Configuration SD-WAN pour Citrix Virtual Apps and Desktops Standard pour l’intégration Azure
Citrix SD-WAN est une solution de périphérie WAN nouvelle génération qui accélère la transformation numérique grâce à une connectivité et des performances flexibles, automatisées et sécurisées pour les applications SaaS, cloud et virtuelles, afin de garantir une expérience toujours active dans l’Workspace.
Citrix SD-WAN est le moyen recommandé et le meilleur pour les entreprises de se connecter à Citrix Virtual Apps and Desktops Standard pour Azure grâce à une configuration rapide et facile. Pour plus d’informations, consultez le blog Citrix.
Avantages
- SD-WAN facile à configurer dans Citrix Virtual Apps and Desktops Standard pour Azure grâce à un flux de travail guidé et automatisé
- Connectivité toujours active et haute performance grâce à des technologies SD-WAN avancées
- Avantages sur toutes les connexions (VDA à DC, Userto-VDA, VDA vers Cloud et utilisateur-cloud)
- Réduit la latence par rapport au trafic de rétroacheminement vers le centre de données
-
Gestion du trafic pour garantir la qualité de service (QoS)
- QoS sur les flux de trafic HDX/ICA (AutoQoS HDX monoport)
- QoS entre HDX et d’autres trafics
- Équité de QoS HDX entre les utilisateurs
- QoS de bout en bout
- Le collage de liaison offre plus de bande passante pour des performances plus rapides
- Haute disponibilité (HA) avec basculement transparent des liens et redondance SD-WAN sur Azure
- Expérience VoIP optimisée (course de paquets pour une gigue réduite et une perte minimale de paquets, QoS, break-out local pour une latence réduite)
- Économies importantes et déploiement beaucoup plus rapide et plus facile par rapport à ExpressRoute
Conditions préalables
Pour évaluer ces nouvelles capacités, les conditions préalables suivantes doivent être respectées :
-
Vous devez disposer d’un réseau SD-WAN existant avec des droits de service Citrix SD-WAN Orchestrator. Si vous ne disposez pas d’un réseau SD-WAN existant, vous devez en configurer un à l’aide du service Citrix SD-WAN Orchestrator. Pour plus de détails, voir Configuration d’un nœud de contrôle principal (MCN).
- Vous devez disposer d’un abonnement à Citrix Virtual Apps and Desktops Standard pour Azure.
- Actuellement, cette prise en charge de l’intégration n’est disponible que pour les clients. Si vous êtes un partenaire ou un MSP et que vous devez essayer ce service, vous devez vous abonner à Citrix Virtual Apps and Desktops Standard pour Azure en tant que client. Ce n’est qu’alors que cette intégration peut être activée.
- Pour utiliser des fonctionnalités SD-WAN (telles que QoS pour MSI, visibilité des applications), le service de localisation réseau (NLS) doit être configuré pour tous les sites SD-WAN de votre réseau.
- Vous devez disposer d’un serveur DNS et d’un AD déployés là où les points de terminaison client sont présents (co-implantés dans votre environnement de centre de données, qui aurait également le MCN) ou vous pouvez également utiliser Azure Active Directory (AAD).
- Le serveur DNS doit être capable de résoudre les adresses IP internes (privées) et externes (publiques).
- Assurez-vous que le nom de domaine complet sdwan-location.citrixnetworkapi.net est sur la liste blanche dans le pare-feu. Il s’agit du nom de domaine complet pour le service de localisation réseau qui est essentiel pour l’envoi du trafic sur le chemin virtuel SD-WAN.
Pour obtenir la liste des services cloud qui doivent être ajoutés à la liste blanche sur le pare-feu, consultez la section Conditions préalables à l’utilisation du service Citrix SD-WAN Orchestrator.
Architecture de déploiement
Tout déploiement comporte les entités suivantes :
-
Emplacement local hébergeant l’appliance SD-WAN qui peut être déployé en mode succursale ou en tant que MCN. Cet emplacement contient les machines clientes, Active Directory et DNS. Toutefois, vous pouvez également choisir d’utiliser le DNS et AD d’Azure. Dans la plupart des scénarios, l’emplacement local sert de centre de données sur site et abrite le MCN.
