VMware仮想化環境
VMwareを使用して仮想マシンを提供する場合は、このガイダンスに従ってください。
vCenter Serverと適切な管理ツールをインストールします。(vSphere vCenter Linked Mode操作はサポートされていません。)
MCSを使用する予定がある場合は、vCenter ServerのDatastore Browser機能 (https://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2101567に記載) を無効にしないでください。この機能を無効にすると、MCSが正しく動作しません。
シトリックス プロビジョニング(旧プロビジョニング サービス)およびマシン クリエーション サービス™を使用して、以下をプロビジョニングできます。
- サポートされているデスクトップまたはサーバーOSのVM用のレガシーBIOS。
- セキュアブートを含む、サポートされているデスクトップまたはサーバーOSのVM用のUEFI。
必要な権限
VMwareユーザーアカウントと、この記事に記載されている権限のセットまたはすべての権限を持つ1つ以上のVMwareロールを作成します。ロールの作成は、ユーザーがCitrix DaaS™のさまざまな操作をいつでも要求するために必要な権限の特定の粒度レベルに基づいて行います。ユーザー固有の権限をいつでも付与するには、子に伝播オプションを選択した状態で、データセンターレベル以上で、それぞれのロールに関連付けます。ただし、StorageProfile権限と特定のTags権限については、子に伝播なしで、ルートvCenter Serverレベルで権限を適用します。各テーブルの注記を参照してください。
次の表は、Citrix Virtual Apps and Desktops™の操作と、必要な最小限のVMware権限とのマッピングを示しています。
注:
権限リストの表示名、特にユーザーインターフェイスは、vSphereのバージョンによって異なります。たとえば、vSphere 6.7では、ユーザーインターフェイス権限は、このページに記載されている必要な権限で説明されているSettingsおよびMemoryではなく、Change MemoryおよびChange Settingsです。
接続とリソースの追加
| SDK | ユーザーインターフェイス |
|---|---|
| システム.Anonymous、システム.Read、およびシステム.View | 自動的に追加されます。組み込みの読み取り専用ロールを使用できます。 |
電源管理
| SDK | ユーザーインターフェイス |
|---|---|
| 仮想マシン.操作.電源オフ | 仮想マシン > 操作 > 電源オフ |
| 仮想マシン.操作.電源オン | 仮想マシン > 操作 > 電源オン |
| 仮想マシン.操作.リセット | 仮想マシン > 操作 > リセット |
| 仮想マシン.操作.サスペンド | 仮想マシン > 操作 > サスペンド |
| データストア.参照 | データストア > データストアの参照 |
マシンのプロビジョニング (マシン作成サービス)
MCS を使用してマシンをプロビジョニングするには、次の権限が必要です。
| SDK | ユーザーインターフェイス |
|---|---|
| データストア.領域割り当て | Datastore > スペースの割り当て |
| データストア.参照 | Datastore > データストアの参照 |
| データストア.ファイル管理 | Datastore > 低レベルファイル操作 |
| ネットワーク.割り当て | Network > ネットワークの割り当て |
| リソース.VMをプールに割り当て | Resource > 仮想マシンをリソースプールに割り当てる |
| 仮想マシン.構成.既存ディスクの追加 | 仮想マシン > 構成 > 既存のディスクを追加 |
| 仮想マシン.設定.新規ディスクの追加 | 仮想マシン > 構成 > 新しいディスクを追加 |
| 仮想マシン.構成.デバイスの追加または削除 | 仮想マシン > 構成 > デバイスの追加または削除 |
| 仮想マシン.構成.高度な構成 | 仮想マシン > 構成 > 詳細設定 |
| VirtualMachine.Config.RemoveDisk | 仮想マシン > 構成 > ディスクの削除 |
| VirtualMachine.Config.CPUCount | 仮想マシン > 構成 > CPU数の変更 |
| 仮想マシン.構成.メモリ | 仮想マシン > 構成 > メモリの変更 |
| 仮想マシン.構成.設定 | 仮想マシン > 構成 > 設定の変更 |
| 仮想マシン.操作.電源オフ | 仮想マシン > 操作 > 電源オフ |
| 仮想マシン.操作.電源オン | 仮想マシン > 操作 > 電源オン |
