Connexions réseau

Introduction

Cet article fournit des informations sur plusieurs scénarios de déploiement lors de l’utilisation d’un abonnement Citrix Managed Azure.

Lors de la création d’un catalogue, vous indiquez si et comment les utilisateurs accèdent aux emplacements et aux ressources de leur réseau local d’entreprise à partir de leurs postes de travail et applications Citrix DaaS Standard pour Azure (anciennement Citrix Virtual Apps and Desktops Standard pour Azure).

Lorsque vous utilisez un abonnement Azure géré par Citrix, les choix sont les suivants :

Lorsque vous utilisez l’un de vos propres abonnements Azure gérés par le client, il n’est pas nécessaire de créer une connexion à Citrix DaaS pour Azure. Il vous suffit d’ ajouter l’abonnement Azure à Citrix DaaS pour Azure.

Vous ne pouvez pas modifier le type de connexion d’un catalogue une fois le catalogue créé.

Configuration requise pour toutes les connexions réseau

  • Lors de la création d’une connexion, vous devez disposer d’entrées de serveur DNS valides.
  • Lorsque vous utilisez Secure DNS ou un fournisseur DNS tiers, vous devez ajouter la plage d’adresses allouée pour une utilisation par Citrix DaaS pour Azure aux adresses IP du fournisseur DNS dans la liste verte. Cette plage d’adresses est spécifiée lorsque vous créez une connexion.
  • Toutes les ressources de service qui utilisent la connexion (machines jointes à un domaine) doivent pouvoir atteindre votre serveur Network Time Protocol (NTP), afin d’assurer la synchronisation de l’heure.

Aucune connectivité

Lorsqu’un catalogue est configuré avec Aucune connectivité, l’utilisateur ne peut pas accéder aux ressources sur son réseau local ni sur d’autres réseaux. Il s’agit du seul choix lors de la création d’un catalogue à l’aide de la création rapide.

Aucune connectivité à d'autres réseaux

À propos des connexions de peering de réseau virtuel Azure

L’appairage de réseaux virtuels connecte de manière transparente deux réseaux virtuels Azure (VNET) : le vôtre et le réseau virtuel Citrix DaaS pour Azure. Le peering permet également aux utilisateurs d’accéder à des fichiers et autres éléments à partir de vos réseaux locaux.

Comme le montre le graphique suivant, vous créez une connexion à l’aide du peering de réseau virtuel Azure depuis l’abonnement Azure géré par Citrix vers le réseau virtuel dans l’abonnement Azure de votre entreprise.

Scénario de déploiement avec réseau local client

Voici une autre illustration du peering de réseau virtuel.

Schéma de peering de réseau virtuel

Les utilisateurs peuvent accéder à leurs ressources réseau locales (telles que les serveurs de fichiers) en rejoignant le domaine local lorsque vous créez un catalogue. (C’est-à-dire que vous rejoignez le domaine AD qui contient les partages de fichiers et les autres ressources nécessaires.) Votre abonnement Azure se connecte à ces ressources (dans les graphiques, à l’aide d’un VPN ou d’Azure ExpressRoute). Lorsque vous créez le catalogue, vous fournissez les informations d’identification du domaine, de l’unité d’organisation et du compte.

Important :

  • Découvrez l’appairage de réseaux virtuels avant de l’utiliser dans Citrix DaaS pour Azure.
  • Créez une connexion de peering de réseau virtuel avant de créer un catalogue qui l’utilise.

Itinéraires personnalisés de peering de réseau virtuel Azure

Les itinéraires personnalisés ou définis par l’utilisateur remplacent les itinéraires système par défaut d’Azure pour diriger le trafic entre les machines virtuelles dans un peering de réseau virtuel, les réseaux locaux et sur Internet. Vous pouvez utiliser des routes personnalisées s’il existe des réseaux auxquels les ressources Citrix DaaS pour Azure sont censées accéder mais qui ne sont pas directement connectées via l’appairage de réseaux virtuels. Par exemple, vous pouvez créer un itinéraire personnalisé qui force le trafic via une appliance réseau vers Internet ou vers un sous-réseau local.

Pour utiliser des itinéraires personnalisés :

  • Vous devez disposer d’une passerelle réseau virtuelle Azure ou d’une appliance réseau telle que Citrix SD-WAN dans votre environnement Citrix DaaS pour Azure.
  • Lorsque vous ajoutez des itinéraires personnalisés, vous devez mettre à jour les tables de routage de votre entreprise avec les informations du réseau virtuel de destination Citrix DaaS pour Azure afin de garantir une connectivité de bout en bout.
  • Les itinéraires personnalisés sont affichés dans Citrix DaaS pour Azure dans l’ordre dans lequel ils sont entrés. Cet ordre d’affichage n’affecte pas l’ordre dans lequel Azure sélectionne les itinéraires.

