un disque |
| VirtualMachine.Interact.PowerOff | Machine virtuelle > Interaction > Mettre hors tension |
| VirtualMachine.Interact.PowerOn | Machine virtuelle > Interaction > Mettre sous tension |
| VirtualMachine.Interact.Reset | Machine virtuelle > Interaction > Réinitialiser |
| VirtualMachine.Inventory.CreateFromExisting | Machine virtuelle > Inventaire > Créer à partir d’un existant |
| VirtualMachine.Inventory.Create | Machine virtuelle > Inventaire > Créer un nouveau |
| VirtualMachine.Inventory.Delete | Machine virtuelle > Inventaire > Supprimer |
| VirtualMachine.Provisioning.Clone | Machine virtuelle > Provisionnement > Cloner une machine virtuelle |
Partager des images préparées
Pour partager des images préparées entre différentes connexions d’hébergement, les autorisations suivantes sont obligatoires pour la connexion d’hébergement cible :
| SDK | Interface utilisateur |
|---|---|
| Datastore.AllocateSpace | Banque de données > Allouer de l’espace |
| Network.Assign | Réseau > Attribuer un réseau |
| Resource.AssignVMToPool | Ressource > Attribuer une machine virtuelle au pool de ressources |
| VirtualMachine.Config.Add or remove device | Machine virtuelle > Configuration > Ajouter ou supprimer un périphérique |
| VirtualMachine.Config.RemoveDisk | Machine virtuelle > Configuration > Supprimer un disque |
| VirtualMachine.Config.Settings | Machine virtuelle > Configuration > Modifier les paramètres |
| VirtualMachine.Inventory.Register | Machine virtuelle > Inventaire > Enregistrer |
| VirtualMachine.Inventory.Delete | Machine virtuelle > Inventaire > Supprimer |
Supprimer les machines provisionnées
| SDK | Interface utilisateur |
|---|---|
| Datastore.Browse | Banque de données > Parcourir la banque de données |
| Datastore.FileManagement | Banque de données > Opérations de fichiers de bas niveau |
| VirtualMachine.Config.RemoveDisk | Machine virtuelle > Configuration > Supprimer un disque |
| VirtualMachine.Interact.PowerOff | Machine virtuelle > Interaction > Mettre hors tension |
| VirtualMachine.Inventory.Delete | Machine virtuelle > Inventaire > Supprimer |
Profil de stockage
Pour afficher, créer ou supprimer des stratégies de stockage lors de la création de catalogues sur une banque de données vSAN ou vVol, les autorisations suivantes sont obligatoires :
| SDK | Interface utilisateur |
|---|---|
| StorageProfile.Update | STOCKAGE BASÉ SUR DES PROFILS > Mise à jour du stockage basé sur des profils. Pour vSphere 8 : Stratégies de stockage de VM > Mettre à jour les stratégies de stockage de VM |
| StorageProfile.View | STOCKAGE BASÉ SUR DES PROFILS > Affichage du stockage basé sur des profils. Pour vSphere 8 : Stratégies de stockage de VM > Afficher les stratégies de stockage de VM |
Remarque :
Appliquez les autorisations de profil de stockage au niveau du serveur vCenter racine, sans Propager aux enfants.
Balises et attributs personnalisés
Les balises et les attributs personnalisés vous permettent d’associer des métadonnées aux VM créées dans l’inventaire vSphere et de faciliter la recherche et le filtrage de ces objets. Pour créer, modifier, attribuer et supprimer des balises ou des catégories, les autorisations suivantes sont obligatoires :
| SDK | Interface utilisateur |
|---|---|
| InventoryService.Tagging.CreateTag | Balisage vSphere > Créer une balise vSphere |
| InventoryService.Tagging.CreateCategory | Balisage vSphere > Créer une catégorie de balises vSphere |
| InventoryService.Tagging.EditTag | Balisage vSphere > Modifier une balise vSphere |
| InventoryService.Tagging.EditCategory | Balisage vSphere > Modifier une catégorie de balises vSphere |
| InventoryService.Tagging.DeleteTag | Balisage vSphere > Supprimer une balise vSphere |
| InventoryService.Tagging.DeleteCategory | Balisage vSphere > Supprimer une catégorie de balises vSphere |
| InventoryService.Tagging.AttachTag | Balisage vSphere > Attribuer ou désattribuer une balise vSphere |
| InventoryService.Tagging.ObjectAttachable | Balisage vSphere > Attribuer ou désattribuer une balise vSphere sur un objet |
| Global.ManageCustomFields | Global > Gérer les attributs personnalisés |
| Global.SetCustomField | Global > Définir un attribut personnalisé |
Remarque :
- Lorsque MCS crée un catalogue de machines, il balise les VM cibles avec des balises de nom spéciales. Ces balises différencient l’image principale des VM créées par MCS et empêchent l’utilisation des VM créées par MCS pour la préparation d’images. Vous pouvez identifier la différence par la valeur de l’attribut
XdProvisioneddans vCenter. L’attribut est défini sur True si MCS crée des VM.- Appliquez l’autorisation
InventoryService.Tagging.AttachTagau niveau du serveur vCenter racine, sans Propager aux enfants.
