Connexion à VMware
La section Créer et gérer des connexions décrit les assistants qui créent une connexion. Les informations suivantes couvrent les détails spécifiques aux environnements de virtualisation VMware.
Remarque :
Avant de créer une connexion à VMware, vous devez d’abord terminer la configuration de votre compte VMware en tant qu’emplacement de ressources. Voir Environnements de virtualisation VMware.
Autorisations requises
Créez un compte d’utilisateur VMware et un ou plusieurs rôles VMware avec un ensemble, ou la totalité, des autorisations répertoriées dans cet article. Basez la création de rôles sur le niveau de granularité requis pour demander les diverses opérations de Citrix Virtual Apps ou Citrix Virtual Desktops à tout moment. Pour accorder des permissions d’utilisateur spécifiques à tout moment, associez-les au rôle respectif, au niveau du centre de données au minimum.
Les tableaux suivants répertorient les correspondances entre les opérations Citrix Virtual Apps and Desktops et les autorisations VMware minimum requises.
Ajouter des connexions et des ressources
| SDK | Interface utilisateur |
|---|---|
| System.Anonymous, System.Read et System.View | Ajouté automatiquement. Peut utiliser le rôle lecture seule intégré. |
Gestion de l’alimentation
| SDK | Interface utilisateur |
|---|---|
| VirtualMachine.Interact.PowerOff | Virtual machine > Interaction > Power Off |
| VirtualMachine.Interact.PowerOn | Virtual machine > Interaction > Power On |
| VirtualMachine.Interact.Reset | Virtual machine > Interaction > Reset |
| VirtualMachine.Interact.Suspend | Virtual machine > Interaction > Suspend |
Provisionner des machines (Machine Creation Services)
Pour provisionner des machines à l’aide de MCS, les autorisations suivantes sont obligatoires :
| SDK | Interface utilisateur |
|---|---|
| Datastore.AllocateSpace | Datastore > Allocate space |
| Datastore.Browse | Datastore > Browse datastore |
| Datastore.FileManagement | Datastore > Low level file operations |
| Network.Assign | Network > Assign network |
| Resource.AssignVMToPool | Resource > Assign virtual machine to resource pool |
| VirtualMachine.Config.AddExistingDisk | Virtual machine > Configuration > Add existing disk |
| VirtualMachine.Config.AddNewDisk | Virtual machine > Configuration > Add new disk |
| VirtualMachine.Config.AdvancedConfig | Virtual machine > Configuration > Advanced |
| VirtualMachine.Config.RemoveDisk | Virtual machine > Configuration > Remove disk |
| VirtualMachine.Config.CPUCount | Virtual machine > Configuration > Change CPU count |
| VirtualMachine.Config.Memory | Virtual machine > Configuration > Change memory |
| VirtualMachine.Config.Settings | Virtual machine > Configuration > Change settings |
| VirtualMachine.Interact.PowerOff | Virtual machine > Interaction > Power Off |
| VirtualMachine.Interact.PowerOn | Virtual machine > Interaction > Power On |
| VirtualMachine.Interact.Reset | Virtual machine > Interaction > Reset |
| VirtualMachine.Interact.Suspend | Virtual machine > Interaction > Suspend |
| VirtualMachine.Inventory.CreateFromExisting | Virtual machine > Inventory > Create from existing |
| VirtualMachine.Inventory.Create | Virtual machine > Inventory > Create new |
| VirtualMachine.Inventory.Delete | Virtual machine > Inventory > Remove |
| VirtualMachine.Provisioning.Clone | Virtual machine > Provisioning > Clone virtual machine |
| VirtualMachine.State.CreateSnapshot | vSphere 5.0, Update 2, vSphere 5.1, Update 1, and vSphere 6.x, Update 1: Virtual machine > State > Create snapshot; vSphere 5.5: Virtual machine > Snapshot management > Create snapshot |
Mise à jour et restauration de l’image