Avant d’utiliser des itinéraires personnalisés, consultez l’article Microsoft Routage du trafic de réseau virtuel pour en savoir plus sur l’utilisation d’itinéraires personnalisés, les types de sauts suivants et la façon dont Azure sélectionne les itinéraires pour le trafic sortant.

Vous pouvez ajouter des itinéraires personnalisés lorsque vous créez une connexion d’appairage de réseau virtuel Azure ou à des connexions existantes dans votre environnement Citrix DaaS pour Azure. Lorsque vous êtes prêt à utiliser des itinéraires personnalisés avec votre peering de réseau virtuel, reportez-vous aux sections suivantes de cet article :

Configuration requise et préparation du peering de réseau virtuel Azure

  • Informations d’identification pour le propriétaire d’un abonnement Azure Resource Manager. Il doit s’agir d’un compte Azure Active Directory. Citrix DaaS pour Azure ne prend pas en charge les autres types de comptes, tels que live.com ou les comptes Azure AD externes (dans un autre locataire).
  • Un abonnement Azure, un groupe de ressources et un réseau virtuel.
  • Configurez les itinéraires réseau Azure afin que les VDA de l’abonnement Azure géré par Citrix puissent communiquer avec vos emplacements réseau.
  • Ouvrez les groupes de sécurité réseau Azure depuis votre réseau virtuel vers la plage IP spécifiée.
  • Active Directory : dans les scénarios dans lesquels vous êtes joints à un domaine, nous vous recommandons d’utiliser un type de services Active Directory dans le réseau virtuel associé. Cela tire parti des caractéristiques de faible latence de la technologie de peering de réseau virtuel Azure.

    Par exemple, la configuration peut inclure Azure Active Directory Domain Services (AADDS), une machine virtuelle de contrôleur de domaine dans le réseau virtuel ou Azure AD Connect à votre Active Directory local.

    Après avoir activé AADDS, vous ne pouvez pas déplacer votre domaine géré vers un autre réseau virtuel sans supprimer le domaine géré. Il est donc important de sélectionner le réseau virtuel approprié pour activer votre domaine géré. Avant de continuer, consultez l’article Microsoft Considérations relatives à la conception du réseau virtuel et options de configuration pour Azure Active Directory Domain Services.

  • Plage IP du réseau virtuel : lors de la création de la connexion, vous devez fournir un espace d’adressage de routage CIDR disponible (adresse IP et préfixe réseau) unique parmi les ressources réseau et les réseaux virtuels Azure connectés. Il s’agit de la plage d’adresses IP attribuée aux machines virtuelles au sein du réseau virtuel pair Citrix DaaS pour Azure.

    Assurez-vous de spécifier une plage IP qui ne chevauche aucune adresse que vous utilisez dans vos réseaux Azure et locaux.

    • Par exemple, si votre réseau virtuel Azure possède un espace d’adressage 10.0.0.0 /16, créez la connexion d’appairage de réseau virtuel dans Citrix DaaS pour Azure comme 192.168.0.0 /24.

    • Dans cet exemple, la création d’une connexion de peering avec une plage IP 10.0.0.0 /24 serait considérée comme une plage d’adresses qui se chevauchent.

    Si les adresses se chevauchent, la connexion de peering de réseau virtuel est susceptible de ne pas être créée correctement. Cela ne fonctionne pas non plus correctement pour les tâches d’administration de site.

Pour en savoir plus sur le peering de réseau virtuel, consultez les articles Microsoft suivants.

Création d’une connexion de peering de réseau virtuel Azure

  1. Dans le tableau de bord Gérer > Déploiement rapide d’Azure dans Citrix DaaS pour Azure, développez Connexions réseau sur la droite. Si vous avez déjà configuré des connexions, elles sont répertoriées.

    Liste des connexions

  2. Cliquez sur Ajouter une connexion.
  3. Cliquez n’importe où dans la zone Ajouter peering de réseau virtuel Azure.

    Ajouter une connexion de peering de réseau virtuel

  4. Cliquez sur Authentifier le compte Azure.

    Authentifier votre abonnement Azure

  5. Citrix DaaS pour Azure vous dirige automatiquement vers la page de connexion Azure pour authentifier vos abonnements Azure. Une fois que vous êtes connecté à Azure (avec les informations d’identification du compte administrateur général) et que vous avez accepté les termes, vous revenez à la boîte de dialogue des détails de création de connexion.