Opérations cryptographiques
Les privilèges d’opérations cryptographiques contrôlent qui peut effectuer quel type d’opération cryptographique sur quel type d’objet. Le fournisseur de clés natif vSphere utilise les privilèges Cryptographer.*. Les autorisations minimales suivantes sont requises pour les opérations cryptographiques :
Remarque :
Ces autorisations sont requises pour la création de catalogues de machines MCS avec des VM équipées de vTPM.
| SDK | Interface utilisateur |
|---|---|
| Cryptographer.Access | Privilèges > Tous les privilèges > Opérations cryptographiques > Accès direct |
| Cryptographer.AddDisk | Privilèges > Tous les privilèges > Opérations cryptographiques > Ajouter un disque |
| Cryptographer.Clone | Privilèges > Tous les privilèges > Opérations cryptographiques > Cloner |
| Cryptographer.Encrypt | Privilèges > Tous les privilèges > Opérations cryptographiques > Chiffrer |
| Cryptographer.EncryptNew | Privilèges > Tous les privilèges > Opérations cryptographiques > Chiffrer nouveau |
| Cryptographer.Decrypt | Privilèges > Tous les privilèges > Opérations cryptographiques > Déchiffrer |
| Cryptographer.Migrate | Privilèges > Tous les privilèges > Opérations cryptographiques > Migrer |
| Cryptographer.ReadKeyServersInfo | Privilèges > Tous les privilèges > Opérations cryptographiques > Lire les informations KMS |
Provisionner des machines (Citrix Provisioning™)
Ces autorisations de clonage et de déploiement d’un modèle sont requises pour provisionner des VM à l’aide de l’Assistant d’installation de Citrix Virtual Apps and Desktops™ et de l’Assistant d’exportation de périphériques via la console Citrix Provisioning. Définissez les autorisations lors de la création d’une connexion d’hébergement. Vous avez besoin de toutes les autorisations de Provisionner des machines (Machine Creation Services) et des suivantes.
| SDK | Interface utilisateur |
|---|---|
| VirtualMachine.Config.AddRemoveDevice | Machine virtuelle > Configuration > Ajouter ou supprimer un périphérique |
| VirtualMachine.Config.CPUCount | Machine virtuelle > Configuration > Modifier le nombre de CPU |
| VirtualMachine.Config.Memory | Machine virtuelle > Configuration > Mémoire |
| VirtualMachine.Config.Settings | Machine virtuelle > Configuration > Paramètres |
| VirtualMachine.Provisioning.CloneTemplate | Machine virtuelle > Provisionnement > Cloner un modèle |
| VirtualMachine.Provisioning.DeployTemplate | Machine virtuelle > Provisionnement > Déployer un modèle |
| VApp.Export | vApp > Exporter |
Remarque :
L’autorisation
VApp.Exportest requise pour la création de catalogues de machines MCS à l’aide d’un profil de machine.
Sécurisation des connexions à l’environnement VMware
L’utilisation de connexions HTTPS/SSL à vCenter nécessite que la connexion soit approuvée par Citrix DaaS.
Deux options sont disponibles :
- (Recommandé) La base de données Citrix DaaS a l’empreinte numérique SSL installée. Cette empreinte numérique est utilisée par Citrix DaaS sur chaque Cloud Connector pour approuver les connexions à vCenter.
- (Alternative) Chaque Cloud Connector approuve le certificat vCenter, et les services sur le Cloud Connector réutilisent cette confiance. Cette confiance peut provenir de :
- certificat vCenter, émis par l’Autorité de certification et approuvé par Windows, ce qui établit une relation de confiance entre Windows et vCenter.
- certificat vCenter installé sur Windows, ce qui établit une relation de confiance entre Windows et vCenter.
Remarque :
Le certificat vCenter et l’empreinte numérique SSL VMware ne sont pas requis pour VMware Cloud et ses solutions partenaires.
