与 VMware 的连接

June 2, 2026

投稿者:

创建和管理连接和资源介绍了创建连接的向导。以下信息涵盖了 VMware 虚拟化环境的特定详细信息。

注意：

在创建到 VMware 的连接之前，您需要首先将您的 VMware 帐户设置为资源位置。请参阅 VMware 虚拟化环境。

创建新的连接

在连接创建向导中：

选择 VMware 连接类型。
指定 vCenter SDK 访问点的地址。
指定您之前设置的、具有创建 VM 权限的 VMware 用户帐户的凭据。以 domain/username 格式指定用户名。

威睿 SSL 指纹

VMware SSL 指纹功能消除了手动创建到 VMware vSphere 虚拟机管理程序的宿主连接的需要。在创建连接之前，不再需要手动在站点中的 Delivery Controller 与虚拟机管理程序的证书之间建立信任关系。

The VMware SSL thumbprint feature stores the untrusted certificate’s thumbprint on the Site database. This configuration ensures that the hypervisor can be continuously identified as trusted by Citrix Virtual Apps and Desktops™, even if not by the Controllers.

在 Studio 中创建 vSphere 宿主连接时，将显示一个对话框，允许您查看所连接计算机的证书。然后您可以选择是否信任它。

所需的权限

Create a VMware user account and one or more VMware roles with a set or all permissions listed in this article. Base the roles’ creation on the specific level of granularity required over the user’s permissions to request the various Citrix DaaS™ operations at any time. To grant the user-specific permissions at any point, associate them with the respective role, at the data center level at a minimum, with the Propagate to children option selected. However, for StorageProfile permissions and a specific Tags permission, apply the permissions at the Root vCenter Server level, without Propagate to Children. See the notes in each of those tables.

以下表格显示了 Citrix Virtual Apps and Desktops 的各项操作与所需的最低 VMware 权限之间的映射。

注意：

某些 vSphere 版本的权限列表显示名称（特别是用户界面）有所不同。例如，在 vSphere 6.7 中，用户界面权限是更改内存和更改设置，而不是本页所述的所需权限中的设置和内存。

添加连接和相关资源

SDK	用户界面
系统.匿名、系统.读取和系统.查看	自动添加。可以使用内置的只读角色。

电源管理

SDK	用户界面
虚拟机.交互.关机	虚拟机 > 交互 > 关闭电源
虚拟机.交互.开机	虚拟机 > 交互 > 打开电源
虚拟机.交互.重置	虚拟机 > 交互 > 重置
虚拟机.交互.暂停	虚拟机 > 交互 > 挂起
数据存储浏览	数据存储 > 浏览数据存储

预配计算机 (计算机创建服务™)

要使用 MCS 预配计算机，需要以下权限：

SDK	用户界面
数据存储.分配空间	数据存储 > 分配空间
数据存储.浏览	数据存储 > 浏览数据存储
数据存储.文件管理	数据存储 > 低级别文件操作
网络.分配	网络 > 分配网络
资源.将虚拟机分配到池	资源 > 将虚拟机分配到资源池
虚拟机.配置.添加现有磁盘	虚拟机 > 配置 > 添加现有磁盘
虚拟机.配置.添加新磁盘	虚拟机 > 配置 > 添加新磁盘
虚拟机.配置.添加或移除设备	虚拟机 > 配置 > 添加或移除设备
虚拟机.配置.高级配置	虚拟机 > 配置 > 高级
虚拟机.配置.移除磁盘	虚拟机 > 配置 > 移除磁盘
虚拟机.配置.CPU 数量	虚拟机 > 配置 > 更改 CPU 计数
虚拟机.配置.内存	虚拟机 > 配置 > 更改内存
虚拟机.配置.设置	虚拟机 > 配置 > 更改设置
虚拟机.交互.关闭电源	虚拟机 > 交互 > 关闭电源
虚拟机.交互.开机	虚拟机 > 交互 > 打开电源
虚拟机.交互.重置	虚拟机 > 交互 > 重置
虚拟机.交互.暂停	虚拟机 > 交互 > 挂起
虚拟机.清单.从现有创建	虚拟机 > 清单 > 从现有创建
虚拟机.清单.创建	虚拟机 > 清单 > 创建新项
虚拟机.清单.删除	虚拟机 > 清单 > 移除
虚拟机.置备.克隆	虚拟机 > 置备 > 克隆虚拟机
虚拟机.状态.创建快照	vSphere 5.0, 更新 2, vSphere 5.1, 更新 1, 和 vSphere 6.x, 更新 1: 虚拟机 > 状态 > 创建快照; vSphere 5.5: 虚拟机 > 快照管理 > 创建快照