    Champs de création de connexions de peering de réseau virtuel

  6. Saisissez un nom pour l’homologue de réseau virtuel Azure.
  7. Sélectionnez l’abonnement Azure, le groupe de ressources et le réseau virtuel à homologue.
  8. Indiquez si le réseau virtuel sélectionné utilise une passerelle réseau virtuel Azure. Pour plus d’informations, consultez l’article Microsoft Azure VPN Gateway.
  9. Si vous avez répondu Oui à l’étape précédente (le réseau virtuel sélectionné utilise une passerelle réseau virtuel Azure), indiquez si vous souhaitez activer la propagation de l’itinéraire de la passerelle réseau virtuelle. Lorsque cette option est activée, Azure apprend (ajoute) automatiquement tous les itinéraires via la passerelle.

    Vous pouvez modifier ce paramètre ultérieurement sur la page Détails de la connexion. Toutefois, sa modification peut entraîner des changements de modèle de routage et des interruptions de trafic VDA. En outre, si vous le désactivez ultérieurement, vous devez ajouter manuellement des routes aux réseaux que les VDA utiliseront.

  10. Saisissez une adresse IP et sélectionnez un masque réseau. La plage d’adresses à utiliser est affichée, ainsi que le nombre d’adresses prises en charge par la plage. Assurez-vous que la plage d’adresses IP ne chevauche pas les adresses que vous utilisez dans vos réseaux Azure et locaux.

    • Par exemple, si votre réseau virtuel Azure possède un espace d’adressage de 10.0.0.0 /16, créez la connexion d’appairage de réseau virtuel dans Citrix Virtual Apps and Desktops Standard sous la forme de 192.168.0.0 /24.
    • Dans cet exemple, la création d’une connexion d’appairage de réseaux virtuels avec une plage d’adresses IP 10.0.0.0 /24 est considérée comme une plage d’adresses superposée.

    Si les adresses se chevauchent, la connexion de peering de réseau virtuel est susceptible de ne pas être créée correctement. Cela ne fonctionnera pas non plus correctement pour les tâches d’administration de site.

  11. Indiquez si vous souhaitez ajouter des itinéraires personnalisés à la connexion de peering de réseau virtuel. Si vous sélectionnez Oui, saisissez les informations suivantes :
    1. Saisissez un nom convivial pour l’itinéraire personnalisé.
    2. Saisissez l’adresse IP de destination et le préfixe réseau. Le préfixe réseau doit être compris entre 16 et 24.
    3. Sélectionnez un type de saut suivant pour l’endroit où vous souhaitez acheminer le trafic. Si vous sélectionnez Appliance virtuelle, saisissez l’adresse IP interne de l’appliance.

      Champs de création d'itinéraire personnalisé

      Pour plus d’informations sur les types de sauts suivants, voir Itinéraires personnalisés dans l’article Microsoft Routage du trafic réseau virtuel.

    4. Cliquez sur Ajouter un itinéraire pour créer un autre itinéraire personnalisé pour la connexion.
  12. Cliquez sur Ajouter un appairage de réseaux virtuels.

Une fois la connexion créée, elle est répertoriée sous Connexions réseau > Azure VNet Peers sur le côté droit du tableau de bord Gérer > Déploiement rapide d’Azure . Lorsque vous créez un catalogue, cette connexion est incluse dans la liste des connexions réseau disponibles.

Afficher les détails de la connexion de peering de réseau virtuel Azure

Détails de la connexion de peering de réseau virtuel

  1. Dans le tableau de bord Gérer > Déploiement rapide d’Azure dans Citrix DaaS pour Azure, développez Connexions réseau sur la droite.
  2. Sélectionnez la connexion de peering de réseau virtuel Azure que vous souhaitez afficher.

Les détails incluent :

  • le nombre de catalogues, de machines, d’images et de bastions utilisant cette connexion ;
  • la région, l’espace réseau alloué et les réseaux virtuels appairés ;
  • les itinéraires actuellement configurés pour la connexion de peering de réseau virtuel.

Gérer les itinéraires personnalisés pour les connexions homologues de réseau virtuel Azure existantes

Vous pouvez ajouter de nouveaux itinéraires personnalisés à une connexion existante ou modifier des itinéraires personnalisés existants, y compris la désactivation ou la suppression d’itinéraires personnalisés.

Important :

La modification, la désactivation ou la suppression d’itinéraires personnalisés modifient le flux de trafic de la connexion et peuvent perturber toutes les sessions utilisateur susceptibles d’être actives.

