Citrix Virtual Apps and Desktops 服务

VMware 云环境

如果您使用 VMware 提供虚拟机,请按照此指导进行操作。

安装 vCenter Server 以及相应的管理工具。(不支持 vSphere vCenter 链接模式操作。)

如果您计划使用 Machine Creation Services (MCS),则请勿在 vCenter Server 中禁用数据存储浏览器功能(如 https://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2101567 中所述)。如果禁用此功能,MCS 无法正常工作。

所需权限

使用下面列出的一组或所有权限创建一个 VMware 用户帐户和一个或多个 VMware 角色。基于用户权限所需的特定粒度级别进行角色创建,以随时请求各种 Citrix Virtual Apps 或 Citrix Virtual Desktops 操作。如果要随时授予用户特定权限,请至少在数据中心级别将他们与各自的角色关联。

以下各表显示了 Citrix Virtual Apps and Desktops 操作与所需的最低 VMware 权限之间的映射关系。

添加连接和资源

SDK 用户界面
System.Anonymous、System.Read 和 System.View 自动添加。可以使用内置的只读角色。

预配计算机 (Machine Creation Services)

SDK 用户界面
Datastore.AllocateSpace 数据存储 > 分配空间
Datastore.Browse 数据存储 > 浏览数据存储
Datastore.FileManagement 数据存储 > 低级别文件操作
Network.Assign 网络 > 分配网络
Resource.AssignVMToPool 资源 > 将虚拟机分配到资源池
VirtualMachine.Config.AddExistingDisk 虚拟机 > 配置 > 添加现有磁盘
VirtualMachine.Config.AddNewDisk 虚拟机 > 配置 > 添加新磁盘
VirtualMachine.Config.AdvancedConfig 虚拟机 > 配置 > 高级
VirtualMachine.Config.RemoveDisk 虚拟机 > 配置 > 删除磁盘
VirtualMachine.Interact.PowerOff 虚拟机 > 交互 > 关闭
VirtualMachine.Interact.PowerOn 虚拟机 > 交互 > 打开
VirtualMachine.Inventory.CreateFromExisting 虚拟机 > 清单 > 从现有项创建
VirtualMachine.Inventory.Create 虚拟机 > 清单 > 新建
VirtualMachine.Inventory.Delete 虚拟机 > 清单 > 删除
VirtualMachine.Provisioning.Clone 虚拟机 > 预配 > 克隆虚拟机
VirtualMachine.State.CreateSnapshot vSphere 5.0 Update 2、vSphere 5.1 Update 1 和 vSphere 6.x Update 1:虚拟机 > 状态 > 创建快照;vSphere 5.5: 虚拟机 > 快照管理 > 创建快照

如果希望标记您创建的 VM,请为用户帐户添加以下权限。

要确保使用干净的基础映像创建 VM,请标记使用 Machine Creation Services 创建的 VM,以将其从可用作基础映像的 VM 列表中排除。

SDK 用户界面
Global.ManageCustomFields 全局 > 管理自定义属性
Global.SetCustomField 全局 > 设置自定义属性

预配计算机 (Citrix Provisioning)

所有来自预配计算机 (Machine Creation Services) 的权限以及以下各项。

SDK 用户界面
VirtualMachine.Config.AddRemoveDevice 虚拟机 > 配置 > 添加或删除设备
VirtualMachine.Config.CPUCount 虚拟机 > 配置 > 更改 CPU 计数
VirtualMachine.Config.Memory 虚拟机 > 配置 > 内存
VirtualMachine.Config.Settings 虚拟机 > 配置 > 设置
VirtualMachine.Provisioning.CloneTemplate 虚拟机 > 预配 > 克隆模板
VirtualMachine.Provisioning.DeployTemplate 虚拟机 > 预配 > 部署模板

电源管理

SDK 用户界面
VirtualMachine.Interact.PowerOff 虚拟机 > 交互 > 关闭
VirtualMachine.Interact.PowerOn 虚拟机 > 交互 > 打开
VirtualMachine.Interact.Reset 虚拟机 > 交互 > 重置
VirtualMachine.Interact.Suspend 虚拟机 > 交互 > 挂起

