产品文档
Citrix DaaS™
查看 PDF

连接到 VMware

September 12, 2025
投稿者: 
C C

创建和管理连接和资源介绍了创建连接的向导。以下信息涵盖了 VMware 虚拟化环境的特定详细信息。

注意:

在创建与 VMware 的连接之前,您需要首先将 VMware 帐户设置为资源位置。请参阅VMware 虚拟化环境

所需权限

创建一个 VMware 用户帐户和一个或多个 VMware 角色,其中包含本文中列出的一组或所有权限。角色的创建应基于用户权限所需的特定粒度级别,以便随时请求各种 Citrix DaaS™ 操作。要在任何时候授予用户特定权限,请将其与相应角色关联,至少在数据中心级别,并选中传播到子项选项。但是,对于 StorageProfile 权限和特定的 Tags 权限,请在 Root vCenter Server 级别应用这些权限,不选中传播到子项。请参阅这些表中的注释。

下表显示了 Citrix DaaS 操作与所需的最低 VMware 权限之间的映射。

添加连接和资源

SDK 用户界面
System. Anonymous, System. Read, and System.View 自动添加。可以使用内置的只读角色。

电源管理

SDK 用户界面
VirtualMachine.Interact.PowerOff 虚拟机 > 交互 > 关闭电源
VirtualMachine.Interact.PowerOn 虚拟机 > 交互 > 打开电源
VirtualMachine.Interact.Reset 虚拟机 > 交互 > 重置
VirtualMachine.Interact.Suspend 虚拟机 > 交互 > 挂起
Datastore.Browse 数据存储 > 浏览数据存储

预配计算机 (Machine Creation Services™)

要使用 MCS 预配计算机,以下权限是强制性的:

SDK 用户界面
Datastore.AllocateSpace 数据存储 > 分配空间
Datastore.Browse 数据存储 > 浏览数据存储
Datastore.FileManagement 数据存储 > 低级别文件操作
Network.Assign 网络 > 分配网络
Resource.AssignVMToPool 资源 > 将虚拟机分配到资源池
VirtualMachine.Config.AddExistingDisk 虚拟机 > 配置 > 添加现有磁盘
VirtualMachine.Config.AddNewDisk 虚拟机 > 配置 > 添加新磁盘
Virtual machine.Config.Add or remove device 虚拟机 > 配置 > 添加或移除设备
VirtualMachine.Config.AdvancedConfig 虚拟机 > 配置 > 高级
VirtualMachine.Config.RemoveDisk 虚拟机 > 配置 > 移除磁盘
VirtualMachine.Config.CPUCount 虚拟机 > 配置 > 更改 CPU 计数
VirtualMachine.Config.Memory 虚拟机 > 配置 > 更改内存
VirtualMachine.Config.Settings 虚拟机 > 配置 > 更改设置
VirtualMachine.Interact.PowerOff 虚拟机 > 交互 > 关闭电源
VirtualMachine.Interact.PowerOn 虚拟机 > 交互 > 打开电源
VirtualMachine.Interact.Reset 虚拟机 > 交互 > 重置
VirtualMachine.Interact.Suspend 虚拟机 > 交互 > 挂起
VirtualMachine.Inventory.CreateFromExisting 虚拟机 > 清单 > 从现有创建
VirtualMachine.Inventory.Create 虚拟机 > 清单 > 创建新项
VirtualMachine.Inventory.Delete 虚拟机 > 清单 > 移除
VirtualMachine.Provisioning.Clone 虚拟机 > 预配 > 克隆虚拟机
VirtualMachine.State.CreateSnapshot vSphere 5.0 Update 2、vSphere 5.1 Update 1 和 vSphere 6.x Update 1:虚拟机 > 状态 > 创建快照;vSphere 5.5:虚拟机 > 快照管理 > 创建快照;vSphere 8.0:虚拟机 > 快照管理 > 创建快照

映像更新和回滚

SDK 用户界面
Datastore.AllocateSpace 数据存储 > 分配空间
Datastore.Browse 数据存储 > 浏览数据存储
Datastore.FileManagement 数据存储 > 低级别文件操作
Network.Assign 网络 > 分配网络
Resource.AssignVMToPool 资源 > 将虚拟机分配到资源池
VirtualMachine.Config.AddExistingDisk 虚拟机 > 配置 > 添加现有磁盘
VirtualMachine.Config.AddNewDisk 虚拟机 > 配置 > 添加新磁盘
VirtualMachine.Config.AdvancedConfig 虚拟机 > 配置 > 高级
VirtualMachine.Config.RemoveDisk 虚拟机 > 配置 > 移除磁盘
VirtualMachine.Interact.PowerOff 虚拟机 > 交互 > 关闭电源
VirtualMachine.Interact.PowerOn 虚拟机 > 交互 > 打开电源
VirtualMachine.Interact.Reset 虚拟机 > 交互 > 重置
VirtualMachine.Inventory.CreateFromExisting 虚拟机 > 清单 > 从现有创建
VirtualMachine.Inventory.Create 虚拟机 > 清单 > 创建新项
VirtualMachine.Inventory.Delete 虚拟机 > 清单 > 移除
VirtualMachine.Provisioning.Clone 虚拟机 > 预配 > 克隆虚拟机