映像更新和回滚

SDK	用户界面
数据存储.分配空间	数据存储 > 分配空间
数据存储.浏览	数据存储 > 浏览数据存储
数据存储.文件管理	数据存储 > 低级别文件操作
网络.分配	网络 > 分配网络
资源.将虚拟机分配到池	资源 > 将虚拟机分配到资源池
虚拟机.配置.添加现有磁盘	虚拟机 > 配置 > 添加现有磁盘
虚拟机.配置.添加新磁盘	虚拟机 > 配置 > 添加新磁盘
虚拟机.配置.高级配置	虚拟机 > 配置 > 高级
虚拟机.配置.移除磁盘	虚拟机 > 配置 > 移除磁盘
虚拟机.交互.关机	虚拟机 > 交互 > 关机
虚拟机.交互.开机	虚拟机 > 交互 > 开机
虚拟机.交互.重置	虚拟机 > 交互 > 重置
虚拟机.清单.从现有创建	虚拟机 > 清单 > 从现有创建
虚拟机.清单.创建	虚拟机 > 清单 > 新建
虚拟机.清单.删除	虚拟机 > 清单 > 移除
虚拟机.置备.克隆	虚拟机 > 置备 > 克隆虚拟机

删除已置备的计算机

SDK	用户界面
数据存储.浏览	数据存储 > 浏览数据存储
数据存储.文件管理	数据存储 > 低级别文件操作
虚拟机.配置.移除磁盘	虚拟机 > 配置 > 移除磁盘
虚拟机.交互.关闭电源	虚拟机 > 交互 > 关闭电源
虚拟机.清单.删除	虚拟机 > 清单 > 移除

存储配置文件 (vSAN)

要在 vSAN 数据存储上创建目录时查看、创建或删除存储策略，需要以下权限：

SDK	用户界面
存储配置文件.更新	配置文件驱动的存储 > 配置文件驱动的存储更新。对于 vSphere 8：VM 存储策略 > 更新 VM 存储策略
存储配置文件.查看	配置文件驱动的存储 > 配置文件驱动的存储视图。对于 vSphere 8：VM 存储策略 > 查看 VM 存储策略

注意：

在根 vCenter Server 级别应用存储配置文件权限，不勾选传播到子对象。

标签和自定义属性

标签和自定义属性允许您将元数据附加到 vSphere 清单中创建的 VM，并使其更容易搜索和筛选这些对象。要创建、编辑、分配和删除标签或类别，需要以下权限：

SDK	用户界面
清单服务.标记.创建标签	vSphere 平台上的标记功能 > 创建 vSphere 平台上的标签
清单服务.标记.创建类别	威睿标记 > 创建威睿标记类别
库存服务.标记.编辑标记	vSphere 标签功能管理 > 编辑 vSphere 标签
库存服务.标记.编辑类别	vSphere 标签功能管理 > 编辑 vSphere 标签类别
库存服务.标记.删除标记	vSphere 标记管理功能 > 删除 vSphere 标记
库存服务.标记.删除类别	vSphere 标记管理功能 > 删除 vSphere 标记类别
库存服务.标记.附加标记	vSphere 标记 > 分配或取消分配 vSphere 标记
库存服务.标记.对象可附加	vSphere 标记 > 在对象上分配或取消分配 vSphere 标记
全局.管理自定义字段	全局 > 管理自定义属性
全局.设置自定义字段	全局 > 设置自定义属性

注意：

当 MCS 创建计算机目录时，它会使用特殊的名称标签标记目标 VM。这些标签将主映像与 MCS 创建的 VM 区分开来，并防止将 MCS 创建的 VM 用于映像准备。您可以通过 vCenter 中 XdProvisioned 属性的值来识别差异。如果 MCS 创建 VM，则该属性设置为 True。

在根 vCenter Server 级别应用 InventoryService.Tagging.AttachTag 权限，不带“传播到子对象”选项。

密码学相关操作

加密操作权限控制谁可以在哪种类型的对象上执行哪种类型的加密操作。vSphere 本机密钥提供程序使用 Cryptographer.* 权限。加密操作需要以下最低权限：

