Environnements de virtualisation VMware
Suivez ces instructions si vous utilisez VMware pour fournir des machines virtuelles.
Installez vCenter Server et les outils de gestion appropriés. (Aucun support n’est fourni pour le fonctionnement en mode lié vSphere vCenter.)
Si vous prévoyez d’utiliser MCS, ne désactivez pas la fonctionnalité Datastore Browser dans vCenter Server (décrite dans https://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2101567). Lorsque vous désactivez cette fonctionnalité, MCS ne fonctionne pas correctement.
Vous pouvez utiliser Citrix Provisioning (anciennement Provisioning Services) et Machine Creation Services™ pour provisionner :
- BIOS hérité pour les machines virtuelles de système d’exploitation de bureau ou de serveur prises en charge.
- UEFI pour les machines virtuelles de système d’exploitation de bureau ou de serveur prises en charge, y compris le démarrage sécurisé.
Privilèges requis
Créez un compte utilisateur VMware et un ou plusieurs rôles VMware avec un ensemble ou toutes les autorisations répertoriées dans cet article. Basez la création des rôles sur le niveau de granularité spécifique requis pour les autorisations de l’utilisateur afin de demander les différentes opérations Citrix DaaS™ à tout moment. Pour accorder les autorisations spécifiques à l’utilisateur à tout moment, associez-les au rôle respectif, au niveau du centre de données au minimum, avec l’option Propagate to children sélectionnée. Cependant, pour les autorisations StorageProfile et une autorisation spécifique Tags, appliquez les autorisations au niveau du serveur vCenter racine, sans Propagate to Children. Consultez les notes dans chacune de ces tables.
Les tableaux suivants présentent les correspondances entre les opérations Citrix Virtual Apps and Desktops™ et les privilèges VMware minimaux requis.
Remarque :
Le nom d’affichage de la liste des autorisations, en particulier l’interface utilisateur, est différent pour certaines versions de vSphere. Par exemple, dans vSphere 6.7, l’autorisation interface utilisateur est Modifier la mémoire et Modifier les paramètres, plutôt que Paramètres et Mémoire comme décrit dans les privilèges requis mentionnés sur cette page.
Ajouter des connexions et des ressources
| SDK | Interface utilisateur |
|---|---|
| System.Anonymous, System.Read et System.View | Ajouté automatiquement. Peut utiliser le rôle en lecture seule intégré. |
Gestion de l’alimentation
| SDK | Interface utilisateur |
|---|---|
| VirtualMachine.Interact.PowerOff | Machine virtuelle > Interaction > Mettre hors tension |
| VirtualMachine.Interact.PowerOn | Machine virtuelle > Interaction > Mettre sous tension |
| VirtualMachine.Interact.Reset | Machine virtuelle > Interaction > Réinitialiser |
| VirtualMachine.Interact.Suspend | Machine virtuelle > Interaction > Suspendre |
| Datastore.Browse | Banque de données > Parcourir la banque de données |
Provisionner des machines (Machine Creation Services)
Pour provisionner des machines à l’aide de MCS, les autorisations suivantes sont obligatoires :
| SDK | Interface utilisateur |
|---|---|
| Datastore.AllocateSpace | Datastore > Allouer de l’espace |
| Datastore.Browse | Datastore > Parcourir le datastore |
| Datastore.FileManagement | Datastore > Opérations de fichier de bas niveau |
| Network.Assign | Réseau > Attribuer un réseau |
| Resource.AssignVMToPool | Ressource > Attribuer une machine virtuelle à un pool de ressources |
| VirtualMachine.Config.AddExistingDisk | Machine virtuelle > Configuration > Ajouter un disque existant |
| VirtualMachine.Config.AddNewDisk | Machine virtuelle > Configuration > Ajouter un nouveau disque |
| Machine virtuelle.Configuration.Ajouter ou supprimer un périphérique | Machine virtuelle > Configuration > Ajouter ou supprimer un périphérique |
| VirtualMachine.Config.AdvancedConfig | Machine virtuelle > Configuration > Avancé |
| VirtualMachine.Config.RemoveDisk | Machine virtuelle > Configuration > Supprimer un disque |
