Citrix DaaS

Entornos de virtualización de AWS

En este artículo se describe cómo configurar su cuenta de AWS como ubicación de recursos que puede usar con Citrix DaaS.

La ubicación de recursos contiene un conjunto básico de componentes; es ideal para una prueba de concepto u otra implementación que no requiera recursos repartidos por varias zonas de disponibilidad.

Tras completarse las tareas indicadas en este artículo, la ubicación de recursos contendrá los siguientes componentes:

  • Una nube privada virtual (VPC) con subredes públicas y privadas dentro de una única zona de disponibilidad.
  • Una instancia que se ejecuta como un controlador de dominio de Active Directory y un servidor DNS, ubicados en la subred privada de la nube VPC.
  • Dos instancias unidas a dominio en las que está instalado el Citrix Cloud Connector, ubicado en la subred privada de la nube VPC.
  • Una instancia que actúa como host bastión, ubicada en la subred pública de la nube VPC. Esta instancia se utiliza para iniciar conexiones RDP a las instancias en la subred privada durante las tareas de administración. Después de finalizar la configuración de la ubicación de recursos, puede apagar esta instancia (para que no se pueda acceder fácilmente a ella). Cuando necesite administrar otras instancias en la subred privada, como instancias VDA, puede reiniciar la instancia del host bastión.

Después de completar las tareas, puede instalar agentes VDA, aprovisionar máquinas, crear catálogos de máquinas y crear grupos de entrega.

Descripción general de tareas

Configurar una nube privada virtual (VPC) con subredes públicas y privadas. Una vez completada esta tarea, AWS implementa puertas de enlace NAT con una dirección IP elástica en la subred pública. Esto permite que las instancias de la subred privada accedan a Internet. Las instancias en la subred pública están accesibles para el tráfico público entrante, mientras que las instancias en la subred privada no lo están.

Configurar grupos de seguridad. Los grupos de seguridad actúan como firewalls virtuales que controlan el tráfico de las instancias en su nube VPC. Debe agregar reglas a los grupos de seguridad que permitan que las instancias en la subred pública se comuniquen con instancias en la subred privada. También puede asociar estos grupos de seguridad a cada instancia ubicada en la nube VPC.

Crear un conjunto de opciones de DHCP. Una nube Amazon VPC, los servicios DNS y DHCP se suministran de forma predeterminada, lo que afecta a la configuración del DNS en el controlador de dominio de Active Directory. El DHCP de Amazon no se puede inhabilitar, y el DNS de Amazon se puede usar solo para la resolución de DNS públicos, no para la resolución de nombres de Active Directory. Para especificar los servidores de nombre y dominio que entregar a las instancias por DHCP, cree un conjunto de opciones de DHCP. El conjunto asigna el sufijo de dominio de Active Directory y especifica el servidor DNS para todas las instancias en la nube VPC. Para que los registros de Host (A) y Reverse Lookup (PTR) se registren automáticamente cuando las instancias se unen al dominio, debe configurar las propiedades del adaptador de red para cada instancia que agregue a la subred privada.

Agregar un host bastión, un controlador de dominio y Cloud Connectors a la nube VPC. A través del host bastión, puede iniciar sesión en las instancias de la subred privada y configurar el dominio, unir instancias al dominio e instalar el Cloud Connector.

Tarea 1: Configurar la nube VPC

  1. En la consola de administración de AWS, seleccione VPC.
  2. En el panel de mandos de la nube VPC, seleccione Create VPC.
  3. Seleccione VPC and more.
  4. En NAT gateways ($), seleccione In 1 AZ o 1 per AZ.
  5. En DNS options, deje seleccionada la opción Enable DNS hostnames.
  6. Seleccione Create VPC. AWS crea las subredes pública y privada, la puerta de enlace de Internet, las tablas de redirección y el grupo de seguridad predeterminado.

Nota:

Al cambiar el nombre de una nube privada virtual (VPC) de AWS en la consola de AWS, se rompe la unidad de alojamiento existente en Citrix Cloud. Si la unidad de alojamiento se rompe, no se pueden crear catálogos nuevos ni agregar máquinas a catálogos existentes. Del problema conocido: PMCS-7701

Tarea 2: Configurar grupos de seguridad

Esta tarea crea y configura los siguientes grupos de seguridad para la nube VPC:

  • Un grupo de seguridad público para asociarlo a las instancias de la subred pública.
  • Un grupo de seguridad privado para asociarlo a las instancias de la subred privada.

Para crear los grupos de seguridad:

  1. En el panel de mandos de la nube VPC, seleccione Security Groups.
  2. Cree un grupo de seguridad para el grupo de seguridad pública. Seleccione Create Security Group e introduzca una etiqueta de nombre y una descripción del grupo. En la nube VPC, seleccione la nube VPC que ha creado. Seleccione Yes, Create.