注意：

创建配备 vTPM 的 VM 的 MCS 计算机目录需要这些权限。

SDK	用户界面
加密.访问	权限 > 所有权限 > 加密操作 > 直接访问
加密.添加磁盘	权限 > 所有权限 > 加密操作 > 添加磁盘
加密.克隆	权限 > 所有权限 > 加密操作 > 克隆
加密器.加密	权限 > 所有权限 > 加密操作 > 加密
加密器.新建加密	权限 > 所有权限 > 加密操作 > 加密新
加密器.解密	权限 > 所有权限 > 加密操作 > 解密
加密器.迁移	权限 > 所有权限 > 加密操作 > 迁移
加密器.读取密钥服务器信息	权限 > 所有权限 > 加密操作 > 读取 KMS 信息

用于计算机的预配和配置管理 (Citrix Provisioning™)

使用 Citrix Virtual Apps and Desktops 安装向导和导出设备向导通过 Citrix Provisioning 控制台预配 VM 需要这些克隆和部署模板的权限。在创建托管连接时设置权限。您需要预配计算机（Machine Creation Services）中的所有权限以及以下权限。

SDK	用户界面
虚拟机.配置.添加/移除设备	虚拟机 > 配置 > 添加或移除设备
虚拟机.配置.CPU数量	虚拟机 > 配置 > 更改 CPU 计数
虚拟机.配置.内存	虚拟机 > 配置 > 内存
虚拟机.配置.设置	虚拟机 > 配置 > 设置
虚拟机.置备.克隆模板	虚拟机 > 预配 > 克隆模板
虚拟机.置备.部署模板	虚拟机 > 预配 > 部署模板
虚拟应用.导出	虚拟应用 > 导出

注意：

创建使用机器配置的 MCS 计算机目录需要 VApp.Export。

获取并导入数字证书

为了保护 vSphere 的通信安全，Citrix® 建议您使用 HTTPS 协议而非 HTTP 协议。

HTTPS 需要数字证书。请使用符合贵组织安全策略的证书颁发机构颁发的数字证书。

如果您无法使用证书颁发机构颁发的数字证书，则可以使用 VMware 安装的自签名证书。仅当贵组织的安全策略允许时才使用此方法。将 VMware vCenter 证书添加到每个 Delivery Controller。

将运行 vCenter Server 的计算机的完全限定域名 (FQDN) 添加到该服务器上的 hosts 文件中，位置为 %SystemRoot%/WINDOWS/system32/Drivers/etc/。仅当运行 vCenter Server 的计算机的 FQDN 尚未存在于域名系统中时，才需要执行此步骤。
使用以下三种方法之一获取 vCenter 证书：

从 vCenter 服务器获取。
1. 将 rui.crt 文件从 vCenter 服务器复制到您的交付控制器上可访问的位置。
2. 在 Controller 上，导航到导出证书的位置并打开 rui.crt 文件。
使用 Web 浏览器下载证书。 如果您使用的是 Internet Explorer，请右键单击 Internet Explorer 并选择以管理员身份运行以下载或安装证书。
1. 打开您的 Web 浏览器并与 vCenter 服务器建立安全 Web 连接（例如 https://server1.domain1.com)。
2. 接受所有安全警告。
3. 请点击显示证书错误的地址栏。
4. 查看证书并单击“详细信息”选项卡。
5. 选择 复制到文件并以 .CER 格式导出，并在出现提示时提供名称。
6. 保存导出的证书。
7. 导航到导出的证书位置并打开 .CER 文件。
以管理员身份运行 Internet Explorer 直接导入。
- 打开 Web 浏览器并与 vCenter 服务器建立安全的 Web 连接（例如 https://server1.domain1.com)。
- 确认并接受安全警告。
- 单击显示有证书错误的地址栏。
- 查看所显示的证书。
将证书导入到每个 Controller 上的证书存储区中。
1. 单击“安装证书”选项，选择“本地计算机”，然后单击“下一步”。
2. 选择“将所有证书放入以下存储”，然后单击“浏览”。选择“受信任的人”，然后单击“确定”。单击“下一步”，然后单击“完成”。
如果在安装后更改 vSphere 服务器的名称，则必须在该服务器上生成新的自签名证书，然后才能导入新证书。

下一步操作

如果您处于初始部署过程中，请参阅创建计算机目录
有关 VMware 特定信息，请参阅创建 VMware 目录