Connessione a VMware
Creare e gestire connessioni e risorse descrive le procedure guidate che creano una connessione. Le seguenti informazioni coprono i dettagli specifici degli ambienti di virtualizzazione VMware.
Nota:
Prima di creare una connessione a VMware, è necessario completare la configurazione dell’account VMware come posizione delle risorse. Vedere Ambienti di virtualizzazione VMware.
Autorizzazioni richieste
Creare un account utente VMware e uno o più ruoli VMware con un set o tutte le autorizzazioni elencate in questo articolo. Basare la creazione dei ruoli sul livello specifico di granularità richiesto sulle autorizzazioni dell’utente per richiedere le varie operazioni Citrix DaaS™ in qualsiasi momento. Per concedere le autorizzazioni specifiche dell’utente in qualsiasi momento, associarle al rispettivo ruolo, almeno a livello di data center, con l’opzione Propaga ai figli selezionata. Tuttavia, per le autorizzazioni StorageProfile e una specifica autorizzazione Tags, applicare le autorizzazioni a livello di Root vCenter Server, senza Propaga ai figli. Vedere le note in ciascuna di queste tabelle.
Le tabelle seguenti mostrano le mappature tra le operazioni Citrix DaaS e le autorizzazioni VMware minime richieste.
Aggiungere connessioni e risorse
| SDK | Interfaccia utente |
|---|---|
| System. Anonymous, System. Read e System.View | Aggiunto automaticamente. Può utilizzare il ruolo di sola lettura integrato. |
Gestione dell’alimentazione
| SDK | Interfaccia utente |
|---|---|
| VirtualMachine.Interact.PowerOff | Macchina virtuale > Interazione > Spegni |
| VirtualMachine.Interact.PowerOn | Macchina virtuale > Interazione > Accendi |
| VirtualMachine.Interact.Reset | Macchina virtuale > Interazione > Reimposta |
| VirtualMachine.Interact.Suspend | Macchina virtuale > Interazione > Sospendi |
| Datastore.Browse | Datastore > Sfoglia datastore |
Provisioning delle macchine (Machine Creation Services™)
Per eseguire il provisioning delle macchine utilizzando MCS, le seguenti autorizzazioni sono obbligatorie:
| SDK | Interfaccia utente |
|---|---|
| Datastore.AllocateSpace | Datastore > Alloca spazio |
| Datastore.Browse | Datastore > Sfoglia datastore |
| Datastore.FileManagement | Datastore > Operazioni sui file di basso livello |
| Network.Assign | Rete > Assegna rete |
| Resource.AssignVMToPool | Risorsa > Assegna macchina virtuale al pool di risorse |
| VirtualMachine.Config.AddExistingDisk | Macchina virtuale > Configurazione > Aggiungi disco esistente |
| VirtualMachine.Config.AddNewDisk | Macchina virtuale > Configurazione > Aggiungi nuovo disco |
| Virtual machine.Config.Add or remove device | Macchina virtuale > Configurazione > Aggiungi o rimuovi dispositivo |
| VirtualMachine.Config.AdvancedConfig | Macchina virtuale > Configurazione > Avanzate |
| VirtualMachine.Config.RemoveDisk | Macchina virtuale > Configurazione > Rimuovi disco |
| VirtualMachine.Config.CPUCount | Macchina virtuale > Configurazione > Modifica conteggio CPU |
| VirtualMachine.Config.Memory | Macchina virtuale > Configurazione > Modifica memoria |
| VirtualMachine.Config.Settings | Macchina virtuale > Configurazione > Modifica impostazioni |
| VirtualMachine.Interact.PowerOff | Macchina virtuale > Interazione > Spegni |
| VirtualMachine.Interact.PowerOn | Macchina virtuale > Interazione > Accendi |
