Configuration SD-WAN pour l’intégration CMD
Citrix SD-WAN est une solution de périphérie WAN de nouvelle génération qui accélère la transformation numérique grâce à une connectivité et des performances flexibles, automatisées et sécurisées pour les applications SaaS, cloud et virtuelles afin de garantir une expérience d’Workspace permanente.
Citrix SD-WAN est le moyen recommandé et le meilleur pour les entreprises de se connecter à Citrix Managed Desktops (CMD) avec une configuration rapide et facile. Pour de plus amples informations, consultez blog Citrix.
Avantages
- Facile à configurer SD-WAN dans CMD grâce à un flux de travail guidé et automatisé
- Connectivité haute performance permanente grâce aux technologies SD-WAN avancées
- Avantages pour toutes les connexions (VDA à DC, User-VDA, VDA vers Cloud et User-Cloud)
- Réduit la latence par rapport au trafic de rétroacheminement vers le datacenter
-
Gestion du trafic pour assurer la qualité de service (QoS)
- QoS sur les flux de trafic HDX/ICA (HDX AutoQoS à port unique)
- QoS entre HDX et autres trafic
- Équité QoS HDX entre les utilisateurs
- QoS de bout en bout
- La liaison de liaison offre plus de bande passante pour des performances plus rapides
- Haute disponibilité (HA) avec basculement de liaison transparent et redondance SD-WAN sur Azure
- Expérience VoIP optimisée (course de paquets pour une réduction de la gigue et une perte minimale de paquets, QoS, rupture locale pour une latence réduite)
- Économies majeures et déploiement beaucoup plus rapide et plus facile par rapport à ExpressRoute
Conditions préalables
Pour évaluer ces nouvelles capacités, les conditions préalables suivantes doivent être respectées :
-
Vous devez disposer d’un réseau SD-WAN existant avec le droit Orchestrator. Si vous n’avez pas de réseau SD-WAN existant, vous devez en configurer un en utilisant SD-WAN Orchestrator. Pour plus de détails, consultez configuration d’un nœud de contrôle maître (MCN).
- Vous devez avoir un abonnement à CMD.
- Actuellement, cette prise en charge de l’intégration n’est disponible que pour les clients. Si vous êtes un partenaire ou un MSP et que vous devez essayer ce service, vous devez vous abonner à CMD en tant que client. Ce n’est qu’alors que cette intégration peut être activée.
- Pour utiliser les fonctionnalités SD-WAN (telles que QoS pour MSI, visibilité de l’application), le service de localisation réseau (NLS) doit être configuré pour tous les sites SD-WAN de votre réseau.
- Vous devez disposer d’un serveur DNS et AD soit déployés là où les points de terminaison client sont présents (co-situés dans votre environnement de centre de données, qui aurait également le MCN), soit vous pouvez également utiliser Azure Active Directory (AAD).
- Le serveur DNS doit être capable de résoudre les adresses IP internes (privées) et externes (publiques).
- Assurez-vous que le nom de domaine complet sdwan-location.citrixnetworkapi.net est en liste blanche dans le pare-feu. Il s’agit du nom de domaine complet du service de localisation réseau qui est essentiel pour envoyer du trafic via le chemin virtuel SD-WAN.
Pour obtenir la liste des services cloud qui doivent être mis en liste blanche sur le pare-feu, reportez-vous à la section Conditions préalables à l’utilisation d’Orchestrator.
Architecture de déploiement
Tout déploiement devrait être doté des entités suivantes :
-
Emplacement local hébergeant l’appliance SD-WAN qui peut être déployée en mode branche ou en mode MCN. Cet emplacement contient les machines clientes, Active Directory et DNS. Toutefois, vous pouvez également choisir d’utiliser le DNS et AD d’Azure. Dans la plupart des scénarios, l’emplacement local sert de centre de données sur site et abrite le MCN.
-
Service de cloud CMD : Cette entité fournit :
- L’interface utilisateur permettant d’activer et de surveiller la connectivité SD-WAN pour CMD.
- Crée des instances de machine virtuelle SD-WAN dans Azure.
- Gère leur vie.
- Les coûts des instances SD-WAN sont regroupés avec les coûts CMD pour la facturation des clients.
- Configure l’environnement de réseau local (sous-réseaux, routage local, règles de pare-feu, etc.) pour les instances SD-WAN.
- Fournit des informations sur l’instance SD-WAN au SD-WAN Orchestrator pour fournir et utiliser la surveillance SD-WAN et d’autres données opérationnelles.
-
SD-WAN Orchestrator : SD-WAN Orchestrator fournit l’interface utilisateur pour la gestion SD-WAN :
- Y compris la gestion des instances déployées dans CMD.
