VMwareへの接続
接続を作成するウィザードについては、(/ja-jp/citrix-virtual-apps-desktops/2311/install-configure/connections.html)で説明しています。以下の情報は、VMware仮想化環境に固有の詳細を扱います。
注:
VMwareへの接続を作成する前に、まずVMwareアカウントをリソースの場所として設定する必要があります。(/ja-jp/citrix-virtual-apps-desktops/2311/install-configure/install-prepare/vmware.html)を参照してください。
接続の作成
接続作成ウィザードで:
- VMware接続タイプを選択します。
- vCenter SDKのアクセスポイントのアドレスを指定します。
- 以前に設定した、VMを作成する権限を持つVMwareユーザーアカウントの資格情報を指定します。ユーザー名はdomain/usernameの形式で指定します。
VMware SSLサムプリント
VMware SSLサムプリント機能により、VMware vSphereハイパーバイザーへのホスト接続を手動で作成する必要がなくなります。接続を作成する前に、サイト内のDelivery Controllerとハイパーバイザーの証明書との間に信頼関係を手動で作成する必要はなくなりました。
VMware SSLサムプリント機能は、信頼されていない証明書のサムプリントをサイトデータベースに保存します。この構成により、コントローラーによって信頼されていない場合でも、ハイパーバイザーがCitrix Virtual Apps and Desktops™によって継続的に信頼されていると識別されることが保証されます。
StudioでvSphereホスト接続を作成する際、ダイアログボックスが表示され、接続先のマシンの証明書を表示できます。その後、それを信頼するかどうかを選択できます。
必要な権限
Create a VMware user account and one or more VMware roles with a set or all permissions listed in this article. Base the roles’ creation on the specific level of granularity required over the user’s permissions to request the various Citrix DaaS™ operations at any time. To grant the user-specific permissions at any point, associate them with the respective role, at the data center level at a minimum, with the Propagate to children option selected. However, for StorageProfile permissions and a specific Tags permission, apply the permissions at the Root vCenter Server level, without Propagate to Children. See the notes in each of those tables.
以下の表は、Citrix Virtual Apps and Desktops の操作と、必要となる最小限の VMware 権限とのマッピングを示しています。
注:
権限リストの表示名、特に User Interface は、vSphere のバージョンによって異なります。たとえば、vSphere 6.7 では、User Interface 権限は、このページに記載されている必要な権限で説明されている Settings および Memory ではなく、Change Memory および Change Settings です。
接続とリソースの追加
| SDK | ユーザーインターフェイス |
|---|---|
| システム. アノニマス、システム. リード、および システム. ビュー | 自動的に追加されます。組み込みの読み取り専用ロールを使用できます。 |
電源管理
| SDK | ユーザーインターフェイス |
|---|---|
| 仮想マシン.操作.電源オフ | 仮想マシン > 操作 > 電源オフ |
| 仮想マシン.操作.電源オン | 仮想マシン > 操作 > 電源オン |
| VirtualMachine.Interact.Reset | 仮想マシン > 操作 > リセット |
| 仮想マシン.操作.サスペンド | 仮想マシン > 操作 > サスペンド |
| データストア.参照 | データストア > データストアの参照 |
