Connessione a VMware
Creare e gestire connessioni e risorse descrive le procedure guidate che creano una connessione. Le seguenti informazioni riguardano i dettagli specifici degli ambienti di virtualizzazione VMware.
Nota:
Prima di creare una connessione a VMware, è necessario completare la configurazione dell’account VMware come posizione delle risorse. Vedere Ambienti di virtualizzazione VMware.
Autorizzazioni richieste
Creare un account utente VMware e uno o più ruoli VMware con un set o tutte le autorizzazioni elencate in questo articolo. Basare la creazione dei ruoli sul livello specifico di granularità richiesto sulle autorizzazioni dell’utente per richiedere le varie operazioni di Citrix DaaS™ in qualsiasi momento. Per concedere le autorizzazioni specifiche dell’utente in qualsiasi momento, associarle al ruolo corrispondente, almeno a livello di data center, con l’opzione Propaga ai figli selezionata. Tuttavia, per le autorizzazioni StorageProfile e una specifica autorizzazione Tags, applicare le autorizzazioni a livello di server vCenter radice, senza Propaga ai figli. Vedere le note in ciascuna di queste tabelle.
Le seguenti tabelle mostrano le mappature tra le operazioni di Citrix DaaS e le autorizzazioni VMware minime richieste.
Aggiungere connessioni e risorse
| SDK | Interfaccia utente |
|---|---|
| System. Anonymous, System. Read, and System.View | Aggiunto automaticamente. Può utilizzare il ruolo di sola lettura integrato. |
Gestione dell’alimentazione
| SDK | Interfaccia utente |
|---|---|
| VirtualMachine.Interact.PowerOff | Macchina virtuale > Interazione > Spegni |
| VirtualMachine.Interact.PowerOn | Macchina virtuale > Interazione > Accendi |
| VirtualMachine.Interact.Reset | Macchina virtuale > Interazione > Reimposta |
| VirtualMachine.Interact.Suspend | Macchina virtuale > Interazione > Sospendi |
| Datastore.Browse | Datastore > Sfoglia datastore |
Provisioning di macchine (Machine Creation Services™)
Per eseguire il provisioning delle macchine utilizzando MCS, sono obbligatorie le seguenti autorizzazioni:
| SDK | Interfaccia utente |
|---|---|
| Datastore.AllocateSpace | Datastore > Alloca spazio |
| Datastore.Browse | Datastore > Sfoglia datastore |
| Datastore.FileManagement | Datastore > Operazioni su file di basso livello |
| Network.Assign | Rete > Assegna rete |
| Resource.AssignVMToPool | Risorsa > Assegna macchina virtuale al pool di risorse |
| VirtualMachine.Config.AddExistingDisk | Macchina virtuale > Configurazione > Aggiungi disco esistente |
| VirtualMachine.Config.AddNewDisk | Macchina virtuale > Configurazione > Aggiungi nuovo disco |
| Virtual machine.Config.Add or remove device | Macchina virtuale > Configurazione > Aggiungi o rimuovi dispositivo |
| VirtualMachine.Config.AdvancedConfig | Macchina virtuale > Configurazione > Avanzate |
| VirtualMachine.Config.RemoveDisk | Macchina virtuale > Configurazione > Rimuovi disco |
| VirtualMachine.Config.CPUCount | Macchina virtuale > Configurazione > Modifica numero CPU |
| VirtualMachine.Config.Memory | Macchina virtuale > Configurazione > Modifica memoria |
| VirtualMachine.Config.Settings | Macchina virtuale > Configurazione > Modifica impostazioni |
| VirtualMachine.Interact.PowerOff | Macchina virtuale > Interazione > Spegni |
| VirtualMachine.Interact.PowerOn | Macchina virtuale > Interazione > Accendi |
| VirtualMachine.Interact.Reset | Macchina virtuale > Interazione > Reimposta |
| VirtualMachine.Interact.Suspend | Macchina virtuale > Interazione > Sospendi |
| VirtualMachine.Inventory.CreateFromExisting | Macchina virtuale > Inventario > Crea da esistente |
| VirtualMachine.Inventory.Create | Macchina virtuale > Inventario > Crea nuovo |
| VirtualMachine.Inventory.Delete | Macchina virtuale > Inventario > Rimuovi |
| VirtualMachine.Provisioning.Clone | Macchina virtuale > Provisioning > Clona macchina virtuale |
| VirtualMachine.State.CreateSnapshot | vSphere 5.0, Update 2, vSphere 5.1, Update 1 e vSphere 6.x, Update 1: Macchina virtuale > Stato > Crea snapshot; vSphere 5.5: Macchina virtuale > Gestione snapshot > Crea snapshot; vSphere 8.0: Macchina virtuale > Gestione snapshot > Crea snapshot |
Aggiornamento e rollback dell’immagine
| SDK | Interfaccia utente |