| VirtualMachine.Interact.Reset | Macchina virtuale > Interazione > Reimposta |
| VirtualMachine.Interact.Suspend | Macchina virtuale > Interazione > Sospendi |
| VirtualMachine.Inventory.CreateFromExisting | Macchina virtuale > Inventario > Crea da esistente |
| VirtualMachine.Inventory.Create | Macchina virtuale > Inventario > Crea nuovo |
| VirtualMachine.Inventory.Delete | Macchina virtuale > Inventario > Rimuovi |
| VirtualMachine.Provisioning.Clone | Macchina virtuale > Provisioning > Clona macchina virtuale |
| VirtualMachine.State.CreateSnapshot | vSphere 5.0, Update 2, vSphere 5.1, Update 1 e vSphere 6.x, Update 1: Macchina virtuale > Stato > Crea snapshot; vSphere 5.5: Macchina virtuale > Gestione snapshot > Crea snapshot; vSphere 8.0: Macchina virtuale > Gestione snapshot > Crea snapshot |
| VirtualMachine.Config.Rename | Macchina virtuale > Configurazione > Rinomina |
Aggiornamento e rollback dell’immagine
| SDK | Interfaccia utente |
|---|---|
| Datastore.AllocateSpace | Datastore > Alloca spazio |
| Datastore.Browse | Datastore > Sfoglia datastore |
| Datastore.FileManagement | Datastore > Operazioni sui file di basso livello |
| Network.Assign | Rete > Assegna rete |
| Resource.AssignVMToPool | Risorsa > Assegna macchina virtuale al pool di risorse |
| VirtualMachine.Config.AddExistingDisk | Macchina virtuale > Configurazione > Aggiungi disco esistente |
| VirtualMachine.Config.AddNewDisk | Macchina virtuale > Configurazione > Aggiungi nuovo disco |
| VirtualMachine.Config.AdvancedConfig | Macchina virtuale > Configurazione > Avanzate |
| VirtualMachine.Config.RemoveDisk | Macchina virtuale > Configurazione > Rimuovi disco |
| VirtualMachine.Interact.PowerOff | Macchina virtuale > Interazione > Spegni |
| VirtualMachine.Interact.PowerOn | Macchina virtuale > Interazione > Accendi |
| VirtualMachine.Interact.Reset | Macchina virtuale > Interazione > Reimposta |
| VirtualMachine.Inventory.CreateFromExisting | Macchina virtuale > Inventario > Crea da esistente |
| VirtualMachine.Inventory.Create | Macchina virtuale > Inventario > Crea nuovo |
| VirtualMachine.Inventory.Delete | Macchina virtuale > Inventario > Rimuovi |
| VirtualMachine.Provisioning.Clone | Macchina virtuale > Provisioning > Clona macchina virtuale |
Condividere immagini preparate
Per condividere immagini preparate tra diverse connessioni di hosting, le seguenti autorizzazioni sono obbligatorie per la connessione di hosting di destinazione:
| SDK | Interfaccia utente |
|---|---|
| Datastore.AllocateSpace | Datastore > Alloca spazio |
| Network.Assign | Rete > Assegna rete |
| Resource.AssignVMToPool | Risorsa > Assegna macchina virtuale al pool di risorse |
| VirtualMachine.Config.Add or remove device | Macchina virtuale > Configurazione > Aggiungi o rimuovi dispositivo |
| VirtualMachine.Config.RemoveDisk | Macchina virtuale > Configurazione > Rimuovi disco |
| VirtualMachine.Config.Settings | Macchina virtuale > Configurazione > Modifica impostazioni |
| VirtualMachine.Inventory.Register | Macchina virtuale > Inventario > Registra |
| VirtualMachine.Inventory.Delete | Macchina virtuale > Inventario > Rimuovi |
| VirtualMachine.Provisioning.MarkAsTemplate | Macchina virtuale > Provisioning > Contrassegna come modello |
| VirtualMachine.Provisioning.MarkAsVM | Macchina virtuale > Provisioning > Contrassegna come macchina virtuale |
| Host.Config.Network | Host > Configurazione > Configurazione di rete |