| SDK | Interface utilisateur |
|---|---|
| Datastore.AllocateSpace | Datastore > Allocate space |
| Datastore.Browse | Datastore > Browse datastore |
| Datastore.FileManagement | Datastore > Low level file operations |
| Network.Assign | Network > Assign network |
| Resource.AssignVMToPool | Resource > Assign virtual machine to resource pool |
| VirtualMachine.Config.AddExistingDisk | Virtual machine > Configuration > Add existing disk |
| VirtualMachine.Config.AddNewDisk | Virtual machine > Configuration > Add new disk |
| VirtualMachine.Config.AdvancedConfig | Virtual machine > Configuration > Advanced |
| VirtualMachine.Config.RemoveDisk | Virtual machine > Configuration > Remove disk |
| VirtualMachine.Interact.PowerOff | Virtual machine > Interaction > Power Off |
| VirtualMachine.Interact.PowerOn | Virtual machine > Interaction > Power On |
| VirtualMachine.Interact.Reset | Virtual machine > Interaction > Reset |
| VirtualMachine.Inventory.CreateFromExisting | Virtual machine > Inventory > Create from existing |
| VirtualMachine.Inventory.Create | Virtual machine > Inventory > Create new |
| VirtualMachine.Inventory.Delete | Virtual machine > Inventory > Remove |
| VirtualMachine.Provisioning.Clone | Virtual machine > Provisioning > Clone virtual machine |
Supprimer des machines provisionnées
| SDK | Interface utilisateur |
|---|---|
| Datastore.Browse | Datastore > Browse datastore |
| Datastore.FileManagement | Datastore > Low level file operations |
| VirtualMachine.Config.RemoveDisk | Virtual machine > Configuration > Remove disk |
| VirtualMachine.Interact.PowerOff | Virtual machine > Interaction > Power Off |
| VirtualMachine.Inventory.Delete | Virtual machine > Inventory > Remove |
Profil de stockage (vSAN)
Pour afficher, créer ou supprimer des stratégies de stockage lors de la création de catalogues sur un datastore vSAN, les autorisations suivantes sont obligatoires :
| SDK | Interface utilisateur |
|---|---|
| storage.Profile-driven storage update | PROFILE-DRIVEN STORAGE > Profile-driven storage update |
| storage.Profile-driven storage view | PROFILE-DRIVEN STORAGE > Profile-driven storage view |
Balises et attributs personnalisés
Les balises et les attributs personnalisés vous permettent de joindre des métadonnées aux machines virtuelles créées dans l’inventaire vSphere, et de faciliter la recherche et le filtrage de ces objets. Pour créer, modifier, attribuer et supprimer des balises ou des catégories, les autorisations suivantes sont obligatoires :
| SDK | Interface utilisateur |
|---|---|
| Tagging.Create | vSphere Tagging > Create vSphere Tag |
| Tagging.Create | vSphere Tagging > Create vSphere Tag Category |
| Tagging.Edit | vSphere Tagging > Edit vSphere Tag |
| Tagging.Edit | vSphere Tagging > Edit vSphere Tag Category |
| Tagging.Delete | vSphere Tagging > Delete vSphere Tag |
| Tagging.Delete | vSphere Tagging > Delete vSphere Tag Category |
| Tagging.Assign | vSphere Tagging > Assign or Unassign vSphere Tag |
| Tagging.Assign | vSphere Tagging > Assign or Unassign vSphere Tag on Object |
| Global.ManageCustomFields | Global > Manage custom attributes |
| Global.SetCustomField | Global > Set custom attribute |
Remarque :
Lorsque MCS crée un catalogue de machines, les machines virtuelles cibles sont étiquetées avec des balises de nom spéciales. Ces balises différencient l’image principale des machines virtuelles créées par MCS et empêchent l’utilisation de machines virtuelles créées par MCS pour la préparation de l’image. La différence est affichée via la valeur de l’attribut
XdProvisioneddans vCenter. L’attribut est défini sur True si MCS crée des machines virtuelles.