| VirtualMachine.Config.CPUCount | Machine virtuelle > Configuration > Modifier le nombre de CPU |
| VirtualMachine.Config.Memory | Machine virtuelle > Configuration > Modifier la mémoire |
| VirtualMachine.Config.Settings | Machine virtuelle > Configuration > Modifier les paramètres |
| VirtualMachine.Interact.PowerOff | Machine virtuelle > Interaction > Mettre hors tension |
| VirtualMachine.Interact.PowerOn | Machine virtuelle > Interaction > Mettre sous tension |
| VirtualMachine.Interact.Reset | Machine virtuelle > Interaction > Réinitialiser |
| VirtualMachine.Interact.Suspend | Machine virtuelle > Interaction > Suspendre |
| VirtualMachine.Inventory.CreateFromExisting | Machine virtuelle > Inventaire > Créer à partir d’un existant |
| VirtualMachine.Inventory.Create | Machine virtuelle > Inventaire > Créer nouveau |
| VirtualMachine.Inventory.Delete | Machine virtuelle > Inventaire > Supprimer |
| VirtualMachine.Provisioning.Clone | Machine virtuelle > Provisionnement > Cloner une machine virtuelle |
| VirtualMachine.State.CreateSnapshot | vSphere 5.0, Mise à jour 2, vSphere 5.1, Mise à jour 1, et vSphere 6.x, Mise à jour 1 : Machine virtuelle > État > Créer un instantané ; vSphere 5.5 : Machine virtuelle > Gestion des instantanés > Créer un instantané |
Mise à jour et restauration d’image
| SDK | Interface utilisateur |
|---|---|
| Datastore.AllocateSpace | Banque de données > Allouer de l’espace |
| Datastore.Browse | Banque de données > Parcourir la banque de données |
| Datastore.FileManagement | Banque de données > Opérations de fichiers de bas niveau |
| Network.Assign | Réseau > Attribuer un réseau |
| Resource.AssignVMToPool | Ressource > Attribuer une machine virtuelle à un pool de ressources |
| VirtualMachine.Config.AddExistingDisk | Machine virtuelle > Configuration > Ajouter un disque existant |
| VirtualMachine.Config.AddNewDisk | Machine virtuelle > Configuration > Ajouter un nouveau disque |
| VirtualMachine.Config.AdvancedConfig | Machine virtuelle > Configuration > Avancé |
| VirtualMachine.Config.RemoveDisk | Machine virtuelle > Configuration > Supprimer un disque |
| VirtualMachine.Interact.PowerOff | Machine virtuelle > Interaction > Mettre hors tension |
| VirtualMachine.Interact.PowerOn | Machine virtuelle > Interaction > Mettre sous tension |
| VirtualMachine.Interact.Reset | Machine virtuelle > Interaction > Réinitialiser |
| VirtualMachine.Inventory.CreateFromExisting | Machine virtuelle > Inventaire > Créer à partir d’un existant |
| VirtualMachine.Inventory.Create | Machine virtuelle > Inventaire > Créer nouveau |
| VirtualMachine.Inventory.Delete | Machine virtuelle > Inventaire > Supprimer |
| VirtualMachine.Provisioning.Clone | Machine virtuelle > Provisionnement > Cloner la machine virtuelle |
Supprimer les machines provisionnées
| SDK | Interface utilisateur |
|---|---|
| Datastore.Browse | Banque de données > Parcourir la banque de données |
| Datastore.FileManagement | Banque de données > Opérations de fichiers de bas niveau |
| VirtualMachine.Config.RemoveDisk | Machine virtuelle > Configuration > Supprimer le disque |
| VirtualMachine.Interact.PowerOff | Machine virtuelle > Interaction > Mettre hors tension |
| VirtualMachine.Inventory.Delete | Machine virtuelle > Inventaire > Supprimer |
Profil de stockage (vSAN)
Pour afficher, créer ou supprimer des stratégies de stockage lors de la création de catalogues sur une banque de données vSAN, les autorisations suivantes sont obligatoires :
| SDK | Interface utilisateur |
|---|---|
| StorageProfile.Update | STOCKAGE BASÉ SUR LES PROFILS > Mise à jour du stockage basé sur les profils. Pour vSphere 8 : Stratégies de stockage de VM > Mettre à jour les stratégies de stockage de VM |
| StorageProfile.View | STOCKAGE BASÉ SUR LES PROFILS > Affichage du stockage basé sur les profils. Pour vSphere 8 : Stratégies de stockage de VM > Afficher les stratégies de stockage de VM |
Remarque :
Appliquer les autorisations de profil de stockage au niveau du serveur vCenter racine, sans Propager aux enfants.