Eliminare macchine sottoposte a provisioning
| SDK | Interfaccia utente |
|---|---|
| Datastore.Browse | Datastore > Sfoglia datastore |
| Datastore.FileManagement | Datastore > Operazioni sui file di basso livello |
| VirtualMachine.Config.RemoveDisk | Macchina virtuale > Configurazione > Rimuovi disco |
| VirtualMachine.Interact.PowerOff | Macchina virtuale > Interazione > Spegni |
| VirtualMachine.Inventory.Delete | Macchina virtuale > Inventario > Rimuovi |
Profilo di archiviazione
Per visualizzare, creare o eliminare criteri di archiviazione durante la creazione di cataloghi su un datastore vSAN o vVol, le seguenti autorizzazioni sono obbligatorie:
| SDK | Interfaccia utente |
|---|---|
| StorageProfile.Update | ARCHIVIAZIONE BASATA SU PROFILI > Aggiornamento archiviazione basata su profili. Per vSphere 8: Criteri di archiviazione VM > Aggiorna criteri di archiviazione VM |
| StorageProfile.View | ARCHIVIAZIONE BASATA SU PROFILI > Visualizzazione archiviazione basata su profili. Per vSphere 8: Criteri di archiviazione VM > Visualizza criteri di archiviazione VM |
Nota:
Applicare le autorizzazioni del profilo di archiviazione a livello di Root vCenter Server, senza Propaga ai figli.
Tag e attributi personalizzati
I tag e gli attributi personalizzati consentono di allegare metadati alle VM create nell’inventario vSphere e facilitano la ricerca e il filtro di questi oggetti. Per creare, modificare, assegnare ed eliminare tag o categorie, sono necessarie le seguenti autorizzazioni:
| SDK | Interfaccia utente |
|---|---|
| InventoryService.Tagging.CreateTag | Tagging vSphere > Crea tag vSphere |
| InventoryService.Tagging.CreateCategory | Tagging vSphere > Crea categoria tag vSphere |
| InventoryService.Tagging.EditTag | Tagging vSphere > Modifica tag vSphere |
| InventoryService.Tagging.EditCategory | Tagging vSphere > Modifica categoria tag vSphere |
| InventoryService.Tagging.DeleteTag | Tagging vSphere > Elimina tag vSphere |
| InventoryService.Tagging.DeleteCategory | Tagging vSphere > Elimina categoria tag vSphere |
| InventoryService.Tagging.AttachTag | Tagging vSphere > Assegna o annulla assegnazione tag vSphere |
| InventoryService.Tagging.ObjectAttachable | Tagging vSphere > Assegna o annulla assegnazione tag vSphere su oggetto |
| Global.ManageCustomFields | Globale > Gestisci attributi personalizzati |
| Global.SetCustomField | Globale > Imposta attributo personalizzato |
Nota:
- Quando MCS crea un catalogo di macchine, tagga le VM di destinazione con tag di nome speciali. Questi tag differenziano l’immagine master dalle VM create da MCS e impediscono l’utilizzo delle VM create da MCS per la preparazione dell’immagine. È possibile identificare la differenza dal valore dell’attributo
XdProvisionedin vCenter. L’attributo è impostato su True se MCS crea VM.- Applicare l’autorizzazione
InventoryService.Tagging.AttachTaga livello di Root vCenter Server, senza Propaga ai figli.
Operazioni crittografiche
I privilegi delle operazioni crittografiche controllano chi può eseguire quale tipo di operazione crittografica su quale tipo di oggetto. vSphere Native Key Provider utilizza i privilegi Cryptographer.*. Per le operazioni crittografiche sono necessarie le seguenti autorizzazioni minime:
Nota:
Queste autorizzazioni sono necessarie per la creazione di cataloghi di macchine MCS con VM dotate di vTPM.