Empreinte numérique SSL VMware
La fonctionnalité d’empreinte numérique SSL VMware résout une erreur fréquemment signalée lors de la création d’une connexion d’hôte à un hyperviseur VMware vSphere. Auparavant, les administrateurs devaient créer manuellement une relation de confiance entre les Delivery Controllers gérés par Citrix dans le Site et le certificat de l’hyperviseur avant de créer une connexion. La fonctionnalité d’empreinte numérique SSL VMware supprime cette exigence manuelle : l’empreinte numérique du certificat non approuvé est stockée dans la base de données du Site afin que l’hyperviseur puisse être identifié en permanence comme fiable par Citrix DaaS, même s’il ne l’est pas par les Controllers.
Lors de la création d’une connexion d’hôte vSphere, une boîte de dialogue vous permet d’afficher le certificat de la machine à laquelle vous vous connectez. Vous pouvez ensuite choisir de l’approuver.
L’empreinte numérique SSL VMware peut être mise à jour ultérieurement à l’aide du SDK PowerShell Set-Item -LiteralPath "<FullPath_to_connection>" -username $cred.username -Securepassword $cred.password -SslThumbprint "<New ThumbPrint>" -hypervisorAddress <vcenter URL>.
Conseil :
L’empreinte numérique du certificat doit être écrite en majuscules.
Obtenir et importer un certificat
Pour protéger les communications vSphere, Citrix® recommande d’utiliser HTTPS plutôt que HTTP. HTTPS nécessite des certificats numériques. Citrix recommande d’utiliser un certificat numérique émis par une autorité de certification conformément à la politique de sécurité de votre organisation.
Si vous ne pouvez pas utiliser un certificat numérique émis par une autorité de certification et que la politique de sécurité de votre organisation le permet, vous pouvez utiliser le certificat auto-signé installé par VMware. Ajoutez le certificat VMware vCenter à chaque Cloud Connector.
-
Ajoutez le nom de domaine complet (FQDN) de l’ordinateur exécutant vCenter Server au fichier hôte de ce serveur, situé à l’adresse %SystemRoot%/WINDOWS/system32/Drivers/etc/. Cette étape n’est requise que si le FQDN de l’ordinateur exécutant vCenter Server n’est pas déjà présent dans le système de noms de domaine.
-
Obtenez le certificat vCenter en utilisant l’une des trois méthodes suivantes :
Depuis le serveur vCenter :
- Copiez le fichier rui.crt du serveur vCenter vers un emplacement accessible sur vos Cloud Connectors.
- Sur le Cloud Connector, accédez à l’emplacement du certificat exporté et ouvrez le fichier rui.crt.
Téléchargez le certificat à l’aide d’un navigateur web : Si vous utilisez Internet Explorer, selon votre compte d’utilisateur, vous devez cliquer avec le bouton droit sur Internet Explorer et choisir Exécuter en tant qu’administrateur pour télécharger ou installer le certificat.
- Ouvrez votre navigateur web et établissez une connexion web sécurisée au serveur vCenter (par exemple https://server1.domain1.com).
- Acceptez les avertissements de sécurité.
- Cliquez sur la barre d’adresse affichant l’erreur de certificat.
- Cliquez sur Le certificat n’est pas valide, puis sur l’onglet Détails.
- Cliquez sur Exporter…
- Enregistrez le certificat exporté.
- Accédez à l’emplacement du certificat exporté et ouvrez le fichier .CER.
Importez directement depuis Internet Explorer exécuté en tant qu’administrateur :
- Ouvrez votre navigateur web et établissez une connexion web sécurisée au serveur vCenter (par exemple https://server1.domain1.com).
- Acceptez les avertissements de sécurité.
- Cliquez sur la barre d’adresse affichant l’erreur de certificat.
- Affichez le certificat.
-
Importez le certificat dans le magasin de certificats de chaque Cloud Connector.
- Cliquez sur Installer le certificat, sélectionnez Ordinateur local, puis cliquez sur Suivant.
- Sélectionnez Placer tous les certificats dans le magasin suivant, puis cliquez sur Parcourir. Sur une version ultérieure prise en charge : Sélectionnez Personnes de confiance, puis cliquez sur OK. Cliquez sur Suivant, puis sur Terminer.
Important :
Si vous modifiez le nom du serveur vSphere après l’installation, vous devez générer un nouveau certificat auto-signé sur ce serveur avant d’importer le nouveau certificat.
Où aller ensuite
- Si vous êtes en phase de déploiement initial, consultez Créer des catalogues de machines.
- Pour des informations spécifiques à VMware, consultez Créer un catalogue VMware.