マシンのプロビジョニング (マシン クリエーション サービス™)
MCS を使用してマシンをプロビジョニングするには、次の権限が必要です。
| SDK | ユーザーインターフェイス |
|---|---|
| データストア.領域の割り当て | データストア > スペースの割り当て |
| データストア.参照 | データストア > データストアの参照 |
| データストア.ファイル管理 | データストア > 低レベルファイル操作 |
| ネットワーク.割り当て | ネットワーク > ネットワークの割り当て |
| リソース.仮想マシンをプールに割り当て | リソース > 仮想マシンをリソースプールに割り当て |
| 仮想マシン.構成.既存ディスクの追加 | 仮想マシン > 構成 > 既存ディスクの追加 |
| 仮想マシン.構成.新規ディスクの追加 | 仮想マシン > 構成 > 新規ディスクの追加 |
| 仮想マシン.構成.デバイスの追加または削除 | 仮想マシン > 構成 > デバイスの追加または削除 |
| 仮想マシン.構成.詳細構成 | 仮想マシン > 構成 > 詳細 |
| 仮想マシン.構成.ディスクの削除 | 仮想マシン > 構成 > ディスクの削除 |
| 仮想マシン.構成.CPU数 | 仮想マシン > 構成 > CPUカウントの変更 |
| 仮想マシン.構成.メモリ | 仮想マシン > 構成 > メモリの変更 |
| 仮想マシン.構成.設定 | 仮想マシン > 構成 > 設定の変更 |
| 仮想マシン.操作.電源オフ | 仮想マシン > 操作 > 電源オフ |
| 仮想マシン.操作.電源オン | 仮想マシン > 操作 > 電源オン |
| 仮想マシン.操作.リセット | 仮想マシン > 操作 > リセット |
| 仮想マシン.操作.サスペンド | 仮想マシン > 操作 > サスペンド |
| 仮想マシン.インベントリ.既存から作成 | 仮想マシン > インベントリ > 既存から作成 |
| 仮想マシン.インベントリ.作成 | 仮想マシン > インベントリ > 新規作成 |
| 仮想マシン.インベントリ.削除 | 仮想マシン > インベントリ > 削除 |
| 仮想マシン.プロビジョニング.クローン | 仮想マシン > プロビジョニング > 仮想マシンのクローン作成 |
| 仮想マシン.状態.スナップショット作成 | vSphere 5.0 Update 2、vSphere 5.1 Update 1、およびvSphere 6.x Update 1: 仮想マシン > 状態 > スナップショットの作成。vSphere 5.5: 仮想マシン > スナップショット管理 > スナップショットの作成 |
イメージの更新とロールバック
| SDK | ユーザーインターフェイス |
|---|---|
| データストア.領域割り当て | データストア > スペースの割り当て |
| データストア.参照 | データストア > データストアの参照 |
| データストア.ファイル管理 | データストア > 低レベルファイル操作 |
| ネットワーク.割り当て | ネットワーク > ネットワークの割り当て |
| リソース.VMをプールに割り当て | リソース > 仮想マシンをリソースプールに割り当てる |
| 仮想マシン.構成.既存ディスクの追加 | 仮想マシン > 構成 > 既存のディスクを追加 |
| 仮想マシン.構成.新規ディスクの追加 | 仮想マシン > 構成 > 新しいディスクを追加 |
| 仮想マシン.構成.詳細構成 | 仮想マシン > 構成 > 詳細設定 |
| 仮想マシン.構成.ディスクの削除 | 仮想マシン > 構成 > ディスクの削除 |
| 仮想マシン.操作.電源オフ | 仮想マシン > 操作 > 電源オフ |
| 仮想マシン.操作.電源オン | 仮想マシン > 操作 > 電源オン |
| 仮想マシン.操作.リセット | 仮想マシン > 操作 > リセット |
| 仮想マシン.インベントリ.既存から作成 | 仮想マシン > インベントリ > 既存から作成 |
| 仮想マシン.インベントリ.作成 | 仮想マシン > インベントリ > 新規作成 |
| 仮想マシン.インベントリ.削除 | 仮想マシン > インベントリ > 削除 |
| 仮想マシン.プロビジョニング.クローン | 仮想マシン > プロビジョニング > 仮想マシンのクローン作成 |
プロビジョニングされたマシンの削除
| SDK | ユーザーインターフェイス |
|---|---|
| データストア.参照 | データストア > データストアの参照 |
| データストア.ファイル管理 | データストア > 低レベルファイル操作 |
| 仮想マシン.構成.ディスク削除 | 仮想マシン > 構成 > ディスクの削除 |
| 仮想マシン.操作.電源オフ | 仮想マシン > 操作 > 電源オフ |
| 仮想マシン.インベントリ.削除 | 仮想マシン > インベントリ > 削除 |
