Citrix DaaS

AWS-Virtualisierungsumgebungen

In diesem Artikel wird beschrieben, wie Sie Ihr AWS-Konto als Ressourcenstandort einrichten, den Sie mit Citrix DaaS verwenden können.

Der Ressourcenstandort enthält eine Reihe grundlegender Komponenten, die sich ideal für Machbarkeitsstudien oder andere Bereitstellungen eignen, bei denen keine Ressourcenverteilung über mehrere Verfügbarkeitszonen erforderlich ist.

Mit den im vorliegenden Artikel aufgeführten Aufgaben wird ein Ressourcenstandort mit folgenden Komponenten erstellt:

  • Eine virtuelle private Cloud (VPC) mit öffentlichen und privaten Subnetzen in einer einzelnen Verfügbarkeitszone.
  • Eine Instanz, die sowohl als Active Directory-Domänencontroller als auch als DNS-Server ausgeführt wird und im privaten Subnetz der VPC residiert.
  • Zwei mit der Domäne verbundene Instanzen, auf denen Citrix Cloud Connector installiert ist und die im privaten Subnetz der VPC residieren.
  • Eine Instanz, die als Bastion Host fungiert und im öffentlichen Subnetz der VPC residiert. Mit dieser Instanz werden RDP-Verbindungen zu den Instanzen im privaten Subnetz für Verwaltungszwecke initiiert. Wenn Sie den Ressourcenstandort eingerichtet haben, können Sie diese Instanz herunterfahren, sodass sie nicht mehr ohne Weiteres verfügbar ist. Wenn Sie andere Instanzen im privaten Subnetz verwalten müssen, z. B. VDA-Instanzen, müssen Sie die Bastionshostinstanz neu starten.

Nachdem Sie die Aufgaben ausgeführt haben, können Sie VDAs installieren, Maschinen bereitstellen und Maschinenkataloge sowie Bereitstellungsgruppen erstellen.

Aufgabenüberblick

Einrichten einer virtuellen privaten Cloud (VPC) mit öffentlichen und privaten Subnetzen: Wenn Sie diese Aufgabe ausführen, stellt AWS NAT-Gateways mit einer Elastic IP-Adresse im öffentlichen Subnetz bereit. Dadurch können Instanzen im privaten Subnetz auf das Internet zugreifen. Instanzen im öffentlichen Subnetz sind für eingehenden öffentlichen Datenverkehr zugänglich, Instanzen im privaten Subnetz dagegen nicht.

Konfigurieren von Sicherheitsgruppen. Sicherheitsgruppen fungieren als virtuelle Firewall und steuern den Datenverkehr für die Instanzen in der VPC. Sie fügen den Sicherheitsgruppen Regeln zur Kommunikation zwischen Instanzen im öffentlichen und im privaten Subnetz hinzu. Sie ordnen die Sicherheitsgruppen außerdem jeder Instanz in der VPC zu.

Erstellen eines DHCP-Optionssatzes. Amazon-VPC, DHCP und DNS-Dienste werden standardmäßig bereitgestellt, was sich auf Ihre Konfiguration von DNS auf dem Active Directory-Domänencontroller auswirkt. Amazon-DHCP kann nicht deaktiviert werden und das Amazon-DNS kann nur für die öffentliche DNS-Auflösung, nicht aber für die Active Directory-Namensauflösung verwendet werden. Um die Domänen- und Namenserver anzugeben, die Instanzen über DHCP übergeben werden, erstellen Sie einen DHCP-Optionssatz. Dieser weist das Active Directory-Domänensuffix zu und gibt den DNS-Server für alle Instanzen in der VPC an. Um sicherzustellen, dass Host- (A) und Reverse-Lookup-Datensätze (PTR-Datensätze) automatisch registriert werden, wenn Instanzen der Domäne beitreten, konfigurieren Sie die Netzwerkadaptereigenschaften für jede Instanz, die Sie dem privaten Subnetz hinzufügen.

Fügen Sie einen Bastion Host, Domänencontroller und Cloud Connector zur VPC hinzu. Über den Bastion Host können Sie sich bei Instanzen im privaten Subnetz anmelden, um die Domäne einzurichten, der Domäne Instanzen anzufügen und den Cloud Connector zu installieren.