Configurar el grupo de seguridad público

  1. En la lista de grupos de seguridad, seleccione el grupo de seguridad público.
  2. Seleccione la ficha Inbound Rules y seleccione Edit para crear estas reglas:

    Tipo Origen
    ALL Traffic Seleccione el grupo de seguridad privado.
    ALL Traffic Seleccione el grupo de seguridad público.
    ICMP 0.0.0.0/0
    22 (SSH) 0.0.0.0/0
    80 (HTTP) 0.0.0.0/0
    443 (HTTPS) 0.0.0.0/0
    1494 (ICA/HDX) 0.0.0.0/0
    2598 (Fiabilidad de la sesión) 0.0.0.0/0
    3389 (RDP) 0.0.0.0/0
  3. Cuando haya terminado, seleccione Save.
  4. Seleccione la ficha Outbound Rules y seleccione Edit para crear estas reglas.

    Tipo Destino
    ALL Traffic Seleccione el grupo de seguridad privado.
    ALL Traffic 0.0.0.0/0
    ICMP 0.0.0.0/0
  5. Cuando haya terminado, seleccione Save.

Configurar el grupo de seguridad privado

  1. En la lista de grupos de seguridad, seleccione el grupo de seguridad privado.
  2. Si aún no ha configurado el tráfico del grupo de seguridad público, debe configurar los puertos TCP. Seleccione la ficha Inbound Rules y seleccione Edit para crear estas reglas:

    Tipo Origen
    ALL Traffic Seleccione el grupo de seguridad privado.
    ALL Traffic Seleccione el grupo de seguridad público.
    ICMP Seleccione el grupo de seguridad público.
    TCP 53 (DNS) Seleccione el grupo de seguridad público.
    UDP 53 (DNS) Seleccione el grupo de seguridad público.
    80 (HTTP) Seleccione el grupo de seguridad público.
    TCP 135 Seleccione el grupo de seguridad público.
    TCP 389 Seleccione el grupo de seguridad público.
    UDP 389 Seleccione el grupo de seguridad público.
    443 (HTTPS) Seleccione el grupo de seguridad público.
    TCP 1494 (ICA/HDX) Seleccione el grupo de seguridad público.
    TCP 2598 (Fiabilidad de la sesión) Seleccione el grupo de seguridad público.
    3389 (RDP) Seleccione el grupo de seguridad público.
    TCP 49152–65535 Seleccione el grupo de seguridad público.
  3. Cuando haya terminado, seleccione Save.

  4. Seleccione la ficha Outbound Rules y seleccione Edit para crear estas reglas.

    Tipo Destino
    ALL Traffic Seleccione el grupo de seguridad privado.
    ALL Traffic 0.0.0.0/0
    ICMP 0.0.0.0/0
    UDP 53 (DNS) 0.0.0.0/0
  5. Cuando haya terminado, seleccione Save.

Tarea 3: Iniciar instancias

Siga estos pasos para crear cuatro instancias EC2 y descifrar la contraseña de administrador predeterminado que genera Amazon:

  1. En la consola de administración de AWS, seleccione EC2.
  2. Desde el panel de mandos de EC2, seleccione Launch Instance.
  3. Seleccione un tipo de instancia y una imagen de máquina de servidor Windows.
  4. En la página Configure Instance Details, escriba un nombre para la instancia y seleccione la nube VPC que configuró.
  5. En Subnet, seleccione los siguientes elementos para cada instancia:
    • Para el host bastión, seleccione la subred pública
    • Para el controlador de dominio y los conectores, seleccione la subred privada
  6. En Auto-assign Public IP address, seleccione los siguientes elementos para cada instancia:

    • Para el host bastión, seleccione Enable
    • Para el controlador de dominio y los conectores, seleccione Use default setting o Disable
  7. En Network Interfaces, introduzca una dirección IP principal que se encuentre dentro del intervalo IP de la subred privada para las instancias del controlador de dominio y Cloud Connector.
  8. En la página Add Storage, modifique el tamaño del disco, si es necesario.
  9. En la página Tag Instance, escriba un nombre descriptivo para cada instancia.
  10. En la página Configure Security Groups, seleccione Select an existing security group y, a continuación, seleccione los siguientes elementos para cada instancia:

    • Para el host bastión, seleccione el grupo de seguridad público.
    • Para el controlador de dominio y los Cloud Connectors, seleccione el grupo de seguridad privado.
  11. Revise las selecciones y, a continuación, seleccione Launch.
  12. Cree un nuevo par de claves o seleccione uno existente. Si crea un nuevo par de claves, descargue el archivo de clave privada (.pem) y guárdela en un lugar seguro. Deberá suministrar la clave privada cuando obtenga la contraseña predeterminada de administrador de la instancia.
  13. Seleccione Launch Instances. Seleccione View Instances para ver una lista de las instancias. Espere hasta que la instancia que acaba de iniciar haya pasado por todas las comprobaciones de estado antes de acceder a ella.
  14. Obtenga la contraseña del administrador predeterminado de cada instancia.