|---|---|
| Datastore.AllocateSpace | Datastore > Alloca spazio |
| Datastore.Browse | Datastore > Sfoglia datastore |
| Datastore.FileManagement | Datastore > Operazioni su file di basso livello |
| Network.Assign | Rete > Assegna rete |
| Resource.AssignVMToPool | Risorsa > Assegna macchina virtuale al pool di risorse |
| VirtualMachine.Config.AddExistingDisk | Macchina virtuale > Configurazione > Aggiungi disco esistente |
| VirtualMachine.Config.AddNewDisk | Macchina virtuale > Configurazione > Aggiungi nuovo disco |
| VirtualMachine.Config.AdvancedConfig | Macchina virtuale > Configurazione > Avanzate |
| VirtualMachine.Config.RemoveDisk | Macchina virtuale > Configurazione > Rimuovi disco |
| VirtualMachine.Interact.PowerOff | Macchina virtuale > Interazione > Spegni |
| VirtualMachine.Interact.PowerOn | Macchina virtuale > Interazione > Accendi |
| VirtualMachine.Interact.Reset | Macchina virtuale > Interazione > Reimposta |
| VirtualMachine.Inventory.CreateFromExisting | Macchina virtuale > Inventario > Crea da esistente |
| VirtualMachine.Inventory.Create | Macchina virtuale > Inventario > Crea nuovo |
| VirtualMachine.Inventory.Delete | Macchina virtuale > Inventario > Rimuovi |
| VirtualMachine.Provisioning.Clone | Macchina virtuale > Provisioning > Clona macchina virtuale |
Eliminare macchine con provisioning
| SDK | Interfaccia utente |
|---|---|
| Datastore.Browse | Datastore > Sfoglia datastore |
| Datastore.FileManagement | Datastore > Operazioni su file di basso livello |
| VirtualMachine.Config.RemoveDisk | Macchina virtuale > Configurazione > Rimuovi disco |
| VirtualMachine.Interact.PowerOff | Macchina virtuale > Interazione > Spegni |
| VirtualMachine.Inventory.Delete | Macchina virtuale > Inventario > Rimuovi |
Profilo di archiviazione (vSAN)
Per visualizzare, creare o eliminare i criteri di archiviazione durante la creazione di cataloghi su un datastore vSAN, sono obbligatorie le seguenti autorizzazioni:
| SDK | Interfaccia utente |
|---|---|
| StorageProfile.Update | ARCHIVIAZIONE BASATA SU PROFILO > Aggiornamento archiviazione basata su profilo. Per vSphere 8: Criteri di archiviazione VM > Aggiorna criteri di archiviazione VM |
| StorageProfile.View | ARCHIVIAZIONE BASATA SU PROFILO > Visualizzazione archiviazione basata su profilo. Per vSphere 8: Criteri di archiviazione VM > Visualizza criteri di archiviazione VM |
Nota:
Applicare le autorizzazioni del profilo di archiviazione a livello di server vCenter radice, senza Propaga ai figli.
Tag e attributi personalizzati
I tag e gli attributi personalizzati consentono di allegare metadati alle VM create nell’inventario vSphere e facilitano la ricerca e il filtro di questi oggetti. Per creare, modificare, assegnare ed eliminare tag o categorie, sono obbligatorie le seguenti autorizzazioni:
| SDK | Interfaccia utente |
|---|---|
| InventoryService.Tagging.CreateTag | Tagging vSphere > Crea tag vSphere |
| InventoryService.Tagging.CreateCategory | Tagging vSphere > Crea categoria tag vSphere |
| InventoryService.Tagging.EditTag | Tagging vSphere > Modifica tag vSphere |
| InventoryService.Tagging.EditCategory | Tagging vSphere > Modifica categoria tag vSphere |
| InventoryService.Tagging.DeleteTag | Tagging vSphere > Elimina tag vSphere |
| InventoryService.Tagging.DeleteCategory | Tagging vSphere > Elimina categoria tag vSphere |
| InventoryService.Tagging.AttachTag | Tagging vSphere > Assegna o annulla assegnazione tag vSphere |
| InventoryService.Tagging.ObjectAttachable | Tagging vSphere > Assegna o annulla assegnazione tag vSphere su oggetto |
| Global.ManageCustomFields | Globale > Gestisci attributi personalizzati |
| Global.SetCustomField | Globale > Imposta attributo personalizzato |
Nota:
- Quando MCS crea un catalogo di macchine, tagga le VM di destinazione con tag di nome speciali. Questi tag differenziano l’immagine master dalle VM create da MCS e impediscono l’utilizzo delle VM create da MCS per la preparazione dell’immagine. È possibile identificare la differenza dal valore dell’attributo
XdProvisionedin vCenter. L’attributo è impostato su True se MCS crea VM.- Applicare l’autorizzazione
InventoryService.Tagging.AttachTaga livello di server vCenter radice, senza Propaga ai figli.