Aufgabe 1: Einrichten der VPC

  1. Wählen Sie in der AWS-Verwaltungskonsole VPC.
  2. Wählen Sie im VPC-Dashboard die Option Create VPC.
  3. Wählen Sie VPC and more.
  4. Wählen Sie unter “NAT gateways ($)” In 1 AZ oder 1 per AZ.
  5. Lassen Sie unter “DNS Options” die Option Enable DNS hostnames aktiviert.
  6. Wählen Sie Create VPC. AWS erstellt das öffentliche und private Subnetz, das Internetgateway, die Routingtabellen und die Standardsicherheitsgruppe.

Hinweis:

Wenn Sie den Namen einer AWS Virtual Private Cloud (VPC) in der AWS-Konsole ändern, wird die vorhandene Hostingeinheit in der Citrix Cloud beschädigt. Bei unterbrochener Hostingeinheit können Sie keine Kataloge erstellen oder Maschinen zu Katalogen hinzufügen. Aus bekanntem Problem: PMCS-7701

Aufgabe 2: Konfigurieren von Sicherheitsgruppen

Bei diesem Vorgang werden die folgenden Sicherheitsgruppen für die VPC erstellt und konfiguriert:

  • Eine öffentliche Sicherheitsgruppe, die den Instanzen in Ihrem öffentlichen Subnetz zugeordnet werden.
  • Eine private Sicherheitsgruppe, die den Instanzen in Ihrem privaten Subnetz zugeordnet werden.

So erstellen Sie die Sicherheitsgruppen:

  1. Wählen Sie im VPC-Dashboard Sicherheitsgruppen.
  2. Erstellen Sie eine Sicherheitsgruppe für die öffentliche Sicherheitsgruppe. Wählen Sie Create Security Group und geben Sie einen Namen und eine Beschreibung für die Gruppe ein. Wählen Sie unter “VPC” die VPC aus, die Sie zuvor erstellt haben. Wählen Sie Yes, Create.

Öffentliche Sicherheitsgruppe konfigurieren

  1. Wählen Sie in der Liste der Sicherheitsgruppen die private Sicherheitsgruppe aus.
  2. Wählen Sie die Registerkarte Inbound Rules und dann “Edit”, um die folgenden Regeln zu erstellen:

    Typ Quelle
    ALL Traffic Wählen Sie die private Sicherheitsgruppe.
    ALL Traffic Wählen Sie die öffentliche Sicherheitsgruppe.
    ICMP 0.0.0.0/0
    22 (SSH) 0.0.0.0/0
    80 (HTTP) 0.0.0.0/0
    443 (HTTPS) 0.0.0.0/0
    1494 (ICA/HDX) 0.0.0.0/0
    2598 (Sitzungszuverlässigkeit) 0.0.0.0/0
    3389 (RDP) 0.0.0.0/0
  3. Wenn Sie fertig sind, wählen Sie Speichern.
  4. Wählen Sie die Registerkarte Inbound Rules und dann Edit, um die folgenden Regeln zu erstellen:

    Typ Ziel
    ALL Traffic Wählen Sie die private Sicherheitsgruppe.
    ALL Traffic 0.0.0.0/0
    ICMP 0.0.0.0/0
  5. Wenn Sie fertig sind, wählen Sie Speichern.

Private Sicherheitsgruppe konfigurieren

  1. Wählen Sie in der Liste der Sicherheitsgruppen die private Sicherheitsgruppe aus.
  2. Wenn Sie den Verkehr von der öffentlichen Sicherheitsgruppe noch nicht eingerichtet haben, müssen Sie TCP-Ports einrichten. Wählen Sie die Registerkarte Inbound Rules und dann Edit, um die folgenden Regeln zu erstellen:

    Typ Quelle
    ALL Traffic Wählen Sie die private Sicherheitsgruppe.
    ALL Traffic Wählen Sie die öffentliche Sicherheitsgruppe.
    ICMP Wählen Sie die öffentliche Sicherheitsgruppe.
    TCP 53 (DNS) Wählen Sie die öffentliche Sicherheitsgruppe.
    UDP 53 (DNS) Wählen Sie die öffentliche Sicherheitsgruppe.
    80 (HTTP) Wählen Sie die öffentliche Sicherheitsgruppe.
    TCP 135 Wählen Sie die öffentliche Sicherheitsgruppe.
    TCP 389 Wählen Sie die öffentliche Sicherheitsgruppe.
    UDP 389 Wählen Sie die öffentliche Sicherheitsgruppe.
    443 (HTTPS) Wählen Sie die öffentliche Sicherheitsgruppe.
    TCP 1494 (ICA/HDX) Wählen Sie die öffentliche Sicherheitsgruppe.
    TCP 2598 (Sitzungszuverlässigkeit) Wählen Sie die öffentliche Sicherheitsgruppe.
    3389 (RDP) Wählen Sie die öffentliche Sicherheitsgruppe.
    TCP 49152–65535 Wählen Sie die öffentliche Sicherheitsgruppe.
  3. Wenn Sie fertig sind, wählen Sie Speichern.