- | SDK | Interfaccia utente | | -- | -- | |Cryptographer.Access|\*\*Privilegi > Tutti i privilegi > Operazioni crittografiche > Accesso diretto\*\*| |Cryptographer.AddDisk|\*\*Privilegi > Tutti i privilegi > Operazioni crittografiche > Aggiungi disco\*\*| |Cryptographer.Clone|\*\*Privilegi > Tutti i privilegi > Operazioni crittografiche > Clona\*\*| |Cryptographer.Encrypt|\*\*Privilegi > Tutti i privilegi > Operazioni crittografiche > Crittografa\*\*| |Cryptographer.EncryptNew|\*\*Privilegi > Tutti i privilegi > Operazioni crittografiche > Crittografa nuovo\*\*| |Cryptographer.Decrypt|\*\*Privilegi > Tutti i privilegi > Operazioni crittografiche > Decrittografa\*\*| |Cryptographer.Migrate|\*\*Privilegi > Tutti i privilegi > Operazioni crittografiche > Migra\*\*| |Cryptographer.ReadKeyServersInfo|\*\*Privilegi > Tutti i privilegi > Operazioni crittografiche > Leggi informazioni KMS\*\* |
Provisioning di macchine (Citrix Provisioning™)
Queste autorizzazioni per clonare e distribuire un modello sono necessarie per il provisioning di VM utilizzando la Creazione guidata di Citrix Virtual Apps and Desktops™ e la Creazione guidata di dispositivi di esportazione tramite la console di Citrix Provisioning. Impostare le autorizzazioni durante la creazione di una connessione di hosting. Sono necessarie tutte le autorizzazioni da Provisioning di macchine (Machine Creation Services) e le seguenti.
| SDK | Interfaccia utente |
|---|---|
| VirtualMachine.Config.AddRemoveDevice | Macchina virtuale > Configurazione > Aggiungi o rimuovi dispositivo |
| VirtualMachine.Config.CPUCount | Macchina virtuale > Configurazione > Modifica conteggio CPU |
| VirtualMachine.Config.Memory | Macchina virtuale > Configurazione > Memoria |
| VirtualMachine.Config.Settings | Macchina virtuale > Configurazione > Impostazioni |
| VirtualMachine.Provisioning.CloneTemplate | Macchina virtuale > Provisioning > Clona modello |
| VirtualMachine.Provisioning.DeployTemplate | Macchina virtuale > Provisioning > Distribuisci modello |
| VApp.Export | vApp > Esporta |
Nota:
L’autorizzazione
VApp.Exportè necessaria per la creazione di cataloghi di macchine MCS utilizzando il profilo macchina.
Protezione delle connessioni all’ambiente VMware
L’utilizzo di connessioni HTTPS/SSL a vCenter richiede che la connessione sia considerata attendibile da Citrix DaaS.
Sono disponibili due opzioni:
- (Consigliato) Il database di Citrix DaaS ha l'identificazione digitale SSL installata. Questa identificazione digitale viene utilizzata da Citrix DaaS su ogni Cloud Connector per considerare attendibili le connessioni a vCenter.
- (Alternativa) Ogni Cloud Connector considera attendibile il certificato vCenter e i servizi sul Cloud Connector riutilizzano questa attendibilità. Questa attendibilità può derivare da:
- Certificato vCenter, rilasciato dall’Autorità di certificazione e considerato attendibile da Windows, con conseguente attendibilità stabilita tra Windows e vCenter.
- Certificato vCenter installato su Windows, con conseguente attendibilità stabilita tra Windows e vCenter.
Nota:
Il certificato vCenter e l’identificazione digitale SSL di VMware non sono necessari per VMware Cloud e le sue soluzioni partner.
Identificazione digitale SSL di VMware
La funzionalità di identificazione digitale SSL di VMware risolve un errore frequentemente segnalato durante la creazione di una connessione host a un hypervisor VMware vSphere. In precedenza, gli amministratori dovevano creare manualmente una relazione di attendibilità tra i Delivery Controller gestiti da Citrix nel sito e il certificato dell’hypervisor prima di creare una connessione. La funzionalità di identificazione digitale SSL di VMware elimina tale requisito manuale: l’identificazione digitale del certificato non attendibile viene archiviata nel database del sito in modo che l’hypervisor possa essere continuamente identificato come attendibile da Citrix DaaS, anche se non dai Controller.