Balises et attributs personnalisés
Les balises et les attributs personnalisés vous permettent d’attacher des métadonnées aux machines virtuelles créées dans l’inventaire vSphere et de faciliter la recherche et le filtrage de ces objets. Pour créer, modifier, attribuer et supprimer des balises ou des catégories, les autorisations suivantes sont obligatoires :
| SDK | Interface utilisateur |
|---|---|
| InventoryService.Tagging.CreateTag | Balises vSphere > Créer une balise vSphere |
| InventoryService.Tagging.CreateCategory | Balises vSphere > Créer une catégorie de balises vSphere |
| InventoryService.Tagging.EditTag | Balises vSphere > Modifier une balise vSphere |
| InventoryService.Tagging.EditCategory | Balises vSphere > Modifier une catégorie de balises vSphere |
| InventoryService.Tagging.DeleteTag | Balises vSphere > Supprimer une balise vSphere |
| InventoryService.Tagging.DeleteCategory | vSphere Tagging > Supprimer la catégorie de balises vSphere |
| InventoryService.Tagging.AttachTag | vSphere Tagging > Attribuer ou annuler l’attribution d’une balise vSphere |
| InventoryService.Tagging.ObjectAttachable | vSphere Tagging > Attribuer ou annuler l’attribution d’une balise vSphere sur un objet |
| Global.ManageCustomFields | Global > Gérer les attributs personnalisés |
| Global.SetCustomField | Global > Définir un attribut personnalisé |
Remarque :
- Lorsque MCS crée un catalogue de machines, il balise les machines virtuelles cibles avec des balises de nom spéciales. Ces balises différencient l’image principale des machines virtuelles créées par MCS et empêchent l’utilisation des machines virtuelles créées par MCS pour la préparation d’images. Vous pouvez identifier la différence par la valeur de l’attribut
XdProvisioneddans vCenter. L’attribut est défini sur True si MCS crée des machines virtuelles.- Appliquez l’autorisation
InventoryService.Tagging.AttachTagau niveau du serveur vCenter racine, sans Propager aux enfants.
Opérations cryptographiques
Les privilèges d’opérations cryptographiques contrôlent qui peut effectuer quel type d’opération cryptographique sur quel type d’objet. vSphere Native Key Provider utilise les privilèges Cryptographer.*. Les autorisations minimales suivantes sont requises pour les opérations cryptographiques :
| SDK | Interface utilisateur |
|---|---|
| Cryptographer.Access | Privilèges > Tous les privilèges > Opérations cryptographiques > Accès direct |
| Cryptographer.AddDisk | Privilèges > Tous les privilèges > Opérations cryptographiques > Ajouter un disque |
| Cryptographer.Clone | Privilèges > Tous les privilèges > Opérations cryptographiques > Cloner |
| Cryptographer.Encrypt | Privilèges > Tous les privilèges > Opérations cryptographiques > Chiffrer |
| Cryptographer.EncryptNew | Privilèges > Tous les privilèges > Opérations cryptographiques > Chiffrer nouveau |
| Cryptographer.Decrypt | Privilèges > Tous les privilèges > Opérations cryptographiques > Déchiffrer |
| Cryptographer.Migrate | Privilèges > Tous les privilèges > Opérations cryptographiques > Migrer |
| Cryptographer.ReadKeyServersInfo | Privilèges > Tous les privilèges > Opérations cryptographiques > Lire les informations KMS |
Provisionner des machines (Citrix Provisioning™)
Ces autorisations pour cloner et déployer un modèle sont requises pour provisionner des VM à l’aide de l’Assistant d’installation de Citrix Virtual Apps and Desktops et de l’Assistant d’exportation de périphériques via la console Citrix Provisioning. Définissez les autorisations lors de la création d’une connexion d’hébergement. Vous avez besoin de toutes les autorisations de Provisionner des machines (Machine Creation Services) et des éléments suivants.
| SDK | Interface utilisateur |
|---|---|
| VirtualMachine.Config.AddRemoveDevice | Machine virtuelle > Configuration > Ajouter ou supprimer un périphérique |
| VirtualMachine.Config.CPUCount | Machine virtuelle > Configuration > Modifier le nombre de CPU |
| VirtualMachine.Config.Memory | Machine virtuelle > Configuration > Mémoire |
| VirtualMachine.Config.Settings | Machine virtuelle > Configuration > Paramètres |
| VirtualMachine.Provisioning.CloneTemplate | Machine virtuelle > Provisionnement > Cloner le modèle |
| VirtualMachine.Provisioning.DeployTemplate | Machine virtuelle > Provisionnement > Déployer le modèle |
| VApp.Export | vApp > Exporter |
Remarque :
VApp.Exportest requis pour la création de catalogues de machines MCS à l’aide d’un profil de machine.
Obtenir et importer un certificat
Pour protéger les communications vSphere, Citrix® recommande d’utiliser HTTPS plutôt que HTTP.
HTTPS nécessite des certificats numériques. Utilisez un certificat numérique émis par une autorité de certification qui respecte la politique de sécurité de votre organisation.