Opérations cryptographiques
Les privilèges relatifs aux opérations cryptographiques contrôlent qui peut effectuer un certain type d’opération cryptographique sur un certain type d’objet. vSphere Native Key Provider utilise les privilèges Cryptographer.*. Les autorisations minimales suivantes sont requises pour les opérations cryptographiques :
Remarque :
Ces autorisations sont requises pour créer des catalogues de machines MCS avec une machine virtuelle équipée de vTPM.
| SDK | Interface utilisateur |
|---|---|
| Cryptographic operations.Direct Access | Privileges > All Privileges > Cryptographic operations > Direct Access |
| Cryptographic operations.Add disk | Privileges > All Privileges > Cryptographic operations > Add disk |
| Cryptographic operations.Clone | Privileges > All Privileges > Cryptographic operations > Clone |
| Cryptographic operations.Encrypt | Privileges > All Privileges > Cryptographic operations > Encrypt |
| Cryptographic operations.Encrypt new | Privileges > All Privileges > Cryptographic operations > Encrypt new |
| Cryptographic operations.Decrypt | Privileges > All Privileges > Cryptographic operations > Decrypt |
| Cryptographic operations.Migrate | Privileges > All Privileges > Cryptographic operations > Migrate |
| Cryptographic operations.Read KMS information | Privileges > All Privileges > Cryptographic operations > Read KMS information |
Provisionner des machines (Citrix Provisioning)
Toutes les autorisations de Provisionner des machines (Machine Creation Services) et ce qui suit.
| SDK | Interface utilisateur |
|---|---|
| VirtualMachine.Config.AddRemoveDevice | Virtual machine > Configuration > Add or remove device |
| VirtualMachine.Config.CPUCount | Virtual machine > Configuration > Change CPU Count |
| VirtualMachine.Config.Memory | Virtual machine > Configuration > Memory |
| VirtualMachine.Config.Settings | Virtual machine > Configuration > Settings |
| VirtualMachine.Provisioning.CloneTemplate | Virtual machine > Provisioning > Clone template |
| VirtualMachine.Provisioning.DeployTemplate | Virtual machine > Provisioning > Deploy template |
| vApp.Export | vApp > Export |
Remarque :
- Des autorisations pour cloner et déployer un modèle sont requises pour provisionner des machines virtuelles à l’aide de l’assistant de configuration Citrix Virtual Apps and Desktops et de l’assistant d’exportation de périphériques via la console Citrix Provisioning.
vApp.Exportest nécessaire pour créer des catalogues de machines MCS à l’aide du profil de machine.
Sécuriser les connexions à l’environnement VMware
L’utilisation de connexions HTTPS/SSL à vCenter nécessite que la connexion soit approuvée par Citrix DaaS (anciennement Citrix Virtual Apps and Desktops Service).
Il existe deux options :
-
Chaque Cloud Connector approuve le certificat vCenter et les services disponibles sur le connecteur réutilisent cette approbation. Cette approbation peut provenir d’un des éléments suivants :
- certificat vCenter, émis par l’autorité de certification et approuvé par Windows, résultant en une approbation établie entre Windows et vCenter ;
- certificat vCenter installé sur Windows, ce qui entraîne une approbation établie entre Windows et vCenter.
-
Sinon, l’empreinte numérique SSL est installée sur la base de données Citrix Virtual Apps and Desktops. Cette empreinte numérique est utilisée par Citrix DaaS sur chaque Cloud Connector pour approuver les connexions à vCenter.
Remarque :
Le certificat vCenter et l’empreinte numérique SSL VMware ne sont pas nécessaires pour VMware Cloud et ses solutions partenaires.
Obtenir et importer un certificat
Pour protéger les communications vSphere, Citrix vous recommande d’utiliser HTTPS plutôt que HTTP. HTTPS requiert des certificats numériques. Citrix vous recommande d’utiliser un certificat numérique émis par une autorité de certification conformément à la stratégie de sécurité de votre organisation.
Si vous ne pouvez pas utiliser un certificat numérique émis par une autorité de certification et que la stratégie de sécurité de votre organisation le permet, vous pouvez utiliser le certificat auto-signé installé par VMware. Ajoutez le certificat VMware vCenter à chaque Cloud Connector.
-
Ajoutez le nom de domaine complet (FQDN) de l’ordinateur exécutant vCenter Server dans le fichier d’hôtes de ce serveur, situé à l’emplacement %SystemRoot%/WINDOWS/system32/Drivers/etc/. Cette étape est uniquement nécessaire que si le nom de domaine complet de l’ordinateur exécutant vCenter Server n’est pas déjà présent dans le DNS.