- Implémente le Provisioning initial pour les instances SD-WAN CMD.
- Implémente des restrictions sur la gestion des instances SD-WAN pour refléter la configuration CMD.
- S’intègre à CMD pour fournir et utiliser la surveillance SD-WAN et d’autres données opérationnelles.
-
AppliancesSD-WAN virtuelles et physiques : les appliancesSD-WAN virtuelles et physiques s’exécutent comme plusieurs instances dans le cloud (VM), sur site dans le datacenter et dans les succursales (appliances physiques ou machines virtuelles) pour fournir une connectivité entre ces emplacements et vers/depuis l’Internet public.
L’instance SD-WAN dans l’abonnement CMD est créée sous la forme d’un seul ou d’un ensemble d’appliances virtuelles (s’il y avait un déploiement haute disponibilité) par le service cloud CMD dans Azure dans les domaines de l’abonnement CMD. Les appliances SD-WAN situées dans d’autres emplacements (DC et succursales) sont créées par le client. Toutes ces appliances SD-WAN sont gérées (en termes de configuration et de mises à niveau logicielles) par les administrateurs SD-WAN via le SD-WAN Orchestrator.
-
CMD VDA, Connector : utilise l’appliance CMD SD-WAN comme Gateway vers toutes les ressources extérieures au réseau virtuel CMD, y compris les ressources sur site d’entreprise, certains services Azure et applications SaaS sur Internet public.
Rôles d’utilisateur
-
Administrateur CMD : décide d’utiliser la connectivité SD-WAN et obtient les informations réseau nécessaires auprès de l’administrateur SD-WAN (ou d’un autre rôle d’administrateur réseau) :
- Démarre la configuration de la connectivité SD-WAN via l’interface utilisateur CMD.
- Une fois la connectivité SD-WAN entièrement activée, gère les catalogues CMD à l’aide de la connectivité SD-WAN.
- En collaboration avec l’administrateur SD-WAN, surveille la connectivité SD-WAN et prend plus d’actions si nécessaire.
-
Administrateur SD-WAN : fournit des informations de configuration SD-WAN à l’administrateur CMD :
- Active les instances SD-WAN dans CMD pour activer la connectivité à d’autres éléments réseau ; effectue des activités de configuration supplémentaires.
- En collaboration avec l’administrateur SD-WAN, surveille la connectivité SD-WAN et prend des mesures supplémentaires si nécessaire.
Gestion des accès pour l’intégration SD-WAN CMD
- CMD et SD-WAN Orchestrator s’appuient sur Citrix Cloud IDAM pour identifier les utilisateurs comme disposant d’un accès en lecture seule ou en lecture-écriture.
- En outre, le SD-WAN Orchestrator peut attribuer des droits d’accès similaires aux utilisateurs exclusivement au sein de l’Orchestrator. Les deux mécanismes d’autorisation sont combinés à la logique OR : il suffit d’avoir des droits d’accès administrateur dans Citrix Cloud ou dans SD-WAN Orchestrator pour accéder à la gestion de la configuration SD-WAN.
Déploiement et configuration
Dans un déploiement standard, le client doit déployer l’appliance Citrix SD-WAN (H/W ou VPX) en tant que MCN dans son centre de données/grand bureau. Le centre de données client héberge généralement des utilisateurs et des ressources sur site tels que les serveurs AD et DNS. Dans certains scénarios, le client peut utiliser les services Azure Active Directory (AADS) et DNS, tous deux pris en charge par Citrix SD-WAN et l’intégration CMD.
Dans l’abonnement Citrix Managed Azure, le client doit déployer l’appliance virtuelle Citrix SD-WAN et les VDA. Les appliances SD-WAN sont gérées par le SD-WAN Orchestrator. Toutefois, aux fins de cette intégration, l’appliance SD-WAN dans l’abonnement Citrix Managed Azure est configurée via CMD UI/Workflow. Une fois que l’appliance SD-WAN est configurée, elle se connecte au réseau Citrix SD-WAN existant et d’autres tâches telles que la configuration, la visibilité et la gestion sont gérées via SD-WAN Orchestrator. SD-WAN Orchestrator et Citrix Managed Desktop Service (CMD) communiquent les uns avec les autres à l’aide des API.
Le troisième composant de cette intégration est le service de localisation réseau qui permet aux utilisateurs internes de contourner la Gateway et de se connecter directement au VDA, réduisant ainsi la latence du trafic réseau interne. Pour la phase 1 de cette intégration, le service de localisation réseau doit être configuré manuellement. Pour de plus amples informations, consultez Service de localisation réseau (NLS).