删除预配的计算机

SDK 用户界面
Datastore.Browse 数据存储 > 浏览数据存储
Datastore.FileManagement 数据存储 > 低级别文件操作
VirtualMachine.Config.RemoveDisk 虚拟机 > 配置 > 移除磁盘
VirtualMachine.Interact.PowerOff 虚拟机 > 交互 > 关闭电源
VirtualMachine.Inventory.Delete 虚拟机 > 清单 > 移除

存储配置文件 (vSAN)

要在 vSAN 数据存储上创建目录期间查看、创建或删除存储策略,以下权限是强制性的:

SDK 用户界面
StorageProfile.Update 配置文件驱动的存储 > 配置文件驱动的存储更新。对于 vSphere 8:VM 存储策略 > 更新 VM 存储策略
StorageProfile.View 配置文件驱动的存储 > 配置文件驱动的存储视图。对于 vSphere 8:VM 存储策略 > 查看 VM 存储策略

注意:

在 Root vCenter Server 级别应用存储配置文件权限,不选中传播到子项

标记和自定义属性

标记和自定义属性允许您将元数据附加到在 vSphere 清单中创建的 VM,从而更轻松地搜索和筛选这些对象。要创建、编辑、分配和删除标记或类别,以下权限是强制性的:

SDK 用户界面
InventoryService.Tagging.CreateTag vSphere 标记 > 创建 vSphere 标记
InventoryService.Tagging.CreateCategory vSphere 标记 > 创建 vSphere 标记类别
InventoryService.Tagging.EditTag vSphere 标记 > 编辑 vSphere 标记
InventoryService.Tagging.EditCategory vSphere 标记 > 编辑 vSphere 标记类别
InventoryService.Tagging.DeleteTag vSphere 标记 > 删除 vSphere 标记
InventoryService.Tagging.DeleteCategory vSphere 标记 > 删除 vSphere 标记类别
InventoryService.Tagging.AttachTag vSphere 标记 > 分配或取消分配 vSphere 标记
InventoryService.Tagging.ObjectAttachable vSphere 标记 > 在对象上分配或取消分配 vSphere 标记
Global.ManageCustomFields 全局 > 管理自定义属性
Global.SetCustomField 全局 > 设置自定义属性

注意:

  • 当 MCS 创建计算机目录时,它会使用特殊名称标记来标记目标 VM。这些标记将主映像与 MCS 创建的 VM 区分开来,并防止使用 MCS 创建的 VM 进行映像准备。您可以通过 vCenter 中 XdProvisioned 属性的值来识别差异。如果 MCS 创建 VM,则该属性设置为 True
  • 在 Root vCenter Server 级别应用 InventoryService.Tagging.AttachTag 权限,不选中传播到子项

加密操作

加密操作权限控制谁可以在哪种类型的对象上执行哪种类型的加密操作。vSphere Native Key Provider 使用 Cryptographer.* 权限。加密操作需要以下最低权限:

注意:

创建配备 vTPM 的 VM 的 MCS 计算机目录需要这些权限。

SDK 用户界面
Cryptographer.Access 权限 > 所有权限 > 加密操作 > 直接访问
Cryptographer.AddDisk 权限 > 所有权限 > 加密操作 > 添加磁盘
Cryptographer.Clone 权限 > 所有权限 > 加密操作 > 克隆
Cryptographer.Encrypt 权限 > 所有权限 > 加密操作 > 加密
Cryptographer.EncryptNew 权限 > 所有权限 > 加密操作 > 加密新项
Cryptographer.Decrypt 权限 > 所有权限 > 加密操作 > 解密
Cryptographer.Migrate 权限 > 所有权限 > 加密操作 > 迁移
Cryptographer.ReadKeyServersInfo 权限 > 所有权限 > 加密操作 > 读取 KMS 信息

预配计算机 (Citrix Provisioning™)

通过 Citrix Provisioning 控制台使用 Citrix Virtual Apps and Desktops™ 安装向导和导出设备向导预配 VM 需要这些克隆和部署模板的权限。在创建托管连接时设置这些权限。 您需要预配计算机 (Machine Creation Services) 中的所有权限以及以下权限。

SDK 用户界面
VirtualMachine.Config.AddRemoveDevice 虚拟机 > 配置 > 添加或移除设备
VirtualMachine.Config.CPUCount 虚拟机 > 配置 > 更改 CPU 计数
VirtualMachine.Config.Memory 虚拟机 > 配置 > 内存
VirtualMachine.Config.Settings 虚拟机 > 配置 > 设置
VirtualMachine.Provisioning.CloneTemplate 虚拟机 > 预配 > 克隆模板
VirtualMachine.Provisioning.DeployTemplate 虚拟机 > 预配 > 部署模板
VApp.Export vApp > 导出