Quando si crea una connessione host vSphere, una finestra di dialogo consente di visualizzare il certificato della macchina a cui ci si sta connettendo. È quindi possibile scegliere se considerarlo attendibile.
L’impronta digitale SSL di VMware può essere aggiornata in seguito utilizzando l’SDK PowerShell Set-Item -LiteralPath "<FullPath_to_connection>" -username $cred.username -Securepassword $cred.password -SslThumbprint "<New ThumbPrint>" -hypervisorAddress <vcenter URL>.
Suggerimento:
L’impronta digitale del certificato deve essere scritta in lettere maiuscole.
Ottenere e importare un certificato
Per proteggere le comunicazioni vSphere, Citrix® consiglia di utilizzare HTTPS anziché HTTP. HTTPS richiede certificati digitali. Citrix consiglia di utilizzare un certificato digitale rilasciato da un’autorità di certificazione in conformità con la politica di sicurezza dell’organizzazione.
Se non è possibile utilizzare un certificato digitale rilasciato da un’autorità di certificazione e la politica di sicurezza dell’organizzazione lo consente, è possibile utilizzare il certificato autofirmato installato da VMware. Aggiungere il certificato VMware vCenter a ogni Cloud Connector.
-
Aggiungere il nome di dominio completo (FQDN) del computer che esegue vCenter Server al file host su tale server, situato in %SystemRoot%/WINDOWS/system32/Drivers/etc/. Questo passaggio è richiesto solo se l’FQDN del computer che esegue vCenter Server non è già presente nel sistema dei nomi di dominio.
-
Ottenere il certificato vCenter utilizzando uno dei seguenti tre metodi:
Dal server vCenter:
- Copiare il file rui.crt dal server vCenter in una posizione accessibile sui Cloud Connector.
- Sul Cloud Connector, accedere alla posizione del certificato esportato e aprire il file rui.crt.
Scaricare il certificato utilizzando un browser web: Se si utilizza Internet Explorer, a seconda dell’account utente, è necessario fare clic con il pulsante destro del mouse su Internet Explorer e scegliere Esegui come amministratore per scaricare o installare il certificato.
- Aprire il browser web ed effettuare una connessione web sicura al server vCenter (ad esempio https://server1.domain1.com).
- Accettare gli avvisi di sicurezza.
- Fare clic sulla barra degli indirizzi che visualizza l’errore del certificato.
- Fare clic su Certificato non valido, e quindi fare clic sulla scheda Dettagli.
- Fare clic su Esporta…
- Salvare il certificato esportato.
- Accedere alla posizione del certificato esportato e aprire il file .CER.
Importare direttamente da Internet Explorer eseguito come amministratore:
- Aprire il browser web ed effettuare una connessione web sicura al server vCenter (ad esempio https://server1.domain1.com).
- Accettare gli avvisi di sicurezza.
- Fare clic sulla barra degli indirizzi che visualizza l’errore del certificato.
- Visualizzare il certificato.
-
Importare il certificato nell’archivio certificati su ogni Cloud Connector.
- Fare clic su Installa certificato, selezionare Computer locale, e quindi fare clic su Avanti.
- Selezionare Posiziona tutti i certificati nel seguente archivio, e quindi fare clic su Sfoglia. In una versione successiva supportata: Selezionare Persone attendibili e quindi fare clic su OK. Fare clic su Avanti e quindi fare clic su Fine.
Importante:
Se si modifica il nome del server vSphere dopo l’installazione, è necessario generare un nuovo certificato autofirmato su tale server prima di importare il nuovo certificato.
Passaggi successivi
- Se si è nel processo di distribuzione iniziale, vedere Creare cataloghi di macchine.
- Per informazioni specifiche su VMware, vedere Creare un catalogo VMware.