Operazioni crittografiche
I privilegi delle operazioni crittografiche controllano chi può eseguire quale tipo di operazione crittografica su quale tipo di oggetto. vSphere Native Key Provider utilizza i privilegi Cryptographer.*. Per le operazioni crittografiche sono richieste le seguenti autorizzazioni minime:
Nota:
Queste autorizzazioni sono richieste per la creazione di cataloghi di macchine MCS con VM dotate di vTPM.
| SDK | Interfaccia utente |
|---|---|
| Cryptographer.Access | Privilegi > Tutti i privilegi > Operazioni crittografiche > Accesso diretto |
| Cryptographer.AddDisk | Privilegi > Tutti i privilegi > Operazioni crittografiche > Aggiungi disco |
| Cryptographer.Clone | Privilegi > Tutti i privilegi > Operazioni crittografiche > Clona |
| Cryptographer.Encrypt | Privilegi > Tutti i privilegi > Operazioni crittografiche > Crittografa |
| Cryptographer.EncryptNew | Privilegi > Tutti i privilegi > Operazioni crittografiche > Crittografa nuovo |
| Cryptographer.Decrypt | Privilegi > Tutti i privilegi > Operazioni crittografiche > Decrittografa |
| Cryptographer.Migrate | Privilegi > Tutti i privilegi > Operazioni crittografiche > Migra |
| Cryptographer.ReadKeyServersInfo | Privilegi > Tutti i privilegi > Operazioni crittografiche > Leggi informazioni KMS |
Provisioning di macchine (Citrix Provisioning™)
Queste autorizzazioni per clonare e distribuire un modello sono richieste per il provisioning di VM utilizzando la procedura guidata di configurazione di Citrix Virtual Apps and Desktops™ e la procedura guidata di esportazione dei dispositivi tramite la console di Citrix Provisioning. Impostare le autorizzazioni durante la creazione di una connessione di hosting. Sono necessarie tutte le autorizzazioni da Provisioning di macchine (Machine Creation Services) e le seguenti.
| SDK | Interfaccia utente |
|---|---|
| VirtualMachine.Config.AddRemoveDevice | Macchina virtuale > Configurazione > Aggiungi o rimuovi dispositivo |
| VirtualMachine.Config.CPUCount | Macchina virtuale > Configurazione > Modifica numero CPU |
| VirtualMachine.Config.Memory | Macchina virtuale > Configurazione > Memoria |
| VirtualMachine.Config.Settings | Macchina virtuale > Configurazione > Impostazioni |
| VirtualMachine.Provisioning.CloneTemplate | Macchina virtuale > Provisioning > Clona modello |
| VirtualMachine.Provisioning.DeployTemplate | Macchina virtuale > Provisioning > Distribuisci modello |
| VApp.Export | vApp > Esporta |
Nota:
L’autorizzazione
VApp.Exportè richiesta per la creazione di cataloghi di macchine MCS utilizzando il profilo macchina.
Protezione delle connessioni all’ambiente VMware
L’utilizzo di connessioni HTTPS/SSL a vCenter richiede che la connessione sia considerata attendibile da Citrix DaaS.
Esistono due opzioni:
- (Consigliato) Il database di Citrix DaaS ha l’identificazione personale SSL installata. Questa identificazione personale viene utilizzata da Citrix DaaS su ogni Cloud Connector per considerare attendibili le connessioni a vCenter.
- (Alternativa) Ogni Cloud Connector considera attendibile il certificato vCenter e i servizi sul Cloud Connector riutilizzano questa attendibilità. Questa attendibilità può derivare da:
- Certificato vCenter, rilasciato dall’Autorità di certificazione e considerato attendibile da Windows, con conseguente stabilimento di attendibilità tra Windows e vCenter.
- Certificato vCenter installato su Windows, con conseguente stabilimento di attendibilità tra Windows e vCenter.