-
Service cloud Citrix Virtual Apps and Desktops Standard pour Azure : Cette entité fournit :
- L’interface utilisateur permettant d’activer et de surveiller la connectivité SD-WAN pour Citrix Virtual Apps and Desktops Standard pour Azure.
- Crée des instances de machine virtuelle SD-WAN dans Azure.
- Gère leur vie.
- Regroupe les coûts des instances SD-WAN avec Citrix Virtual Apps and Desktops Standard for Azure pour la facturation des clients.
- Configure l’environnement réseau local (sous-réseaux, routage local, règles de pare-feu, etc.) pour les instances SD-WAN.
- Fournit des informations sur l’instance SD-WAN au service Citrix SD-WAN Orchestrator afin de fournir et d’utiliser la surveillance du SD-WAN et d’autres données opérationnelles.
-
ServiceCitrix SD-WAN Orchestrator : le serviceCitrix SD-WAN Orchestrator fournit l’interface utilisateur pour la gestion du SD-WAN :
- Y compris la gestion des instances déployées dans Citrix Virtual Apps and Desktops Standard pour Azure.
- Met en œuvre le provisionnement initial pour les instances Citrix Virtual Apps and Desktops Standard pour Azure SD-WAN.
- Implémente des restrictions sur la gestion des instances SD-WAN afin de refléter la configuration Citrix Virtual Apps and Desktops Standard pour Azure.
- S’intègre à Citrix Virtual Apps and Desktops Standard pour Azure afin de fournir et d’utiliser la surveillance du SD-WAN et d’autres données opérationnelles.
-
AppliancesSD-WAN virtuelles et physiques : Les appliancesSD-WAN virtuelles et physiques s’exécutent sous la forme de plusieurs instances dans le cloud (machines virtuelles), sur site dans le centre de données et dans les succursales (appliances physiques ou machines virtuelles) pour fournir une connectivité entre ces sites et vers/depuis l’Internet public.
L’instance SD-WAN dans l’abonnement Citrix Virtual Apps and Desktops Standard pour Azure est créée en tant qu’appliance virtuelle unique ou en tant qu’ensemble d’appliances virtuelles (en cas de déploiement HA) par Citrix Virtual Apps and Desktops Standard pour le service cloud Azure dans Azure dans le domaine de Citrix Virtual Apps and Desktops Standard pour Abonnement Azure. Les appliances SD-WAN situées dans d’autres emplacements (DC et succursales) sont créées par le client. Toutes ces appliances SD-WAN sont gérées (en termes de configuration et de mises à niveau logicielles) par les administrateurs du SD-WAN via le service Citrix SD-WAN Orchestrator.
-
Citrix Virtual Apps and Desktops Standard pour Azure VDA, Connector - Utilise l’appliance Citrix Virtual Apps and Desktops Standard pour Azure SD-WAN comme passerelle vers toutes les ressources en dehors de la norme Citrix Virtual Apps and Desktops pour Azure vNet, y compris les ressources d’entreprise sur site, certaines Services Azure et applications SaaS sur l’Internet public.
Rôles des utilisateurs
-
Administrateur Citrix Virtual Apps and Desktops Standard pour Azure : décide d’utiliser la connectivité SD-WAN et obtient les informations réseau nécessaires auprès de l’administrateur SD-WAN (ou d’un autre rôle d’administrateur réseau) :
- Démarre la configuration de la connectivité SD-WAN via l’interface utilisateur Citrix Virtual Apps and Desktops Standard pour Azure.
- Une fois la connectivité SD-WAN pleinement activée, gère les catalogues Citrix Virtual Apps and Desktops Standard pour Azure à l’aide de la connectivité SD-WAN.
- En collaboration avec l’administrateur SD-WAN, surveille la connectivité SD-WAN et prend d’autres mesures si nécessaire.
-
Administrateur SD-WAN : fournit des informations de configuration du SD-WAN à Citrix Virtual Apps and Desktops Standard pour Azure Administrator :
- Active les instances SD-WAN dans Citrix Virtual Apps and Desktops Standard pour Azure afin de permettre la connectivité à d’autres éléments du réseau et effectue des activités de configuration supplémentaires.