注意:

使用计算机配置文件创建 MCS 计算机目录需要 VApp.Export

保护与 VMware 环境的连接

使用 HTTPS/SSL 连接到 vCenter 要求 Citrix DaaS 信任该连接。

有两种选择:

  • (推荐) Citrix DaaS 数据库已安装 SSL 指纹。Citrix DaaS 在每个 Cloud Connector 上使用此指纹来信任与 vCenter 的连接。
  • (备选) 每个 Cloud Connector 都信任 vCenter 证书,并且 Cloud Connector 上的服务会重用此信任。此信任可以来自:
    • 由证书颁发机构颁发并受 Windows 信任的 vCenter 证书,从而在 Windows 和 vCenter 之间建立信任。
    • 安装在 Windows 上的 vCenter 证书,从而在 Windows 和 vCenter 之间建立信任。

注意:

VMware Cloud 及其合作伙伴解决方案不需要 vCenter 证书和 VMware SSL 指纹。

VMware SSL 指纹

VMware SSL 指纹功能解决了在创建到 VMware vSphere hypervisor 的主机连接时经常报告的错误。以前,管理员必须在创建连接之前,手动在站点中 Citrix 管理的 Delivery Controller 与 hypervisor 的证书之间建立信任关系。VMware SSL 指纹功能消除了这一手动要求:不受信任证书的指纹存储在站点数据库中,以便 hypervisor 可以持续被 Citrix DaaS 识别为受信任,即使 Delivery Controller 不信任它。

创建 vSphere 主机连接时,对话框允许您查看所连接计算机的证书。然后,您可以选择是否信任它。

VMware SSL 指纹以后可以使用 PowerShell SDK Set-Item -LiteralPath "<FullPath_to_connection>" -username $cred.username -Securepassword $cred.password -SslThumbprint "<New ThumbPrint>" -hypervisorAddress <vcenter URL> 进行更新。

提示:

证书指纹必须以大写字母书写。

获取并导入证书

为保护 vSphere 通信,Citrix® 建议您使用 HTTPS 而不是 HTTP。HTTPS 需要数字证书。Citrix 建议您根据组织的安全性策略使用由证书颁发机构颁发的数字证书。

如果您无法使用由证书颁发机构颁发的数字证书,并且组织的安全性策略允许,则可以使用 VMware 安装的自签名证书。将 VMware vCenter 证书添加到每个 Cloud Connector。

  1. 将运行 vCenter Server 的计算机的完全限定域名 (FQDN) 添加到该服务器上的主机文件,该文件位于 %SystemRoot%/WINDOWS/system32/Drivers/etc/。仅当运行 vCenter Server 的计算机的 FQDN 尚未存在于域名系统中时,才需要此步骤。

  2. 使用以下三种方法之一获取 vCenter 证书:

    从 vCenter 服务器:

    1. 将文件 rui.crt 从 vCenter 服务器复制到 Cloud Connector 上可访问的位置。
    2. 在 Cloud Connector 上,导航到导出证书的位置并打开 rui.crt 文件。

    使用 Web 浏览器下载证书: 如果您使用的是 Internet Explorer,根据您的用户帐户,您必须右键单击 Internet Explorer 并选择以管理员身份运行才能下载或安装证书。

    1. 打开 Web 浏览器并与 vCenter 服务器建立安全 Web 连接(例如 https://server1.domain1.com)。
    2. 接受安全警告。
    3. 单击显示证书错误的地址栏。
    4. 单击证书无效,然后单击详细信息选项卡。
    5. 单击导出…
    6. 保存导出的证书。
    7. 导航到导出证书的位置并打开 .CER 文件。

    直接从以管理员身份运行的 Internet Explorer 导入:

    1. 打开 Web 浏览器并与 vCenter 服务器建立安全 Web 连接(例如 https://server1.domain1.com)。
    2. 接受安全警告。
    3. 单击显示证书错误的地址栏。
    4. 查看证书。

  3. 将证书导入到每个 Cloud Connector 上的证书存储中。

    1. 单击安装证书,选择本地计算机,然后单击下一步
    2. 选择将所有证书放入以下存储,然后单击浏览。在更高支持的版本上:选择受信任的人,然后单击确定。单击下一步,然后单击完成

重要提示:

如果在安装后更改 vSphere 服务器的名称,则必须在该服务器上生成新的自签名证书,然后才能导入新证书。

后续步骤

更多信息

连接到 VMware
September 12, 2025
投稿者: 
C C
September 12, 2025
投稿者: 
C C

在本文中

站点反馈 | Your privacy choices footer link您的隐私选择 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.