-
Obtenez le certificat vCenter à l’aide de l’une des trois méthodes suivantes :
Depuis le serveur vCenter :
- Copiez le fichier rui.crt depuis le serveur vCenter vers un emplacement accessible sur vos Cloud Connector.
- Sur le Cloud Connector, naviguez vers l’emplacement du certificat exporté et ouvrez le fichier rui.crt.
Téléchargez le certificat à l’aide d’un navigateur Web : si vous utilisez Internet Explorer, selon votre compte utilisateur, il se peut que vous deviez cliquer avec le bouton droit de la souris sur Internet Explorer et choisir Exécuter en tant qu’administrateur pour pouvoir télécharger et installer le certificat.
- Ouvrez votre navigateur Web et créez une connexion Web sécurisée vers le serveur vCenter (par exemple https://server1.domain1.com).
- Acceptez les avertissements relatifs à la sécurité.
- Cliquez sur la barre d’adresse sur laquelle l’erreur de certificat est affichée.
- Affichez le certificat puis cliquez sur l’onglet Détails.
- Sélectionnez Copier dans un fichier puis effectuez l’exportation au format .CER, en fournissant un nom lorsque vous êtes invité à le faire.
- Enregistrez le certificat exporté.
- Naviguez vers l’emplacement du certificat exporté et ouvrez le fichier .CER.
Importez directement depuis Internet Explorer exécuté en tant qu’administrateur :
- Ouvrez votre navigateur Web et créez une connexion Web sécurisée vers le serveur vCenter (par exemple https://server1.domain1.com).
- Acceptez les avertissements relatifs à la sécurité.
- Cliquez sur la barre d’adresse sur laquelle l’erreur de certificat est affichée.
- Affichez le certificat.
-
Importez le certificat dans le magasin de certificats sur chacun de vos Cloud Connector.
- Cliquez sur Installer le certificat, sélectionnez Machine locale, puis cliquez sur Suivant.
- Sélectionnez Placer tous les certificats dans le magasin suivant, puis cliquez sur Parcourir. Sur une version ultérieure prise en charge : sélectionnez Personnes autorisées et cliquez sur OK. Cliquez sur Suivant, puis cliquez sur Terminer.
Important :
Si vous modifiez le nom du serveur vSphere après l’installation, vous devez générer un nouveau certificat auto-signé sur ce serveur avant d’importer le nouveau certificat.
Empreinte numérique SSL VMware
La fonctionnalité d’empreinte numérique SSL VMware résout une erreur fréquemment signalée lors de la création d’une connexion hôte sur un hyperviseur VMware vSphere. Précédemment, les administrateurs devaient créer manuellement une relation d’approbation entre les Delivery Controller gérés par Citrix dans le site et le certificat de l’hyperviseur avant de créer une connexion. La fonctionnalité d’empreinte numérique SSL VMware élimine cette opération manuelle : l’empreinte numérique du certificat non approuvé est stockée dans la base de données du site, de façon à ce que l’hyperviseur puisse être continuellement identifié comme approuvé par Citrix Virtual Apps ou Citrix Virtual Desktops, même s’il ne l’est pas par les Controller.
Lors de la création d’une connexion hôte vSphere, une boîte de dialogue vous permet d’afficher le certificat de la machine à laquelle vous vous connectez. Vous pouvez alors choisir de l’approuver.
L’empreinte numérique VMware SSL peut être mise à jour ultérieurement à l’aide du kit SDK PowerShell Set-Item -LiteralPath "<FullPath_to_connection>" -username $cred.username -Securepassword $cred.password -SslThumbprint "<New ThumbPrint>" -hypervisorAddress <vcenter URL>.
Conseil :
L’empreinte numérique du certificat doit être écrite en lettres majuscules.
Autres ressources
- Si vous êtes dans le processus de déploiement initial, consultez la section Créer des catalogues de machines.
- Pour obtenir des informations spécifiques à VMware, consultez la section Créer un catalogue VMware.