- En collaboration avec l’administrateur SD-WAN, surveille la connectivité SD-WAN et prend des mesures supplémentaires si nécessaire.
Gestion des accès pour l’intégration SD-WAN Citrix Virtual Apps and Desktops Standard pour Azure
- Citrix Virtual Apps and Desktops Standard for Azure et le service Citrix SD-WAN Orchestrator s’appuient sur Citrix Cloud IDAM pour identifier les utilisateurs comme disposant d’un accès en lecture seule ou en lecture-écriture .
- En outre, le service Citrix SD-WAN Orchestrator a la capacité d’attribuer des droits d’accès similaires aux utilisateurs exclusivement au sein du service Citrix SD-WAN Orchestrator. Les deux mécanismes d’autorisation sont combinés à la logique OR : il suffit de disposer de droits d’accès administrateur dans Citrix Cloud ou dans le service Citrix SD-WAN Orchestrator pour accéder à la gestion de la configuration du SD-WAN.
Déploiement et configuration
Dans un déploiement standard, un client aurait l’appliance Citrix SD-WAN (H/W ou VPX) déployée en tant que MCN dans son datacenter ou son grand bureau. Le centre de données client héberge généralement des utilisateurs sur site et des ressources telles que les serveurs AD et DNS. Dans certains scénarios, le client peut utiliser les services Azure Active Directory (AADS) et le DNS, qui sont tous deux pris en charge par Citrix SD-WAN et Citrix Virtual Apps and Desktops Standard pour l’intégration Azure.
Dans l’abonnement Citrix Managed Azure, le client doit déployer l’appliance virtuelle Citrix SD-WAN et les VDA. Les appliances SD-WAN sont gérées via le service Citrix SD-WAN Orchestrator. Toutefois, aux fins de cette intégration, l’appliance SD-WAN au sein de l’abonnement Citrix Managed Azure est configurée via Citrix Virtual Apps and Desktops Standard pour Azure UI/Workflow. Une fois que l’appliance SD-WAN est configurée, elle se connecte au réseau Citrix SD-WAN existant et d’autres tâches telles que la configuration, la visibilité et la gestion sont gérées via le service Citrix SD-WAN Orchestrator. Le service Citrix SD-WAN Orchestrator et Citrix Virtual Apps and Desktops Standard pour Azure communiquent entre eux à l’aide d’API.
Le troisième composant de cette intégration est le service de localisation réseau qui permet aux utilisateurs internes de contourner la Gateway et de se connecter directement aux VDA, réduisant ainsi la latence du trafic réseau interne. Pour la phase 1 de cette intégration, le service de localisation réseau doit être configuré manuellement. Pour plus d’informations, voir Service de localisation réseau (NLS).
Configuration
-
Une fois que vous avez respecté tous les prérequis mis en évidence dans la section des prérequis, le premier élément à configurer est le DNS. Cela doit être configuré dans le service Citrix SD-WAN Orchestrator. Vous devez disposer de droits d’administrateur pour configurer le DNS sur le service Citrix SD-WAN Orchestrator. Pour configurer le DNS, accédez à Configuration > Paramètres de l’application et du DNS > Serveurs DNS dans l’interface graphique du service Citrix SD-WAN Orchestrator et cliquez sur +Serveur DNS. Entrez le DNS principal et secondaire dans l’écran suivant.
Comme indiqué dans la section Déploiement et configuration ci-dessus, l’AD et le DNS sont présents dans l’emplacement sur site faisant office de centre de données et, dans un déploiement utilisant le SD-WAN, ils sont disponibles derrière le SD-WAN qui se trouve sur le réseau LAN. C’est l’adresse IP AD/DNS que vous devez configurer ici. Dans le cas où vous utilisez Azure Active Directory Service/DNS, configurez 168.63. 129.16 comme adresse IP DNS.
Si vous utilisez un AD/DNS local, vérifiez si vous pouvez effectuer un ping sur l’IP de votre DNS depuis votre appliance SD-WAN. Pour ce faire, accédez à Dépannage > Diagnostics. Cochez la case Ping dans l’écran suivant et lancez un ping depuis l’interface LAN/interface par défaut de l’appliance SD-WAN vers l’adresse IP de votre AD/DNS.