Si vous ne pouvez pas utiliser un certificat numérique émis par une autorité de certification, vous pouvez utiliser le certificat auto-signé installé par VMware. N’utilisez cette méthode que si la politique de sécurité de votre organisation le permet. Ajoutez le certificat VMware vCenter à chaque Delivery Controller.
-
Ajoutez le nom de domaine complet (FQDN) de l’ordinateur exécutant vCenter Server au fichier hosts de ce serveur, à l’emplacement
%SystemRoot%/WINDOWS/system32/Drivers/etc/. Cette étape n’est requise que si le FQDN de l’ordinateur exécutant vCenter Server n’est pas déjà présent dans le système de noms de domaine. -
Obtenez le certificat vCenter en utilisant l’une des trois méthodes suivantes :
À partir du serveur vCenter.
- Copiez le fichier rui.crt du serveur vCenter vers un emplacement accessible sur vos Delivery Controllers.
- Sur le Controller, accédez à l’emplacement du certificat exporté et ouvrez le fichier rui.crt.
Téléchargez le certificat à l’aide d’un navigateur Web. Si vous utilisez Internet Explorer, cliquez avec le bouton droit sur Internet Explorer et choisissez Exécuter en tant qu’administrateur pour télécharger ou installer le certificat.
- Ouvrez votre navigateur Web et établissez une connexion Web sécurisée au serveur vCenter (par exemple https://server1.domain1.com).
- Acceptez les avertissements de sécurité.
- Cliquez sur la barre d’adresse affichant l’erreur de certificat.
- Affichez le certificat et cliquez sur l’onglet Détails.
- Sélectionnez Copier dans un fichier et exporter au format .CER, en fournissant un nom lorsque vous y êtes invité.
- Enregistrez le certificat exporté.
- Accédez à l’emplacement du certificat exporté et ouvrez le fichier .CER.
Importez directement depuis Internet Explorer exécuté en tant qu’administrateur.
- Ouvrez votre navigateur Web et établissez une connexion Web sécurisée au serveur vCenter (par exemple https://server1.domain1.com).
- Acceptez les avertissements de sécurité.
- Cliquez sur la barre d’adresse affichant l’erreur de certificat.
- Affichez le certificat.
-
Importez le certificat dans le magasin de certificats sur chacun de vos contrôleurs.
- Cliquez sur l’option Installer le certificat, sélectionnez Ordinateur local, puis cliquez sur Suivant.
- Sélectionnez Placer tous les certificats dans le magasin suivant, puis cliquez sur Parcourir. Sélectionnez Personnes de confiance, puis cliquez sur OK. Cliquez sur Suivant, puis sur Terminer.
Si vous modifiez le nom du serveur vSphere après l’installation, vous devez générer un nouveau certificat auto-signé sur ce serveur avant d’importer le nouveau certificat.
Considérations relatives à la configuration
Créer une machine virtuelle principale :
Utilisez une machine virtuelle principale pour fournir des bureaux et des applications aux utilisateurs dans un catalogue de machines. Sur votre hyperviseur :
- Installez un VDA sur la machine virtuelle principale, en sélectionnant l’option d’optimisation du bureau, ce qui améliore les performances.
- Prenez un instantané de la machine virtuelle principale à utiliser comme sauvegarde.
Créer une connexion :
Dans l’assistant de création de connexion :
- Sélectionnez le type de connexion VMware.
- Spécifiez l’adresse du point d’accès pour le SDK vCenter.
- Spécifiez les informations d’identification d’un compte utilisateur VMware que vous avez configuré précédemment et qui dispose des autorisations nécessaires pour créer des machines virtuelles. Spécifiez le nom d’utilisateur sous la forme domaine/nom_utilisateur.
Empreinte SSL VMware
La fonctionnalité d’empreinte SSL VMware élimine la nécessité de créer manuellement une connexion d’hôte à un hyperviseur VMware vSphere. Il n’est plus nécessaire de créer manuellement une relation de confiance entre les Delivery Controllers du Site et le certificat de l’hyperviseur avant de créer une connexion.
La fonctionnalité d’empreinte SSL VMware stocke l’empreinte du certificat non approuvé dans la base de données du Site. Cette configuration garantit que l’hyperviseur peut être continuellement identifié comme fiable par Citrix Virtual Apps and Desktops, même si ce n’est pas par les Controllers.
Lors de la création d’une connexion d’hôte vSphere dans Studio, une boîte de dialogue vous permet d’afficher le certificat de la machine à laquelle vous vous connectez. Vous pouvez ensuite choisir de l’approuver ou non.
Dépannage
Si la création du catalogue échoue, consultez CTX294978.