| 仮想マシン.操作.リセット | 仮想マシン > 操作 > リセット |
| 仮想マシン.操作.一時停止 | 仮想マシン > 操作 > サスペンド |
| 仮想マシン.インベントリ.既存から作成 | 仮想マシン > インベントリ > 既存から作成 |
| 仮想マシン.インベントリ.作成 | 仮想マシン > インベントリ > 新規作成 |
| 仮想マシン.インベントリ.削除 | 仮想マシン > インベントリ > 削除 |
| 仮想マシン.プロビジョニング.クローン | 仮想マシン > プロビジョニング > 仮想マシンのクローン作成 |
| 仮想マシン.状態.スナップショットの作成 | vSphere 5.0, Update 2、vSphere 5.1, Update 1、およびvSphere 6.x, Update 1: 仮想マシン > 状態 > スナップショットの作成; vSphere 5.5: 仮想マシン > スナップショット管理 > スナップショットの作成 |
イメージの更新とロールバック
| SDK | ユーザーインターフェイス |
|---|---|
| データストア.スペースの割り当て | データストア > スペースの割り当て |
| データストア.参照 | データストア > データストアの参照 |
| データストア.ファイル管理 | データストア > 低レベルファイル操作 |
| ネットワーク.割り当て | ネットワーク > ネットワークの割り当て |
| リソース.VMをプールに割り当て | リソース > 仮想マシンをリソースプールに割り当てる |
| 仮想マシン.設定.既存ディスクの追加 | 仮想マシン > 構成 > 既存のディスクを追加 |
| 仮想マシン.設定.新規ディスクの追加 | 仮想マシン > 構成 > 新しいディスクを追加 |
| 仮想マシン.構成.詳細設定 | 仮想マシン > 構成 > 詳細設定 |
| 仮想マシン.構成.ディスクの削除 | 仮想マシン > 構成 > ディスクを削除 |
| 仮想マシンの操作: 電源オフ | 仮想マシン > 操作 > 電源オフ |
| 仮想マシンの操作: 電源オン | 仮想マシン > 操作 > 電源オン |
| 仮想マシン.操作.リセット | 仮想マシン > 操作 > リセット |
| 仮想マシン.インベントリ.既存から作成 | 仮想マシン > インベントリ > 既存から作成 |
| 仮想マシン.インベントリ.作成 | 仮想マシン > インベントリ > 新規作成 |
| 仮想マシン.インベントリ.削除 | 仮想マシン > インベントリ > 削除 |
| 仮想マシン.プロビジョニング.クローン | 仮想マシン > プロビジョニング > 仮想マシンのクローン作成 |
プロビジョニングされたマシンの削除
| SDK | ユーザーインターフェイス |
|---|---|
| データストア.参照 | データストア > データストアの参照 |
| データストア.ファイル管理 | データストア > 低レベルファイル操作 |
| 仮想マシン.構成.ディスクの削除 | 仮想マシン > 構成 > ディスクの削除 |
| 仮想マシン.操作.電源オフ | 仮想マシン > 操作 > 電源オフ |
| 仮想マシン.インベントリ.削除 | 仮想マシン > インベントリ > 削除 |
ストレージプロファイル (vSAN)
vSANデータストア上でカタログ作成中にストレージポリシーを表示、作成、または削除するには、次の権限が必要です。
| SDK | ユーザーインターフェイス |
|---|---|
| ストレージプロファイル.更新 | プロファイル駆動型ストレージ > プロファイル駆動型ストレージの更新。vSphere 8の場合:VMストレージポリシー > VMストレージポリシーの更新 |
| ストレージプロファイル.表示 | プロファイル駆動型ストレージ > プロファイル駆動型ストレージの表示。vSphere 8の場合:VMストレージポリシー > VMストレージポリシーの表示 |
注:
ストレージプロファイルの権限を、子に伝播せずにルートvCenter Serverレベルで適用します。
タグとカスタム属性
タグとカスタム属性を使用すると、vSphereインベントリで作成されたVMにメタデータを添付し、これらのオブジェクトの検索とフィルタリングを容易にすることができます。タグまたはカテゴリを作成、編集、割り当て、削除するには、以下の権限が必須です。
| SDK | ユーザーインターフェイス |
|---|---|
| インベントリサービス.タグ付け.タグの作成 | vSphereでのタグ付け > vSphereタグの作成 |
| InventoryService.Tagging.CreateCategory | vSphereタグ付け > vSphereタグカテゴリの作成 |