映像更新和回滚

SDK 用户界面
Datastore.AllocateSpace 数据存储 > 分配空间
Datastore.Browse 数据存储 > 浏览数据存储
Datastore.FileManagement 数据存储 > 低级别文件操作
Network.Assign 网络 > 分配网络
Resource.AssignVMToPool 资源 > 将虚拟机分配到资源池
VirtualMachine.Config.AddExistingDisk 虚拟机 > 配置 > 添加现有磁盘
VirtualMachine.Config.AddNewDisk 虚拟机 > 配置 > 添加新磁盘
VirtualMachine.Config.AdvancedConfig 虚拟机 > 配置 > 高级
VirtualMachine.Config.RemoveDisk 虚拟机 > 配置 > 删除磁盘
VirtualMachine.Interact.PowerOff 虚拟机 > 交互 > 关闭
VirtualMachine.Interact.PowerOn 虚拟机 > 交互 > 打开
VirtualMachine.Interact.Reset 虚拟机 > 交互 > 重置
VirtualMachine.Inventory.CreateFromExisting 虚拟机 > 清单 > 从现有项创建
VirtualMachine.Inventory.Create 虚拟机 > 清单 > 新建
VirtualMachine.Inventory.Delete 虚拟机 > 清单 > 删除
VirtualMachine.Provisioning.Clone 虚拟机 > 预配 > 克隆虚拟机

删除预配的计算机

SDK 用户界面
Datastore.Browse 数据存储 > 浏览数据存储
Datastore.FileManagement 数据存储 > 低级别文件操作
VirtualMachine.Config.RemoveDisk 虚拟机 > 配置 > 删除磁盘
VirtualMachine.Interact.PowerOff 虚拟机 > 交互 > 关闭
VirtualMachine.Inventory.Delete 虚拟机 > 清单 > 删除

保护与 VMware 环境的连接

使用与 vCenter 的 HTTPS/SSL 连接需要 Citrix Virtual Apps and Desktops 服务信任该连接。

有两种选择:

  • 每个 Cloud Connector 都信任 vCenter 证书,连接器上的服务会重复使用此信任。此信任可以来自:

    • vCenter 证书,由证书颁发机构颁发并受 Windows 信任,从而在 Windows 与 vCenter 之间建立信任。
    • Windows 上安装的 vCenter 证书,从而在 Windows 与 vCenter 之间建立信任。
  • 或者, Citrix Virtual Apps and Desktops 数据库已安装 SSL 指纹。每个 Cloud Connector 上的 Citrix Virtual Apps and Desktops 服务都使用此指纹来信任与 vCenter 的连接。

获取和导入证书

为了保护 vSphere 通信的安全,Citrix 建议您使用 HTTPS,而不使用 HTTP。HTTPS 需要数字证书。Citrix 建议您根据贵组织的安全策略使用由证书颁发机构所颁发的数字证书。

如果无法使用证书颁发机构所颁发的数字证书,而您组织的安全策略允许使用数字证书,则可以使用由 VMware 安装的自签名证书。在每个 Cloud Connector 中添加 VMware vCenter 证书。

  1. 将运行 vCenter Server 的计算机的完全限定域名 (FQDN) 添加到该服务器上的主机文件中,文件位于:%SystemRoot%/WINDOWS/system32/Drivers/etc/。只有当域名系统中尚不存在运行 vCenter Server 的计算机的 FQDN 时,才需要执行此步骤。

  2. 使用以下任意三种方法之一获取 vCenter 证书:

    从 vCenter Server:

    1. 将 rui.crt 文件从 vCenter Server 复制到 Cloud Connector 上可访问的位置。
    2. 在 Cloud Connector 上,导航到导出的证书所在的位置,然后打开 rui.crt 文件。

    使用 Web 浏览器下载证书: 如果使用 Internet Explorer,可能必须右键单击 Internet Explorer,然后选择以管理员身份运行才能下载或安装证书,具体取决于您的用户帐户。

    1. 打开 Web 浏览器,与 vCenter Server 建立安全 Web 连接(例如 https://server1.domain1.com)。
    2. 接受安全警告。
    3. 单击显示证书错误的地址栏。
    4. 查看证书并单击“详细信息”选项卡。
    5. 选择 Copy to file and export in .CER format(复制到文件并导出为 .CER 格式),并在系统提示时提供名称。
    6. 保存导出的证书。
    7. 导航到导出的证书所在的位置,然后打开 .CER 文件。

    从以管理员身份运行的 Internet Explorer 直接导入:

    1. 打开 Web 浏览器,与 vCenter Server 建立安全 Web 连接(例如 https://server1.domain1.com)。
    2. 接受安全警告。
    3. 单击显示证书错误的地址栏。
    4. 查看证书。
  3. 将证书导入到每个 Cloud Connector 上的证书存储中。