Si le ping réussit, cela signifie que votre AD/DNS peut être atteint avec succès. Si ce n’est pas le cas, il y a un problème de routage dans votre réseau qui empêche l’accès à votre AD/DNS. Si possible, essayez d’héberger votre appliance AD et SD-WAN sur le même segment LAN. En cas de problème, contactez votre administrateur réseau. Si cette étape n’est pas terminée correctement, l’étape de création du catalogue échouera et vous recevrez probablement un message d’erreur indiquant que l’ adresse IP du DNS mondial n’est pas configurée.
Remarque
Assurez-vous que le DNS est capable de résoudre les adresses IP internes et externes.
-
Connectez-vous à l’interface utilisateur Citrix Virtual Apps and Desktops Standard pour Azure. Vous pouvez afficher l’écran suivant :
Cliquez sur Connexions réseau pour créer une connectivité réseau entre vos ressources sur site et l’abonnement Citrix Virtual Apps and Desktops Standard pour Azure. Cliquez sur + Ajouter une connexion.
L’option SD-WAN n’est activée que si vous remplissez les conditions suivantes :
-
Vous devez disposer d’un réseau SD-WAN existant avec des droits de service Citrix SD-WAN Orchestrator. Si vous ne disposez pas d’un réseau SD-WAN existant, configurez-en un à l’aide du service Citrix SD-WAN Orchestrator. Pour plus de détails, voir Configuration d’un nœud de contrôle principal (MCN).
-
Vous devez disposer d’un abonnement à Citrix Virtual Apps and Desktops Standard pour Azure.
-
Actuellement, cette prise en charge de l’intégration n’est disponible que pour les clients. Si vous êtes un partenaire ou un MSP et que vous devez essayer ce service, vous devez vous abonner à Citrix Virtual Apps and Desktops Standard pour Azure en tant que client. Cette intégration pourra alors être activée. Sinon, cette option reste désactivée.
Si vous souhaitez essayer cette intégration et avez besoin d’un accès d’essai au service Citrix SD-WAN Orchestrator, demandez un essai en vous rendant sur citrix.cloud.com ou sdwan.cloud.com.
-
-
Une fois que vous avez rempli les conditions mises en évidence dans les prérequis, cliquez sur l’onglet SD-WAN pour afficher le flux de travail global :
-
Entrez les détails suivants pour configurer le SD-WAN :
-
Mode de déploiement : vous pouvez voir deux options de mode de déploiement : autonome et haute disponibilité.
-
Autonome : le mode de déploiement du SD-WAN peut être autonome lorsqu’une seule instance de SD-WAN est déployée. Si l’instance SD-WAN échoue en raison d’un problème avec le microprogramme SD-WAN ou l’infra Azure sous-jacent, vous ne pouvez pas contacter les ressources déployées derrière l’instance SD-WAN dans Azure. En d’autres termes, l’instance se comporte en mode échec de blocage.
-
Haute disponibilité : pour vous prémunir contre les défaillances logicielles de l’instance SD-WAN, vous pouvez choisir de déployer l’instance en mode haute disponibilité, qui déploie deux instances SD-WAN en mode veille actif. Citrix recommande de déployer des instances en mode haute disponibilité pour les réseaux de production.
-
-
Entrez le nom du site SD-WAN : Entrez le nom du site pour identifier un site dans votre réseau SD-WAN. Assurez-vous que le nom que vous choisissez est unique et facile à rappeler.
-
Débit et nombre de bureaux : Actuellement, seule l’option D3_V2 est prise en charge. D3_V2 prend en charge jusqu’à 200 Mbit/s de débit et peut établir une connectivité directe à 16 sites. Les connexions qui ne sont pas directes passent par le MCN.
-
Région : Sélectionnez la région Azure dans laquelle vous souhaitez déployer l’instance SD-WAN. Il doit s’agir de la même région que celle dans laquelle vous avez l’intention de déployer vos ressources Citrix Virtual Apps and Desktops Standard pour Azure.
-
Sous-réseau VDA : le sous-réseau VDA est le sous-réseau sur lequel vous souhaitez déployer votre VDA et d’autres ressources Citrix Virtual Apps and Desktops Standard for Azure dans Azure dans Azure.