Configuration
-
Après avoir suivi tous les pré-requis mis en surbrillance dans la pré-requis section, le premier élément à configurer est le DNS. Cela doit être configuré dans le SD-WAN Orchestrator. Vous avez besoin de droits d’administrateur pour configurer DNS sur Orchestrator. Pour configurer DNS, accédez à Configuration > Paramètres de l’application et du DNS > Serveurs DNS dans l’interface graphique d’Orchestrator, puis cliquez sur +Serveur DNS. Entrez le DNS principal et le DNS secondaire dans l’écran suivant.
Comme indiqué dans la Déploiement et configuration section ci-dessus, les services AD et DNS sont présents dans l’emplacement local agissant comme centre de données et dans un déploiement avec SD-WAN, ils sont disponibles derrière le SD-WAN qui se trouve sur le Réseau LAN. C’est l’adresse IP AD/DNS que vous devez configurer ici. Si vous utilisez Azure Active Directory Service/DNS, configurez 168.63. 129.16 comme IP DNS.
Si vous utilisez un AD/DNS local, vérifiez si vous pouvez effectuer une commande ping sur l’adresse IP de votre DNS à partir de votre appliance SD-WAN. Pour ce faire, accédez à Dépannage > Diagnostics. Cochez la case Ping dans l’écran suivant et lancez un ping depuis l’interface LAN ou l’interface par défaut de l’appliance SD-WAN vers l’adresse IP de votre AD/DNS.
Si le ping réussit, cela signifie que votre AD/DNS peut être atteint avec succès. Si ce n’est pas le cas, il y a un problème de routage dans votre réseau qui empêche l’accès à votre AD/DNS. Si possible, essayez d’héberger votre appliance AD et SD-WAN sur le même segment LAN. En cas de problème, contactez votre administrateur réseau. Sans réussir cette étape, l’étape de création du catalogue ne réussira pas et vous recevez probablement un message d’erreur indiquant que l’IP DNS globale n’est pas configurée.
Remarque
Assurez-vous que le DNS est capable de résoudre les IP internes et externes.
-
Connectez-vous à l’interface utilisateur Citrix Managed Desktop (CMD). Vous pouvez afficher l’écran suivant :
Cliquez sur Connexions réseau pour créer une connectivité réseau entre vos ressources sur site et votre abonnement CMD. Cliquez sur + Ajouter une connexion.
L’option SD-WAN n’est activée que si vous remplissez les conditions suivantes :
-
Vous devez disposer d’un réseau SD-WAN existant avec le droit Orchestrator. Si vous n’avez pas de réseau SD-WAN existant, configurez un réseau à l’aide de SD-WAN Orchestrator. Pour plus de détails, consultez Configuration d’un nœud de contrôle maître (MCN).
-
Vous devez avoir un abonnement à CMD.
-
Actuellement, cette prise en charge de l’intégration n’est disponible que pour les clients. Si vous êtes un partenaire ou un MSP et que vous devez essayer ce service, vous devez vous abonner à CMD en tant que client, seulement alors cette intégration peut être activée. Sinon, cette option reste désactivée.
Si vous souhaitez essayer cette intégration et que vous avez besoin d’un accès d’essai pour le SD-WAN Orchestrator, demandez un essai en visitant citrix.cloud.com ou sdwan.cloud.com.
-
-
Une fois que vous remplissez les conditions mises en évidence dans les prérequis, cliquez sur l’onglet SD-WAN pour afficher le flux de travail global :
-
Entrez les détails suivants pour configurer le SD-WAN :
-
Mode de déploiement : vous pouvez voir deux options de mode de déploiement : autonome et haute disponibilité.
-
Autonome : le mode de déploiement du SD-WAN peut être autonome lorsqu’une seule instance SD-WAN est déployée. Si l’instance SD-WAN échoue en raison d’un problème avec le firmware SD-WAN ou l’infra Azure sous-jacente, vous ne pouvez pas contacter les ressources déployées derrière l’instance SD-WAN dans Azure. En d’autres termes, l’instance se comporte en mode échec de blocage.
-
Haute disponibilité : pour vous protéger contre les défaillances logicielles de l’instance SD-WAN, vous pouvez choisir de déployer l’instance en mode haute disponibilité qui déploie deux instances SD-WAN en mode veille actif. Citrix recommande de déployer des instances en mode haute disponibilité pour les réseaux de production.
-
-
Entrez le nom du site SD-WAN : entrez le nom du site pour identifier un site dans votre réseau SD-WAN. Assurez-vous que le nom que vous choisissez est unique et facile à rappeler.