  4. Wählen Sie die Registerkarte Inbound Rules und dann Edit, um die folgenden Regeln zu erstellen:

    Typ Ziel
    ALL Traffic Wählen Sie die private Sicherheitsgruppe.
    ALL Traffic 0.0.0.0/0
    ICMP 0.0.0.0/0
    UDP 53 (DNS) 0.0.0.0/0
  5. Wenn Sie fertig sind, wählen Sie Speichern.

Aufgabe 3: Starten von Instanzen

Im folgenden Verfahren erstellen Sie die vier EC2-Instanzen und das von Amazon generierte Standardadministratorkennwort wird entschlüsselt:

  1. Wählen Sie in der AWS-Verwaltungskonsole EC2.
  2. Wählen Sie im EC2-Dashboard Launch Instance.
  3. Wählen Sie ein Windows Server-Maschinenimage und einen Instanztyp.
  4. Geben Sie auf der Seite Configure Instance Details einen Namen für die Instanz ein und wählen Sie die zuvor eingerichtete VPC aus.
  5. Treffen Sie unter Subnet für jede Instanz folgende Auswahl:
    • Bastion host: Wählen Sie das öffentliche Subnetz
    • Domain controller and Connectors: Wählen Sie das private Subnetz
  6. Treffen Sie unter Auto-assign Public IP address für jede Instanz folgende Auswahl:

    • Bastion host: Wählen Sie Enable
    • Domain controller and Connectors: Wählen Sie Use default setting oder Disable
  7. Geben Sie für Network Interfaces eine primäre IP-Adresse innerhalb des IP-Bereichs des privaten Subnetzes für die Domänencontroller- und Cloud Connector-Instanzen ein.
  8. Ändern Sie auf der Seite Add Storage bei Bedarf die Datenträgergröße.
  9. Geben Sie auf der Seite Tag Instance einen Anzeigenamen für jede Instanz ein.
  10. Wählen Sie auf der Seite Configure Security Groups die Option Select an existing security group und treffen Sie dann für jede Instanz die folgende Auswahl:

    • Bastion host: Wählen Sie die öffentliche Sicherheitsgruppe.
    • Domain controller and Connectors: Wählen Sie die private Sicherheitsgruppe.
  11. Überprüfen Sie Ihre Auswahl und wählen Sie Launch.
  12. Erstellen Sie ein neues Schlüsselpaar oder wählen Sie ein vorhandenes aus. Wenn Sie ein neues Schlüsselpaar erstellen, laden Sie die private Schlüsseldatei (.pem) herunter und bewahren Sie sie an einem sicheren Ort auf. Sie müssen den privaten Schlüssel angeben, wenn Sie das Standardadministratorkennwort für die Instanz beschaffen.
  13. Wählen Sie Launch Instances aus. Wählen Sie View Instanceaus, um eine Liste Ihrer Instanzen anzuzeigen. Warten Sie, bis die neu gestartete Instanz alle Statusprüfungen bestanden hat, bevor Sie darauf zugreifen.
  14. Beschaffen Sie das Standardadministratorkennwort für jede Instanz.

    1. Wählen Sie die Instanz aus der Liste aus und wählen Sie Connect.
    2. Gehen Sie zur Registerkarte RDP client, wählen Sie Get Password und laden Sie Ihre private Schlüsseldatei (.pem) hoch, wenn Sie dazu aufgefordert werden.
    3. Wählen Sie Decrypt Password, um das menschenlesbare Kennwort zu erhalten. AWS zeigt das Standardkennwort an.
  15. Wiederholen Sie alle Schritte ab Schritt 2, bis Sie vier Instanzen erstellt haben:

    • Eine Bastionshostinstanz in Ihrem öffentlichen Subnetz
    • Drei Instanzen in Ihrem privaten Subnetz, die wie folgt verwendet werden können:
      • eine als Domänencontroller
      • zwei als Cloud Connectors

