Optimisation du service Citrix Cloud et Gateway
Grâce à l’amélioration de la fonctionnalité d’optimisation du service Citrix Cloud and Gateway, vous pouvez détecter et acheminer le trafic destiné au service Citrix Cloud and Gateway. Vous pouvez créer des politiques pour répartir le trafic vers Internet directement ou pour l’envoyer via une route de liaison via le chemin virtuel. En l’absence de cette fonctionnalité, lorsque l’itinéraire par défaut est un chemin virtuel, le service de passerelle reprend le centre de données du client, puis se rendra sur Internet en ajoutant une latence inutile. En outre, vous bénéficiez désormais d’une visibilité sur le service Citrix Gateway et le trafic Citrix Cloud et pouvez créer des politiques de QoS pour le prioriser par rapport au chemin virtuel.
La fonctionnalité de rupture du service Citrix Cloud and Gateway est activée par défaut dans les versions 11.2.1 et supérieures du logiciel Citrix SD-WAN.
Pour les versions du logiciel Citrix SD-WAN antérieures à la version 11.3.0, la détection et la classification des premiers paquets du trafic Citrix Cloud and Gateway Service sont effectuées uniquement si la fonctionnalité de rupture du service Citrix Cloud and Gateway n’est pas désactivée.
Pour les versions 11.3.0 et ultérieures du logiciel Citrix SD-WAN, la détection et la classification des premiers paquets du trafic Citrix Cloud and Gateway Service sont effectuées, que la fonctionnalité de dérivation de Citrix Cloud and Gateway Service soit activée ou non.
Remarque
Vous pouvez configurer l’optimisation du service Citrix Cloud and Gateway uniquement via le service Citrix SD-WAN Orchestrator.
L’optimisation du trafic Citrix SD-WAN Orchestrator est introduite à partir du logiciel Citrix SD-WAN version 11.2.3 ou supérieure. L’objectif est de fournir une classification plus granulaire, et donc d’identifier séparément le trafic Citrix SD-WAN Orchestrator et le trafic d’autres services dépendants provenant de Citrix Cloud, et de fournir une option de dépannage Internet. Par conséquent, les clients peuvent désormais choisir d’optimiser uniquement le trafic Citrix SD-WAN Orchestrator.
Lorsque vous cochez la case Citrix Cloud, la case Citrix SD-WAN Orchestrator et services critiques dépendants est présélectionnée. Cela permet à tout le trafic de l’interface utilisateur Web et de l’API Citrix Cloud (y compris celui d’Orchestrator et des services dépendants) d’entrer dans le pare-feu et de bloquer Internet.
Vous pouvez également choisir de cocher uniquement la case Citrix SD-WAN Orchestrator et les services critiques dépendants et de désactiver tout autre trafic pour donner le privilège de contourner le pare-feu uniquement au trafic lié à Orchestrator de manière fluide.
Catégories Citrix Cloud et Gateway Service
Voici les catégories de trafic utilisées à des fins de classification et d’optimisation :
-
Citrix Cloud : permet de détecter et d’acheminer le trafic destiné à l’interface utilisateur Web et aux API Citrix Cloud.
-
Citrix SD-WAN Orchestrator et services critiques dépendants :
-
Citrix SD-WAN Orchestrator : permet la diffusion directe sur Internet du rythme cardiaque et des autres trafics nécessaires pour établir et maintenir la connectivité entre l’appliance Citrix SD-WAN et Citrix SD-WAN Orchestrator.
-
Service de téléchargement Citrix Cloud : permet une connexion Internet directe pour le téléchargement du logiciel, de la configuration, des scripts et d’autres exigences de l’appliance sur l’appliance Citrix SD-WAN.
-
-
-
Service Citrix Gateway : permet de détecter et d’acheminer le trafic (contrôle et données) destiné au service Citrix Gateway.
-
Données client du service de passerelle : permet la diffusion directe sur Internet des tunnels de données ICA entre les clients et le service Citrix Gateway. Il nécessite une bande passante élevée et une faible latence.
-
Données du serveur de service de passerelle : permet la diffusion directe sur Internet des tunnels de données ICA entre Virtual Delivery Agents (VDA) et Citrix Gateway Service. Elle nécessite une bande passante élevée et une faible latence et n’est pertinente que dans les emplacements de ressources VDA (connexions VDA à Citrix Gateway Service).
-
Trafic de contrôle de service de passerelle : permet la diffusion directe du trafic de contrôle sur Internet. Aucune considération QoS spécifique.
-
Trafic proxy Web du service de passerelle : Active la répartition directe du trafic de proxy Web par Internet. Il nécessite une bande passante élevée, mais les exigences de latence peuvent varier.
-
Conditions préalables
Assurez-vous que vous disposez des éléments suivants :
-
Pour exécuter le service Citrix Cloud and Gateway Service, un service Internet doit être configuré sur l’appliance. Pour plus d’informations sur la configuration d’un service Internet, consultez la section Accès à Internet.
-
Assurez-vous que l’interface de gestion est connectée à Internet. Si l’interface de gestion dédiée n’est pas connectée, assurez-vous que la gestion in-band est activée et que le trafic de gestion sortant est connecté à Internet.
-
Vous pouvez utiliser l’interface Web Citrix SD-WAN pour configurer les paramètres de l’interface de gestion.