    1. En la lista de instancias, seleccione la instancia y, a continuación, seleccione Connect.
    2. Vaya a la ficha RDP client, seleccione Get Password y cargue el archivo de clave privada (.pem) cuando se le indique.
    3. Seleccione Decrypt Password para obtener una contraseña legible en lenguaje humano. AWS muestra la contraseña predeterminada.
  15. Repita todos los pasos desde el paso 2 hasta que haya creado cuatro instancias:

    • Una instancia de host bastión en la subred pública
    • Tres instancias en la subred privada para usarlas de la siguiente manera:
      • Una como controlador de dominio
      • Dos como Cloud Connectors

Tarea 4: Crear un conjunto de opciones de DHCP

  1. En el panel de mandos de la nube VPC, seleccione DHCP Options Sets.
  2. Introduzca la siguiente información:

    • Name tag. Introduzca un nombre descriptivo para el conjunto.
    • Domain name. Escriba el nombre de dominio completo que usará cuando configure la instancia del controlador de dominio.
    • Domain name servers. Escriba la dirección IP privada que asignó a la instancia del controlador de dominio y la cadena AmazonProvidedDNS, separadas con comas.
    • NTP servers. Deje este campo en blanco.
    • NetBIOS name servers. Introduzca la dirección IP privada de la instancia del controlador de dominio.
    • NetBIOS node type. Escriba 2.
  3. Seleccione Yes, Create.
  4. Asocie el nuevo conjunto a la nube VPC:

    1. En el panel de mandos de la nube VPC, seleccione Your VPCs y, a continuación, seleccione la nube VPC que ha configurado.
    2. Seleccione Actions > Edit DHCP Options Set.
    3. Cuando se le solicite, seleccione el nuevo conjunto que ha creado y, a continuación, seleccione Save.

Tarea 5: Configurar las instancias

  1. A través de un cliente RDP, conéctese a la dirección IP pública de la instancia del host bastión. Cuando se le solicite, introduzca las credenciales de la cuenta de administrador.
  2. Desde la instancia del host bastión, inicie una Conexión a Escritorio remoto (RDC) y conéctese a la dirección IP privada de la instancia que quiere configurar. Cuando se le solicite, introduzca las credenciales del administrador de la instancia.
  3. Configure los parámetros de DNS para todas las instancias en la subred privada:

    1. Seleccione Inicio > Panel de control > Redes e Internet > Centro de redes y recursos compartidos > Cambiar configuración del adaptador. Haga doble clic en la conexión de red que aparece.
    2. Seleccione Propiedades > Protocolo de Internet versión 4 (TCP/IPv4) > Propiedades.
    3. Seleccione Avanzado > DNS. Compruebe que los siguientes parámetros están habilitados y seleccione Aceptar:

      • Registrar en DNS las direcciones de esta conexión
      • Use el sufijo DNS de esta conexión en el registro de DNS
  4. Configure el controlador de dominio:

    1. Mediante el Administrador de servidores, agregue el rol Servicios de dominio de Active Directory con todas las funciones predeterminadas.
    2. Promueva la instancia a un controlador de dominio. Durante la promoción, habilite el DNS y use el nombre de dominio que especificó al crear el conjunto de opciones de DHCP. Reinicie la instancia cuando lo pida el sistema.
  5. Configure el primer Cloud Connector:

    1. Una la instancia al dominio y reinicie cuando lo pida el sistema. Desde la instancia del host bastión, vuelva a conectarse a la instancia mediante RDP.
    2. Inicie sesión en Citrix Cloud. Seleccione Ubicaciones de recursos en el menú superior de la izquierda.
    3. Descargue el Cloud Connector.
    4. Cuando se le solicite, ejecute el archivo cwcconnector.exe y suministre las credenciales de Citrix Cloud. Siga las instrucciones del asistente.
    5. Cuando haya terminado, seleccione Actualizar para ver la página Ubicaciones de recursos. Una vez que el Cloud Connector está registrado, la instancia aparece en la página.
  6. Para configurar el segundo Cloud Connector, repita los pasos correspondientes.
  7. Adjunte una directiva de IAM a los Cloud Connectors para compatibilizar las conexiones de alojamiento de AWS con la autorización basada en roles. Debe tener la misma directiva de IAM adjunta a todos los Cloud Connectors de una ubicación de recursos. Para obtener información sobre los permisos de AWS, consulte Permisos requeridos por AWS.

Qué hacer a continuación

Más información

Entornos de virtualización de AWS