    1. 单击安装证书,选择本地计算机,然后单击下一步
    2. 选择将所有的证书都放入下列存储,然后单击浏览。在受支持的更高版本中:选中受信任人,然后单击确定。单击下一步,然后单击完成

重要:

如果在安装后更改 vSphere 服务器的名称,必须在该服务器上生成新的自签名证书,然后再导入新证书。

VMware SSL 指纹

VMware SSL 指纹功能解决了一个在与 VMware vSphere 虚拟机管理程序建立主机连接时经常报告的错误。以前,管理员必须在创建连接之前在站点中 Citrix 托管的 Delivery Controller 和虚拟机管理程序证书之间手动创建信任关系。而使用 VMware SSL 指纹功能,则无需手动操作:不可信证书的指纹存储在站点数据库中,因此,Citrix Virtual Apps 或 Citrix Virtual Desktops 会始终将虚拟机管理程序视为可信,尽管控制器不信任其也是如此。

创建 vSphere 主机连接时,可以通过一个对话框查看要连接的计算机的证书。然后,您可以选择是否信任该证书。

稍后可以使用 PowerShell SDK Set-Item -LiteralPath "<FullPath_to_connection>" -username $cred.username -Securepassword $cred.password -SslThumbprint "<New ThumbPrint>" -hypervisorAddress <vcenter URL> 更新 VMware SSL 指纹。

提示:

证书指纹必须用大写字母编写。

创建主 VM

使用主 VM 在计算机目录中提供用户桌面和应用程序。在虚拟机管理程序上:

  1. 在主 VM 上安装 VDA,选择用于优化桌面的选项,这样会提高性能。
  2. 生成主 VM 的快照作为备份。

创建连接

在连接创建向导中执行以下操作:

  • 选择 VMware 连接类型。
  • 指定 vCenter SDK 接入点的地址。
  • 指定先前设置的具有创建新 VM 权限的 VMware 用户帐户的凭据。以域/用户名格式指定用户名。

Azure VMware 解决方案 (AVS) 集成

Citrix Virtual Apps and Desktops 服务支持 AVS。AVS 提供包含由 Azure 基础结构创建的 vSphere 群集的云基础结构。利用 Citrix Virtual Apps and Desktops 服务使用 AVS 预配 VDA 工作负载的方式与在本地环境中使用 vSphere 的方式相同。

设置 AVS 群集

要使 Citrix Virtual Apps and Desktops 服务能够使用 AVS,请在 Azure 中执行以下步骤:

  • 申请主机配额
  • 注册 Microsoft.AVS 资源提供程序
  • 网络清单
  • 创建 Azure VMware 解决方案私有云
  • 访问 Azure VMware 解决方案私有云
  • 在 Azure 中为 VMware 私有云配置网络连接
  • 为 Azure VMware 解决方案配置 DHCP
  • 在 Azure VMware 解决方案中添加网段
  • 验证 Azure VMware 解决方案环境

为 Azure 企业协议客户申请主机配额

在 Azure 门户的帮助 + 支持页面中,选择新建支持请求,并包含以下信息:

  • 问题类型:技术
  • 订阅:选择您的订阅
  • 服务:所有服务 > Azure VMware 解决方案
  • 资源:一般问题
  • 摘要:需要容量
  • 问题类型:容量管理问题
  • 问题子类型:客户申请额外的主机配额/容量

在支持票证的说明中,在详细信息选项卡中包含以下信息:

  • POC 或生产
  • 区域名称
  • 主机数量
  • 任何其他详细信息

注意:

AVS 至少需要三台主机,建议您使用 N+1 台主机的冗余。

指定支持票证的详细信息后,选择查看 + 创建以将申请提交到 Azure。

注册 Microsoft.AVS 资源提供程序

申请主机配额后,注册资源提供程序:

  1. 登录 Azure 门户。
  2. 在 Azure 门户菜单中,选择所有服务
  3. 所有服务菜单中,输入订阅,然后选择订阅
  4. 从订阅列表中选择订阅。
  5. 选择资源提供程序,然后在搜索栏中输入 Microsoft.AVS
  6. 如果资源提供程序未注册,请选择注册

网络连接注意事项

AVS 提供需要特定网络地址范围和防火墙端口的网络连接服务。有关详细信息,请参阅 Azure VMware 解决方案的网络规划清单

创建 Azure VMware 解决方案私有云

在考虑了环境的网络要求之后,创建 ASV 私有云:

  1. 登录 Azure 门户。
  2. 选择创建新资源
  3. 搜索应用商店文本框中,键入 Azure VMware 解决方案,然后从列表中选择 Azure VMware 解决方案

Azure ASV 私有云设置 映像

Azure VMware 解决方案窗口中:

  1. 选择创建
  2. 单击基本选项卡。
  3. 使用下表中的信息为字段输入值:
字段
订阅 选择您计划用于部署的订阅。Azure 订阅中的所有资源一起计费。
资源组 为您的私有云选择资源组。Azure 资源组是在其中部署和管理 Azure 资源的逻辑容器。或者,您可以为私有云创建一个新资源组。
位置 选择一个位置,例如美国东部。这是您在规划阶段定义的区域。
资源名称 提供 Azure VMware 解决方案私有云的名称。
SKU 选择 AV36。
主机 显示为私有云群集分配的主机数。默认值为 3,部署后可以增大或减小该值。
地址块 为私有云提供 IP 地址块。CIDR 代表私有云管理网络,将用于群集管理服务,例如 vCenter Server 和 NSX-T Manager。请使用 /22 地址空间,例如 10.175.0.0/22。该地址应是唯一的,不能与其他 Azure 虚拟网络以及本地网络重叠。
虚拟网络 请将此字段留空,因为 Azure VMware 解决方案 ExpressRoute 电路是作为部署后步骤建立的。

创建私有云屏幕中:

  1. 位置字段中,选择具有 AVS 的区域;资源组区域与 AVS 区域相同。
  2. SKU 字段中,选择 AV36 节点
  3. 地址块字段中指定 IP 地址。例如,10.15.0.0/22。
  4. 选择审阅 + 创建
  5. 审阅信息后,单击创建

Azure ASV 创建私有云

提示:

创建私有云可能需要 3-4 个小时。将单个主机添加到群集可能需要 30-45 分钟。

验证部署是否成功。导航到您创建的资源组,然后选择您的私有云。状态成功后,部署即完成。

Azure ASV 验证连接

访问 Azure VMware 解决方案私有云

创建私有云后,请创建一个 Windows VM 并连接到私有云的本地 vCenter。

创建新的 Windows 虚拟机
  1. 在资源组中,选择 + 添加,然后搜索并选择 Microsoft Windows 10/2016/2019
  2. 单击创建
  3. 输入所需的信息,然后选择审阅 + 创建
  4. 验证通过后,选择创建以启动虚拟机创建过程。
连接到私有云的本地 vCenter
  1. 以云管理员身份使用 VMware vCenter SSO 登录 vSphere Client

    Azure ASV vSphere 登录

  2. 在 Azure 门户中,选择您的私有云,然后选择管理 > 身份

此时将显示私有云 vCenter 和 NSX-T Manager 的 URL 和用户凭据:

Azure ASV 设置 vCenter

确认 URL 和用户凭据后:

  1. 导航到您在上一步中创建的 VM,然后连接到虚拟机。

  2. 在 Windows VM 中,打开浏览器,然后在两个浏览器选项卡中导航到 vCenter 和 NSX-T Manager URL。在 vCenter 选项卡中,输入上一步中的 cloudadmin@vmcp.local 用户凭据。

在 Azure 中为 VMware 私有云配置网络连接

访问 ASV 私有云后,通过创建虚拟网络和网关来配置网络连接。

创建虚拟网络
  1. 登录 Azure 门户。
  2. 导航到之前创建的资源组。
  3. 选择 + 添加以定义新资源。
  4. 搜索应用商店文本框中,键入虚拟网络。查找虚拟网络资源并将其选中。
  5. 虚拟网络页面上,选择创建为私有云设置虚拟网络。
  6. 创建虚拟网络页面上,输入虚拟网络的详细信息。
  7. 基本选项卡上,输入虚拟网络的名称,选择相应的区域,然后单击下一步: IP 地址。
  8. IP 地址选项卡上的 IPv4 地址空间下,输入先前创建的地址。

重要:

使用与您创建私有云时使用的地址空间不重叠的地址。

进入地址空间后:

  1. 选择 + 添加子网
  2. 添加子网页面上,为子网指定名称和适当的地址范围。
  3. 单击添加。
  4. 选择审阅 + 创建
  5. 验证信息,然后单击创建。部署完成后,虚拟网络将显示在资源组中。
创建虚拟网络网关