| InventoryService.Tagging.EditTag | vSphere のタグ付け機能 > vSphere タグの編集 |
| インベントリサービス.タギング.カテゴリの編集 | vSphereタグ付け > vSphereタグカテゴリの編集 |
| インベントリサービス.タギング.タグの削除 | ヴイスフィア タグ付け > ヴイスフィア タグの削除 |
| インベントリサービス.タグ付け.カテゴリ削除 | vSphere タグ付け > vSphere タグカテゴリの削除 |
| インベントリサービス.タグ付け.タグ添付 | vSphere タグ付け > vSphere タグの割り当てまたは割り当て解除 |
| インベントリサービス.タギング.オブジェクトアタッチ可能 | vSphere タグ付け > オブジェクトへの vSphere タグの割り当てまたは割り当て解除 |
| グローバル.カスタムフィールドの管理 | グローバル > カスタム属性の管理 |
| グローバル.セットカスタムフィールド | グローバル > カスタム属性の設定 |
注:
- MCS がマシンカタログを作成すると、ターゲット VM に特別な名前タグが付けられます。これらのタグは、マスターイメージを MCS で作成された VM と区別し、イメージ準備のために MCS で作成された VM が使用されるのを防ぎます。vCenter の
XdProvisioned属性の値によって違いを識別できます。MCS が VM を作成した場合、この属性は True に設定されます。- ルート vCenter Server レベルで
InventoryService.Tagging.AttachTag権限を適用します(子への伝播なし)。
暗号化に関する操作
暗号化操作の特権は、誰がどの種類のオブジェクトに対してどの種類の暗号化操作を実行できるかを制御します。vSphere Native Key Provider は Cryptographer.* 特権を使用します。暗号化操作には、以下の最小限の権限が必要です。
| SDK | ユーザーインターフェース |
|---|---|
| 暗号化機能.アクセス | 権限 > すべての権限 > 暗号化操作 > 直接アクセス |
| 暗号化機能.ディスクの追加 | 権限 > すべての権限 > 暗号化操作 > ディスクの追加 |
| クリプトグラファー.クローン | 権限 > すべての権限 > 暗号化操作 > クローン |
| クリプトグラファー.暗号化 | 権限 > すべての権限 > 暗号化操作 > 暗号化 |
| クリプトグラファー.EncryptNew | 権限 > すべての権限 > 暗号化操作 > 新規暗号化 |
| クリプトグラファー.Decrypt | 権限 > すべての権限 > 暗号化操作 > 復号化 |
| 暗号化機能の移行 | 権限 > すべての権限 > 暗号化操作 > 移行 |
| 暗号化機能によるキーサーバー情報の読み取り | 権限 > すべての権限 > 暗号化操作 > KMS情報の読み取り |
マシンのプロビジョニング (Citrix Provisioning™)
テンプレートをクローンして展開するためのこれらの権限は、Citrix Virtual Apps and Desktopsセットアップウィザードおよびデバイスのエクスポートウィザードを使用して、Citrix Provisioningコンソールを介してVMをプロビジョニングするために必要です。ホスティング接続の作成時に権限を設定します。マシンのプロビジョニング (Machine Creation Services) からのすべての権限と、以下の権限が必要です。
| SDK | ユーザーインターフェイス |
|---|---|
| 仮想マシン.構成.デバイスの追加/削除 | 仮想マシン > 構成 > デバイスの追加または削除 |
| 仮想マシン.構成.CPU数 | 仮想マシン > 構成 > CPU数の変更 |
| 仮想マシン.構成.メモリ | 仮想マシン > 構成 > メモリ |
| 仮想マシン.構成.設定 | 仮想マシン > 構成 > 設定 |
| 仮想マシン.プロビジョニング.クローンテンプレート | 仮想マシン > プロビジョニング > テンプレートのクローン |
| 仮想マシン.プロビジョニング.デプロイテンプレート | 仮想マシン > プロビジョニング > テンプレートの展開 |
| VApp.エクスポート | vApp > エクスポート |
注:
マシンプロファイルを使用してMCSマシンカタログを作成するには、
VApp.Exportが必要です。
証明書の取得とインポート
vSphere通信を保護するため、Citrix®はHTTPではなくHTTPSを使用することを推奨します。
HTTPSにはデジタル証明書が必要です。組織のセキュリティポリシーに準拠した認証局から発行されたデジタル証明書を使用してください。