-
Assurez-vous que le DNS de gestion est configuré. Pour configurer le DNS de l’interface de gestion, au niveau du site, accédez à Configuration > Paramètres de l’appliance > Adaptateur réseau. Sous la section Paramètres DNS, indiquez les détails du serveur DNS principal et secondaire, puis cliquez sur Enregistrer.
Fonctionnement de l’optimisation du service Citrix Cloud et Gateway
-
L’appliance Citrix SD-WAN télécharge une liste de signatures d’application à l’aide de l’API du service cloud.
-
Lorsqu’une demande pour l’application Citrix Cloud and Gateway Service arrive, l’application est classée sur le premier paquet à l’aide des signatures.
-
Une fois le trafic Citrix Cloud and Gateway Service classé, les stratégies d’itinéraire d’application et de pare-feu créées automatiquement prennent effet et répartit le trafic directement vers Internet.
-
Citrix Cloud and Gateway Service utilisent Quad9 par défaut pour transférer les demandes DNS.
Flux de trafic avec/sans coupure activée
-
Sans breakout activé :
-
Avec Breakout activé :
Si vous utilisez une pile de sécurité cloud (par exemple - Zscaler, Check Point, Palo Alto) pour traiter le trafic Internet, le service de passerelle reçoit des paquets provenant de l’adresse IP publique de cette pile de sécurité, au lieu de la succursale SD-WAN. Cela supprimera la connexion à charge de travail directe et, par conséquent, les paquets vers le SD-WAN hébergé dans le cloud ne pourront pas prendre le chemin virtuel. Pour plus d’informations, voir Connexion directe à la charge de travail.
En activant le breakout, le service de passerelle reçoit les paquets directement de la succursale SD-WAN. Les chemins virtuels dynamiques se trouvent entre la succursale SD-WAN et le SD-WAN hébergé dans le cloud et le trafic passe par ce chemin virtuel entre les deux sites. Pour plus d’informations sur l’activation des chemins virtuels dynamiques, voir Configuration de chemins dynamiques pour la communication de branche à branche.
En activant le breakout, le trafic requis pour établir et maintenir la connectivité entre les appareils Citrix SD-WAN et Citrix SD-WAN Orchestrator ne sera plus réacheminé via le centre de données. Le trafic atteint Citrix SD-WAN Orchestrator en se dirigeant directement vers Internet depuis les succursales où se trouvent les appareils Citrix SD-WAN.
Configuration du service de passerelle
La stratégie de répartition Citrix Cloud and Gateway Service vous permet de spécifier la catégorie de trafic Citrix Cloud et Gateway Service que vous pouvez sortir directement de la succursale SD-WAN.
Les options Citrix Cloud et Citrix Gateway Service sont disponibles dans les paramètres Citrix Gateway et Citrix Cloud Optimization .
Les applications Citrix peuvent accéder à plusieurs services dans Citrix Cloud. Pour plus de détails, consultez la section Configuration système et connectivité requise.
Dans le service Citrix SD-WAN Orchestrator, chaque réseau dispose par défaut de la route Citrix Cloud and Gateway Service. Pour naviguer, accédez à Configuration réseau > Routage > Politiques de routage > Routes d’application.
Vous ne pouvez pas supprimer l’itinéraire, mais vous pouvez configurer les paramètres selon vos besoins. Le service Citrix Cloud and Gateway est activé par défaut.
Redirecteur transparent pour Citrix Cloud et Gateway Service
La succursale SD-WAN se déclenche pour Citrix Cloud et le service Gateway commence par une demande DNS. La demande DNS passant par les domaines Citrix Cloud et Gateway Service doit être pilotée localement. Si Citrix Cloud and Gateway Service Internet saut est activé, les routes DNS internes sont déterminées. Les demandes DNS Citrix Cloud et Gateway Service sont transférées au service DNS open source Quad 9 par défaut. Le service DNS Quad 9 est sécurisé, évolutif et a une présence multi-pop. Vous pouvez modifier le service DNS si nécessaire.
Pour ajouter un serveur DNS, au niveau du site, accédez à Configuration > Paramètres avancés > DNS. Dans la section Serveurs DNS spécifiques au site, cliquez sur + Serveur DNS.
Des redirecteurs transparents pour les applications Citrix Cloud et Gateway Service sont créés dans chaque succursale SD-WAN sur laquelle le service Internet et le service Citrix Cloud and Gateway Service sont activés.
Pour ajouter une règle de transfert DNS spécifique, cliquez sur + Règle de transfert DNS spécifique à l’application dans la section NDS Transparent Forwarder . Avec cette configuration, vous pouvez choisir de modifier le redirecteur transparent Quad9 DNS par défaut pour les applications de service Citrix Cloud et Gateway.
-
Application : sélectionnez l’application Citrix Cloud and Gateway Service dans la liste déroulante Application .
-
Serveur DNS : Sélectionnez le serveur DNS que vous avez créé sous Serveurs DNS spécifiques au site dans la liste déroulante.
Surveillance
Vous pouvez surveiller les statistiques et le rapport d’utilisation en temps réel du service Citrix Cloud and Gateway comme suit :
- Statistiques en temps réel
- Connexions Pare-feu
- Utilisation
Résolution des problèmes
Les erreurs de connectivité sont enregistrées dans le fichier SDWAN_dpi.log . Pour télécharger le fichier journal, accédez à Résolution des problèmes > Journaux des appareils, sélectionnez le site requis, choisissez le fichier journal, puis cliquez sur Télécharger.
Vous pouvez également vérifier les alertes de l’appareil. Pour vérifier, accédez à Réseau > Alertes.