Nota:
Il certificato vCenter e l’identificazione personale SSL di VMware non sono richiesti per VMware Cloud e le sue soluzioni partner.
Identificazione personale SSL di VMware
La funzionalità di identificazione personale SSL di VMware risolve un errore frequentemente segnalato durante la creazione di una connessione host a un hypervisor VMware vSphere. In precedenza, gli amministratori dovevano creare manualmente una relazione di attendibilità tra i Delivery Controller gestiti da Citrix nel sito e il certificato dell’hypervisor prima di creare una connessione. La funzionalità di identificazione personale SSL di VMware rimuove tale requisito manuale: l’identificazione personale del certificato non attendibile viene archiviata nel database del sito in modo che l’hypervisor possa essere continuamente identificato come attendibile da Citrix DaaS, anche se non dai Controller.
Quando si crea una connessione host vSphere, una finestra di dialogo consente di visualizzare il certificato della macchina a cui ci si sta connettendo. È quindi possibile scegliere se considerarlo attendibile.
L’identificazione personale SSL di VMware può essere aggiornata in seguito utilizzando l’SDK PowerShell Set-Item -LiteralPath "<FullPath_to_connection>" -username $cred.username -Securepassword $cred.password -SslThumbprint "<New ThumbPrint>" -hypervisorAddress <vcenter URL>.
Suggerimento:
L’identificazione personale del certificato deve essere scritta in lettere maiuscole.
Ottenere e importare un certificato
Per proteggere le comunicazioni vSphere, Citrix® consiglia di utilizzare HTTPS anziché HTTP. HTTPS richiede certificati digitali. Citrix consiglia di utilizzare un certificato digitale rilasciato da un’autorità di certificazione in conformità con la politica di sicurezza dell’organizzazione.
Se non è possibile utilizzare un certificato digitale rilasciato da un’autorità di certificazione e la politica di sicurezza dell’organizzazione lo consente, è possibile utilizzare il certificato autofirmato installato da VMware. Aggiungere il certificato VMware vCenter a ogni Cloud Connector.
-
Aggiungere il nome di dominio completo (FQDN) del computer che esegue vCenter Server al file host su tale server, che si trova in %SystemRoot%/WINDOWS/system32/Drivers/etc/. Questo passaggio è richiesto solo se l’FQDN del computer che esegue vCenter Server non è già presente nel sistema dei nomi di dominio.
-
Ottenere il certificato vCenter utilizzando uno dei tre metodi seguenti:
Dal server vCenter:
- Copiare il file rui.crt dal server vCenter in una posizione accessibile sui Cloud Connector.
- Sul Cloud Connector, navigare alla posizione del certificato esportato e aprire il file rui.crt.
Scaricare il certificato utilizzando un browser web: Se si utilizza Internet Explorer, a seconda dell’account utente, è necessario fare clic con il pulsante destro del mouse su Internet Explorer e scegliere Esegui come amministratore per scaricare o installare il certificato.
- Aprire il browser web ed effettuare una connessione web sicura al server vCenter (ad esempio https://server1.domain1.com).
- Accettare gli avvisi di sicurezza.
- Fare clic sulla barra degli indirizzi che mostra l’errore del certificato.
- Fare clic su Il certificato non è valido, quindi fare clic sulla scheda Dettagli.`
- Fare clic su Esporta..
- Salvare il certificato esportato.
- Navigare alla posizione del certificato esportato e aprire il file .CER.
Importare direttamente da Internet Explorer eseguito come amministratore:
- Aprire il browser web ed effettuare una connessione web sicura al server vCenter (ad esempio https://server1.domain1.com).
- Accettare gli avvisi di sicurezza.
- Fare clic sulla barra degli indirizzi che mostra l’errore del certificato.
- Visualizzare il certificato.
-
Importare il certificato nell’archivio certificati su ogni Cloud Connector.
- Fare clic su Installa certificato, selezionare Computer locale, quindi fare clic su Avanti.
- Selezionare Posiziona tutti i certificati nel seguente archivio, quindi fare clic su Sfoglia. In una versione successiva supportata: Selezionare Persone attendibili e quindi fare clic su OK. Fare clic su Avanti e quindi su Fine.
Importante:
Se si modifica il nome del server vSphere dopo l’installazione, è necessario generare un nuovo certificato autofirmato su tale server prima di importare il nuovo certificato.
Prossimi passi
- Se si è nel processo di distribuzione iniziale, vedere Creare cataloghi di macchine.
- Per informazioni specifiche su VMware, vedere Creare un catalogo VMware.