ストレージプロファイル (vSAN)
vSANデータストアでカタログ作成中にストレージポリシーを表示、作成、または削除するには、以下の権限が必要です。
| SDK | ユーザーインターフェイス |
|---|---|
| ストレージプロファイル.更新 | PROFILE-DRIVEN STORAGE > プロファイル駆動型ストレージの更新。vSphere 8 の場合: VMストレージポリシー > VMストレージポリシーの更新 |
| ストレージプロファイル.表示 | PROFILE-DRIVEN STORAGE > プロファイル駆動型ストレージの表示。vSphere 8 の場合: VMストレージポリシー > VMストレージポリシーの表示 |
注:
ストレージプロファイルの権限は、子に伝播せずに、ルートvCenter Serverレベルで適用します。
タグとカスタム属性
タグとカスタム属性を使用すると、vSphereインベントリで作成されたVMにメタデータを添付し、これらのオブジェクトの検索とフィルタリングを容易にすることができます。タグまたはカテゴリを作成、編集、割り当て、削除するには、次の権限が必要です。
| SDK | ユーザーインターフェイス |
|---|---|
| インベントリサービス.タギング.タグの作成 | ブイスフィア タグ付け > ブイスフィア タグの作成 |
| インベントリサービス.タギング.クリエイトカテゴリ | vSphere タギング > vSphere タグカテゴリの作成 |
| インベントリサービス.タギング.エディットタグ | ヴイスフィア タグ付け > ヴイスフィア タグの編集 |
| インベントリサービス.タグ付け.カテゴリ編集 | vSphere タグ付け > vSphere タグカテゴリの編集 |
| InventoryService.Tagging.DeleteTag | vSphere Tagging > Delete vSphere Tag |
| インベントリサービス.タグ付け.カテゴリの削除 | vSphere タグ付け > vSphere タグカテゴリの削除 |
| インベントリサービス.タグ付け.タグの割り当て | vSphere タグ付け > vSphere タグの割り当てまたは割り当て解除 |
| インベントリサービス.タグ付け.オブジェクトアタッチ可能 | vSphere タグ付け > オブジェクトへのvSphereタグの割り当てまたは割り当て解除 |
| グローバル.カスタムフィールドの管理 | グローバル > カスタム属性の管理 |
| Global.SetCustomField | グローバル > カスタム属性の設定 |
注:
- MCS がマシンカタログを作成すると、ターゲット VM に特別な名前タグが付けられます。これらのタグは、マスターイメージと MCS で作成された VM を区別し、MCS で作成された VM がイメージ準備に使用されるのを防ぎます。vCenter の
XdProvisioned属性の値で違いを識別できます。MCS が VM を作成する場合、この属性は True に設定されます。InventoryService.Tagging.AttachTag権限をルート vCenter Server レベルで、子に伝播せずに適用します。
暗号化に関する操作
暗号化操作の権限は、誰がどの種類のオブジェクトに対してどの種類の暗号化操作を実行できるかを制御します。vSphere Native Key Provider は Cryptographer.* 権限を使用します。暗号化操作には、以下の最小限の権限が必要です。
注:
これらの権限は、vTPM を搭載した VM を使用して MCS マシンカタログを作成するために必要です。
| SDK | ユーザーインターフェイス |
|---|---|
| クリプトグラファー.アクセス | 権限 > すべての権限 > 暗号化操作 > 直接アクセス |
| クリプトグラファー.ディスク追加 | 権限 > すべての権限 > 暗号化操作 > ディスクの追加 |
| クリプトグラファー.クローン | 権限 > すべての権限 > 暗号化操作 > クローン |
| クリプトグラファー.エンクリプト | 権限 > すべての権限 > 暗号化操作 > 暗号化 |
| クリプトグラファー.エンクリプトニュー | 権限 > すべての権限 > 暗号化操作 > 新規暗号化 |
| クリプトグラファー.デクリプト | 権限 > すべての権限 > 暗号化操作 > 復号化 |
| クリプトグラファー.マイグレート | 権限 > すべての権限 > 暗号化操作 > 移行 |
| クリプトグラファー.リードキーサーバーズインフォ | 権限 > すべての権限 > 暗号化操作 > KMS情報の読み取り |
マシンのプロビジョニング (Citrix Provisioning™)