Aufgabe 4: Erstellen eines DHCP-Optionssatzes

  1. Wählen Sie im VPC-Dashboard DHCP Options Sets.
  2. Geben Sie die folgenden Informationen ein:

    • Name tag: Geben Sie einen Anzeigenamen für den Satz ein.
    • Domain name: Geben Sie den vollqualifizierten Domänennamen ein, den Sie beim Konfigurieren der Domänencontrollerinstanz verwenden möchten.
    • Domain name servers: Geben Sie die private IP-Adresse, die Sie der Domänencontrollerinstanz zugewiesen haben, und die Zeichenfolge AmazonProvidedDNS getrennt durch Kommas ein.
    • NTP servers: Lassen Sie dieses Feld leer.
    • NetBIOS name servers: Geben Sie die private IP-Adresse der Domänencontrollerinstanz ein.
    • NetBIOS node type: Geben Sie 2 ein.
  3. Wählen Sie Yes, Create.
  4. Verknüpfen des neuen Satzes mit der VPC:

    1. Wählen Sie im VPC-Dashboard Your VPCs und dann die VPC, die Sie zuvor eingerichtet haben.
    2. Wählen Sie Actions > Edit DHCP Options Set.
    3. Wenn Sie dazu aufgefordert werden, wählen Sie den neuen Satz, den Sie erstellt haben, und wählen Sie Save.

Aufgabe 5: Konfigurieren der Instanzen

  1. Stellen Sie mit einem RDP-Clients eine Verbindung mit der öffentlichen IP-Adresse der Bastionhostinstanz her. Geben Sie die Anmeldeinformationen für das Administratorkonto ein, wenn Sie dazu aufgefordert werden.
  2. Starten Sie Remote Desktop Connection auf der Bastionshostinstanz und stellen Sie eine Verbindung zur privaten IP-Adresse der Instanz her, die Sie konfigurieren möchten. Geben Sie die Anmeldeinformationen für die Instanz ein, wenn Sie dazu aufgefordert werden.
  3. Konfigurieren Sie für alle Instanzen im privaten Subnetz folgende DNS-Einstellungen:

    1. Wählen Sie Start > Control Panel > Network and Internet > Network and Sharing Center > Change adapter settings. Doppelklicken Sie auf die angezeigte Netzwerkverbindung.
    2. Wählen Sie Properties > Internet Protocol Version 4 (TCP/IPv4) > Properties.
    3. Wählen Sie Advanced > DNS. Achten Sie darauf, dass die folgenden Einstellungen aktiviert sind, und wählen Sie OK:

      • Register this connection’s addresses in DNS
      • Use this connection’s DNS suffix in DNS registration
  4. Domänencontroller konfigurieren:

    1. Fügen Sie mit Server-Manager die Active Directory-Domänendiensterolle mit allen Standardfeatures hinzu.
    2. Stufen Sie die Instanz auf einen Domänencontroller hoch. Aktivieren Sie im Rahmen der Heraufstufung DNS und verwenden Sie den Domänennamen, den Sie beim Erstellen des DHCP-Optionssatzes festgelegt haben. Starten Sie die Instanz neu, wenn Sie dazu aufgefordert werden.
  5. Ersten Cloud Connector konfigurieren:

    1. Fügen Sie die Instanz der Domäne an und führen Sie einen Neustart aus, wenn Sie dazu aufgefordert werden. Stellen Sie auf der Bastionshostinstanz mit RDP die Verbindung zur Instanz wieder her.
    2. Melden Sie sich bei Citrix Cloud an. Wählen Sie im Menü oben links Ressourcenstandorte.
    3. Cloud Connector herunterladen
    4. Wenn Sie dazu aufgefordert werden, führen Sie die Datei cwcconnector.exe aus und geben Sie Ihre Citrix Cloud-Anmeldeinformationen ein. Folgen Sie die Anweisungen des Assistenten.
    5. Wenn Sie fertig sind, wählen Sie Aktualisieren, um die Seite Ressourcenstandorte anzuzeigen. Wenn der Cloud Connector registriert ist, wird die Instanz auf der Seite angezeigt.
  6. Wiederholen Sie die Schritte zur Konfiguration des Cloud Connectors, um den zweiten Cloud Connector zu konfigurieren.
  7. Hängen Sie eine IAM-Richtlinie an die Cloud Connectors an, um AWS-Hostingverbindungen mit rollenbasierter Autorisierung zu unterstützen. An einem Resosurcenstandort muss dieselbe IAM-Richtlinie an alle Cloud Connectors angehängt werden. Weitere Informationen zu den AWS-Berechtigungen finden Sie unter Erforderliche AWS-Berechtigungen.

So geht es weiter

Weitere Informationen

AWS-Virtualisierungsumgebungen