-
Sous-réseau SD-WAN : le sous-réseau SD-WAN est le sous-réseau sur lequel vous souhaitez déployer votre/vos appliances SD-WAN.
Remarque
: cette intégration ne prend en charge que les catalogues joints à un domaine ; les catalogues non joints à un domaine ne sont pas pris en charge à
-
-
Une fois que vous avez fourni toutes les informations demandées lors de l’étape précédente, le Provisioning et le déploiement s’ensuivent et le processus prend environ 20 minutes impaires. Pendant ce temps, les étapes suivantes se déroulent dans les coulisses :
-
Un dispositif SD-WAN virtuel (VPX) commence à être provisionné dans Azure en fonction de la configuration choisie par vous. Une fois le Provisioning réussi, le VPX SD-WAN fournit le profil CPU et mémoire choisis ainsi que la configuration réseau fournie lors de l’étape précédente.
-
Une fois le provisionnement réussi, l’appliance VPX contacte le service Citrix SD-WAN Orchestrator via Internet public pour demander le package de configuration.
-
-
Une fois la succursale SD-WAN configurée, vous pouvez afficher les détails de configuration.
-
Une fois l’instance provisionnée, vous pouvez voir l’écran suivant. À ce stade, l’administrateur réseau doit se connecter au service Citrix SD-WAN Orchestrator pour autoriser l’ajout de l’appliance SD-WAN VPX au réseau.
-
L’administrateur réseau doit se connecter au service Citrix SD-WAN Orchestrator et accéder à la page d’accueil de configuration réseau, où vous pouvez voir un élément de ligne pour le site SD-WAN dans Citrix Virtual Apps and Desktops Standard pour Azure.
-
L’administrateur réseau doit déployer les sites à ce stade. Cliquez sur la configuration/le logiciel de déploiement à déployer.
-
Une fois l’étape de déploiement de la configuration/du logiciel réussie, vous pouvez constater que l’état sur l’écran Citrix Virtual Apps and Desktops Standard pour Azure change et que vous pouvez désormais créer des catalogues à l’aide du SD-WAN.
Service de localisation du réseau
Avec le service de localisation réseau dans Citrix Cloud, vous pouvez optimiser le trafic interne vers les applications et les postes de travail que vous mettez à disposition des espaces de travail des abonnés pour accélérer les sessions HDX.
Les utilisateurs des réseaux internes et externes doivent se connecter aux VDA via une Gateway externe. Bien que cela soit attendu pour les utilisateurs externes, les utilisateurs internes connaissent des connexions plus lentes aux ressources virtuelles. Le service de localisation réseau permet aux utilisateurs internes de contourner la passerelle et de se connecter directement aux VDA, ce qui réduit la latence du trafic réseau interne.
Configuration
Pour configurer le service de localisation réseau, vous devez configurer des emplacements réseau qui correspondent aux VDA de votre environnement à l’aide du module PowerShell du service de localisation réseau fourni par Citrix. Ces emplacements réseau incluent les plages IP publiques des réseaux à partir desquels vos utilisateurs internes se connectent.
Lorsque les abonnés lancent des sessions Citrix Virtual Apps and Desktops Standard pour Azure depuis leur espace de travail, Citrix Cloud détecte si les abonnés sont internes ou externes au réseau de l’entreprise en fonction de l’adresse IP publique du réseau à partir duquel ils se connectent.
-
Si un abonné se connecte à partir du réseau interne, Citrix Cloud achemine la connexion directement vers le VDA, en contournant Citrix Gateway.
-
Si un abonné se connecte en externe, Citrix Cloud achemine l’abonné via Citrix Gateway comme prévu, puis redirige l’abonné vers le VDA dans le réseau interne.
Remarque
L’adresse IP publique qui doit être configurée dans le service de localisation réseau doit être l’adresse IP publique attribuée aux liaisons WAN.
IP publique affectée à l’appliance SD-WAN
L’adresse IP publique qui doit être configurée dans NLS doit être les IP de liaison WAN de toutes les liaisons utilisées pour envoyer du trafic sur le chemin virtuel. Vous pouvez trouver ces informations en accédant à Site > Rapports > Temps réel > Statistiques > Interfaces d’accès.