创建虚拟网络后,创建虚拟网络网关。

  1. 在资源组中,选择 + 添加以添加新资源。
  2. 搜索应用商店文本框中,键入虚拟网络网关。查找虚拟网络资源并将其选中。
  3. 虚拟网络网关页面上,单击创建
  4. 创建虚拟网络网关页面的基本选项卡上,为字段提供值。
  5. 单击查看 + 创建

Azure ASV 设置 vCenter

查看虚拟网络网关配置后,单击创建以部署虚拟网络网关。 部署完成后,将 ExpressRoute 连接连接到包含您的 Azure AVS 私有云的虚拟网络网关。

将 ExpressRoute 连接到虚拟网络网关

部署虚拟网络网关后,在该网关与您的 Azure AVS 私有云之间添加连接:

  1. 申请 ExpressRoute 授权密钥。
  2. 在 Azure 门户中,导航到 Azure VMware Solution private cloud(Azure VMware 解决方案私有云)。选择管理 > 连接 > ExpressRoute,然后选择 + Request an authorization key(+ 申请授权密钥)。

Azure ASV 申请授权密钥

申请授权密钥后:

  1. 键入注册表项的名称,然后单击创建。创建密钥可能大约需要 30 秒钟。创建后,新密钥将出现在私有云的授权密钥列表中。
  2. 复制授权密钥ExpressRoute ID。您需要这些信息来完成对等互连过程。授权密钥会在一段时间后消失,因此请在出现时立即复制。
  3. 导航到您计划使用的虚拟网络网关,然后选择连接 > + 添加
  4. 添加连接页面上,为字段提供值,然后选择确定。

Azure ASV 添加连接

在 ExpressRoute 电路与虚拟网络之间建立连接:

Azure ASV 成功连接

为 Azure VMware 解决方案配置 DHCP

将 ExpressRoute 连接到虚拟网关后,请配置 DHCP。

使用 NSX-T 托管 DHCP 服务器

在 NSX-T 管理器中:

  1. 选择 Networking(网络连接)> DHCP,然后选择 Add Server(添加服务器)。
  2. Server Type(服务器类型)选择 DHCP,提供服务器名称和 IP 地址。
  3. 单击保存
  4. 选择 Tier 1 Gateways(第 1 层网关),选择第一层网关上的垂直省略号,然后选择编辑
  5. 选择 No IP Allocation Set(无 IP 分配集)以添加子网。
  6. 选择 Type(类型)为 DHCP Local Server(DHCP 本地服务器)。
  7. 对于 DHCP Server(DHCP 服务器),请选择 Default DHCP(默认 DHCP),然后单击 Save(保存)。
  8. 再次单击 Save(保存),然后选择 Close Editing(关闭编辑)。

Azure ASV 添加 NSX-T 服务器

在 Azure VMware 解决方案中添加网段

设置 DHCP 后,添加一个网段。

要添加网段,请在 NSX-T Manager 中选择 Networking(网络连接)> Segments(网段),然后单击 Add Segment(添加网段)。

Azure ASV 添加 NSX-T 网段

Segments profile(网段配置文件)屏幕中:

  1. 输入网段的名称
  2. 选择 Tier-1 Gateway (TNTxx-T1)(第 1 层网关(TNTxx-T1))为 Connected Gateway(已连接的网关),然后将 Type(类型)保留为 Flexible(灵活)。
  3. 选择预先配置的叠加 Transport Zone(TNTxx-OVERLAY-TZ)(传输区域(TNTxx-OVERLAY-TZ))。
  4. 单击 Set Subnets(设置子网)。

Azure ASV 添加 NSX-T 网段配置文件

Subnets(子网)部分中:

  1. 输入网关 IP 地址。
  2. 选择添加

重要:

此网段 IP 地址必须属于 Azure 网关 IP 地址 10.15.0.0/22。

DHCP 范围应属于网段 IP 地址:

Azure ASV 添加 NSX-T 网段 DHCP 范围

选择 No(否)将拒绝用于继续配置网段的选项:

Azure ASV 添加 NSX-T 完成设置

在 vCenter 中,选择网络连接 > SDDC 数据中心

Azure ASV 添加 NSX-T vCenter

验证 Azure AVS 环境

在 Azure 资源组中设置直接连接和连接器:

Azure ASV ASV 验证连接

使用 vCenter 凭据验证连接:

Azure ASV 添加 NSX-T vCenter

更多信息

VMware 云环境