-
Débit et nombre de bureaux : Actuellement, seule l’option D3_V2 est prise en charge. D3_V2 prend en charge jusqu’à 200 Mbit/s de débit et peut établir une connectivité directe à 16 sites. Les connexions qui ne sont pas directes passent par le MCN.
-
Région : sélectionnez la région Azure dans laquelle vous souhaitez déployer l’instance SD-WAN. Il doit s’agir de la même région dans laquelle vous avez l’intention de déployer vos ressources CMD.
-
Sous-réseau VDA : sous-réseau VDA est le sous-réseau dans lequel vous souhaitez déployer votre VDA et d’autres ressources CMD dans Azure.
-
Sous-réseau SD-WAN : sous-réseau SD-WAN est le sous-réseau dans lequel vous souhaitez déployer votre appliance SD-WAN.
Remarque
Cette intégration ne prend en charge que les catalogues joints au domaine, les autres que ceux qui ne sont pas joints au domaine ne sont pas pris en charge à ce jour.
-
-
Une fois que vous avez fourni toutes les informations demandées à l’étape précédente, le Provisioning et le déploiement s’ensuivent et le processus prend environ 20 minutes impaires. Pendant ce temps, les étapes suivantes se déroulent dans les coulisses :
-
Une appliance SD-WAN virtuelle (VPX) commence à être provisionnée dans Azure en fonction de la configuration que vous avez choisie. Une fois le Provisioning réussi, le SD-WAN VPX est fourni avec le profil CPU et mémoire choisi, ainsi que la configuration réseau fournie lors de l’étape précédente.
-
Une fois le Provisioning réussi, l’appliance VPX communique avec le SD-WAN Orchestrator sur Internet public pour demander le package de configuration.
-
-
Une fois la branche SD-WAN configurée, vous pouvez afficher les détails de configuration.
-
Une fois l’instance provisionnée, vous pouvez voir l’écran suivant. À ce stade, l’administrateur réseau doit se connecter au SD-WAN Orchestrator pour permettre l’ajout de l’appliance SD-WAN VPX au réseau.
-
L’administrateur réseau doit se connecter au SD-WAN Orchestrator et accéder à la page d’accueil de la configuration réseau, où vous pouvez voir un élément de ligne pour le site SD-WAN dans CMD.
-
L’administrateur réseau doit déployer les sites à ce stade. Cliquez sur Deploy Config/Software à déployer.
-
Une fois l’étape Deploy Config/Software réussie, vous pouvez voir que l’état de l’écran CMD change pour vous pouvez désormais créer des catalogues à l’aide du SD-WAN.
Service de localisation réseau
Avec le service de localisation réseau de Citrix Cloud, vous pouvez optimiser le trafic interne vers les applications et les postes de travail que vous mettez à la disposition des espaces de travail des abonnés pour accélérer les sessions HDX.
Les utilisateurs des réseaux internes et externes doivent se connecter aux VDA via une Gateway externe. Bien que cela soit attendu pour les utilisateurs externes, les utilisateurs internes connaissent des connexions plus lentes aux ressources virtuelles. Le service d’emplacement réseau permet aux utilisateurs internes de contourner la Gateway et de se connecter directement aux VDA, réduisant ainsi la latence du trafic réseau interne.
Configuration
Pour configurer le service d’emplacement réseau, vous configurez les emplacements réseau qui correspondent aux VDA de votre environnement à l’aide du module PowerShell du service d’emplacement réseau fourni par Citrix. Ces emplacements réseau incluent les plages IP publiques des réseaux d’où vos utilisateurs internes se connectent.
Lorsque les abonnés lancent des sessions Virtual Apps and Desktops à partir de leur Workspace, Citrix Cloud détecte si les abonnés sont internes ou externes au réseau de l’entreprise en fonction de l’adresse IP publique du réseau à partir duquel ils se connectent.
-
Si un abonné se connecte à partir du réseau interne, Citrix Cloud achemine la connexion directement vers le VDA, en contournant Citrix Gateway.
-
Si un abonné se connecte en externe, Citrix Cloud achemine l’abonné via Citrix Gateway comme prévu, puis redirige l’abonné vers le VDA dans le réseau interne.
Remarque
L’adresse IP publique qui doit être configurée dans le service de localisation réseau doit être l’adresse IP publique attribuée aux liaisons WAN.
IP publique attribuée à l’appliance SD-WAN
L’adresse IP publique qui doit être configurée dans NLS doit être l’adresse IP de liaison WAN de tous les liens utilisés pour envoyer du trafic sur le chemin virtuel. Vous pouvez trouver ces informations en accédant à Site > Rapports > Temps réel > Statistiques > Interfaces d’accès.