認証局から発行されたデジタル証明書を使用できない場合は、VMwareがインストールした自己署名証明書を使用できます。この方法は、組織のセキュリティポリシーで許可されている場合にのみ使用してください。VMware vCenter証明書を各Delivery Controllerに追加します。
-
vCenter Serverを実行しているコンピューターの完全修飾ドメイン名(FQDN)を、そのサーバーのhostsファイル(
%SystemRoot%/WINDOWS/system32/Drivers/etc/)に追加します。この手順は、vCenter Serverを実行しているコンピューターのFQDNがドメインネームシステムにまだ存在しない場合にのみ必要です。 -
以下の3つの方法のいずれかを使用してvCenter証明書を取得します。
ブイセンターサーバーから。
- vCenterサーバーからrui.crtファイルをDelivery Controllerからアクセス可能な場所にコピーします。
- Controllerで、エクスポートされた証明書の場所に移動し、rui.crtファイルを開きます。
Webブラウザを使用して証明書をダウンロードします。 Internet Explorerを使用している場合は、Internet Explorerを右クリックし、管理者として実行を選択して証明書をダウンロードまたはインストールします。
- Webブラウザを開き、vCenterサーバーへの安全なWeb接続を行います (例: https://server1.domain1.com))。
- セキュリティ警告を受け入れます。
- 証明書エラーが表示されているアドレスバーをクリックします。
- 証明書を表示し、[詳細]タブをクリックします。
- ファイルにコピーして.CER形式でエクスポートを選択し、プロンプトが表示されたら名前を指定します。
- エクスポートされた証明書を保存します。
- エクスポートされた証明書の場所に移動し、.CERファイルを開きます。
管理者として実行しているInternet Explorerから直接インポートします。
- Webブラウザを開き、vCenterサーバーへの安全なWeb接続を行います (例: https://server1.domain1.com))。
- セキュリティ警告を受け入れます。
- 証明書エラーが表示されているアドレスバーをクリックします。
- 証明書を表示します。
-
各Controllerの証明書ストアに証明書をインポートします。
- 証明書のインストールオプションをクリックし、ローカルコンピューターを選択して、次へをクリックします。
- 証明書をすべて次のストアに配置するを選択し、参照をクリックします。信頼されたユーザーを選択し、OKをクリックします。次へをクリックし、完了をクリックします。
インストール後にvSphereサーバーの名前を変更した場合は、新しい証明書をインポートする前に、そのサーバーで新しい自己署名証明書を生成する必要があります。
構成に関する考慮事項
マスターVMの作成:
マシンカタログでユーザーデスクトップとアプリケーションを提供するには、マスターVMを使用します。ハイパーバイザーで、次の操作を行います。
- マスターVMにVDAをインストールし、デスクトップを最適化するオプションを選択します。これにより、パフォーマンスが向上します。
- バックアップとして使用するために、マスターVMのスナップショットを作成します。
接続の作成:
接続作成ウィザードで、次の操作を行います。
- VMware接続の種類を選択します。
- vCenter SDKのアクセスポイントのアドレスを指定します。
- 以前に設定した、VMを作成する権限を持つVMwareユーザーアカウントの資格情報を指定します。ユーザー名はdomain/usernameの形式で指定します。
VMware SSLサムプリント
VMware SSLサムプリント機能により、VMware vSphereハイパーバイザーへのホスト接続を手動で作成する必要がなくなります。接続を作成する前に、サイト内のDelivery Controllerとハイパーバイザーの証明書との間に信頼関係を手動で作成する必要はなくなりました。
VMware SSLサムプリント機能は、信頼されていない証明書のサムプリントをサイトデータベースに保存します。この構成により、Controllerによってではない場合でも、ハイパーバイザーがCitrix Virtual Apps and Desktopsによって継続的に信頼できるものとして識別されることが保証されます。
StudioでvSphereホスト接続を作成する際、接続先のマシンの証明書を表示できるダイアログボックスが表示されます。その後、それを信頼するかどうかを選択できます。
トラブルシューティング
カタログの作成に失敗した場合は、CTX294978を参照してください。