Citrix Provisioningコンソールを介してCitrix Virtual Apps and Desktopsセットアップウィザードおよびデバイスのエクスポートウィザードを使用してVMをプロビジョニングするには、テンプレートをクローンして展開するためのこれらの権限が必要です。ホスティング接続の作成時に権限を設定します。マシンのプロビジョニング (Machine Creation Services) からのすべての権限と、以下の権限が必要です。
| SDK | ユーザーインターフェイス |
|---|---|
| 仮想マシン.構成.デバイスの追加/削除 | 仮想マシン > 構成 > デバイスの追加または削除 |
| 仮想マシン.構成.CPU数 | 仮想マシン > 構成 > CPU数の変更 |
| VirtualMachine.Config.Memory | 仮想マシン > 構成 > メモリ |
| 仮想マシン.構成.設定 | 仮想マシン > 構成 > 設定 |
| 仮想マシン.プロビジョニング.クローンテンプレート | 仮想マシン > プロビジョニング > テンプレートのクローン作成 |
| 仮想マシン.プロビジョニング.デプロイテンプレート | 仮想マシン > プロビジョニング > テンプレートの展開 |
| VAppのエクスポート | vApp > エクスポート |
注記:
VApp.Exportは、マシンプロファイルを使用してMCSマシンカタログを作成するために必要です。
証明書の取得とインポート
vSphere通信を保護するため、Citrix®はHTTPではなくHTTPSを使用することを推奨します。
HTTPSにはデジタル証明書が必要です。組織のセキュリティポリシーに準拠した認証局から発行されたデジタル証明書を使用してください。
認証局から発行されたデジタル証明書を使用できない場合は、VMwareがインストールした自己署名証明書を使用できます。この方法は、組織のセキュリティポリシーで許可されている場合にのみ使用してください。VMware vCenter証明書を各Delivery Controllerに追加します。
-
vCenter Serverを実行しているコンピューターの完全修飾ドメイン名(FQDN)を、そのサーバーのhostsファイルに
%SystemRoot%/WINDOWS/system32/Drivers/etc/で追加します。この手順は、vCenter Serverを実行しているコンピューターのFQDNがドメインネームシステムにまだ存在しない場合にのみ必要です。 -
以下の3つの方法のいずれかを使用してvCenter証明書を取得します。
vCenterサーバーからとなります。
- rui.crtファイルをvCenterサーバーからDelivery Controllerでアクセス可能な場所にコピーします。
- Controllerで、エクスポートされた証明書の場所に移動し、rui.crtファイルを開きます。
Webブラウザを使用して証明書をダウンロードします。 Internet Explorerを使用している場合は、Internet Explorerを右クリックし、管理者として実行を選択して証明書をダウンロードまたはインストールします。
- Webブラウザを開き、vCenterサーバーへの安全なWeb接続を行います(例:https://server1.domain1.com))。
- セキュリティ警告を受け入れます。
- 証明書エラーが表示されているアドレスバーをクリックします。
- 証明書を表示し、「詳細」タブをクリックします。
- 「ファイルにコピーして.CER形式でエクスポート」を選択し、プロンプトが表示されたら名前を指定します。
- エクスポートした証明書を保存します。
- エクスポートした証明書の場所に移動し、.CERファイルを開きます。
「管理者として実行しているInternet Explorerから直接インポートします。」
- Webブラウザを開き、vCenterサーバーへの安全なWeb接続を行います(例: https://server1.domain1.com))。
- セキュリティ警告を受け入れます。
- 証明書エラーが表示されているアドレスバーをクリックします。
- 証明書を表示します。
-
各Controllerの証明書ストアに証明書をインポートします。
- 「証明書のインストール」オプションをクリックし、「ローカルコンピューター」を選択して、「次へ」をクリックします。
- 「証明書をすべて次のストアに配置する」を選択し、「参照」をクリックします。「信頼されたユーザー」を選択し、「OK」をクリックします。「次へ」をクリックし、「完了」をクリックします。
インストール後にvSphereサーバーの名前を変更した場合、新しい証明書をインポートする前に、そのサーバーで新しい自己署名証明書を生成する必要があります。
次のステップ
- 初期展開プロセス中の場合は、「マシンカタログの作成」を参照してください。
- VMware固有の情報については、「VMwareカタログの作成」を参照してください。