Pour ajouter un itinéraire personnalisé, procédez comme suit :

  1. Dans les détails de la connexion d’appairage de réseaux virtuels, sélectionnez Itinéraires, puis cliquez sur Ajouter un itinéraire.
  2. Saisissez un nom convivial, l’adresse IP de destination et le préfixe, ainsi que le type de saut suivant que vous souhaitez utiliser. Si vous sélectionnez Appliance virtuelle comme type de saut suivant, saisissez l’adresse IP interne de l’appliance.
  3. Indiquez si vous souhaitez activer l’itinéraire personnalisé. Par défaut, l’itinéraire personnalisé est activé.
  4. Cliquez sur Ajouter un itinéraire.

Pour modifier ou désactiver un itinéraire personnalisé, procédez comme suit :

  1. Dans les détails de la connexion d’appairage de réseaux virtuels, sélectionnez Itinéraires, puis recherchez l’itinéraire personnalisé que vous souhaitez gérer.
  2. Dans le menu des points de suspension, sélectionnez Modifier.

    Onglet Itinéraires de la page de détails de peering de réseau virtuel

  3. Apportez les modifications nécessaires à l’adresse IP de destination et au préfixe ou au type de saut suivant, le cas échéant.
  4. Pour activer ou désactiver un itinéraire personnalisé, dans Activer cet itinéraire ?, sélectionnez Oui ou Non.
  5. Cliquez sur Enregistrer.

Pour supprimer un itinéraire personnalisé, procédez comme suit :

  1. Dans les détails de la connexion d’appairage de réseaux virtuels, sélectionnez Itinéraires, puis recherchez l’itinéraire personnalisé que vous souhaitez gérer.
  2. Dans le menu des points de suspension, sélectionnez Supprimer.
  3. Sélectionnez Supprimer un itinéraire peut perturber les sessions actives pour reconnaître l’impact de la suppression de l’itinéraire personnalisé.
  4. Cliquez sur Supprimer l’itinéraire.

Supprimer une connexion de peering de réseau virtuel Azure

Avant de pouvoir supprimer un homologue de réseau virtuel Azure, supprimez tous les catalogues qui lui sont associés. Consultez la section Supprimer un catalogue.

  1. Dans le tableau de bord Gérer > Déploiement rapide d’Azure dans Citrix DaaS pour Azure, développez Connexions réseau sur la droite.
  2. Sélectionnez la connexion que vous souhaitez supprimer.
  3. Dans les détails de la connexion, cliquez sur Supprimer la connexion.

À propos des connexions SD-WAN

Important :

Citrix SD-WAN est devenu obsolète et tout le contenu associé sera supprimé de la documentation dans une prochaine version. Nous vous recommandons de passer à d’autres solutions réseau pour garantir un accès ininterrompu aux services Citrix.

Citrix SD-WAN optimise toutes les connexions réseau nécessaires à Citrix Virtual Apps and Desktops Standard pour Azure. Travaillant de concert avec les technologies HDX, Citrix SD-WAN fournit une qualité de service et une fiabilité de connexion pour le trafic ICA et hors bande Citrix Virtual Apps and Desktops Standard. Citrix SD-WAN prend en charge les connexions réseau suivantes :

  • connexion ICA Multi-Stream entre les utilisateurs et leurs bureaux virtuels ;
  • accès Internet depuis le bureau virtuel aux sites Web, aux applications SaaS et à d’autres propriétés Cloud :
  • accès depuis le bureau virtuel à des ressources locales telles qu’Active Directory, serveurs de fichiers et serveurs de bases de données ;
  • trafic interactif et en temps réel transporté par RTP depuis le moteur multimédia de l’application Workspace vers des services de communications unifiées hébergés dans le Cloud tels que Microsoft Teams ;
  • récupération de vidéos côté client à partir de sites tels que YouTube et Vimeo.

Comme le montre le graphique suivant, vous créez une connexion SD-WAN à vos sites à partir de l’abonnement Azure géré par Citrix. Lors de la création de la connexion, les appliances VPX SD-WAN sont créées dans l’abonnement Azure géré par Citrix. Du point de vue du SD-WAN, cet emplacement est traité comme une succursale.

Connexions SD-WAN

Configuration requise et préparation de la connexion SD-WAN

  • Si les conditions suivantes ne sont pas remplies, l’option de connexion réseau SD-WAN n’est pas disponible.

    • Droits Citrix Cloud : Citrix Virtual Apps and Desktops Standard pour Azure et SD-WAN Orchestrator.
    • Déploiement SD-WAN installé et configuré. Le déploiement doit inclure un nœud de contrôle maître (MCN), que ce soit dans le Cloud ou local, et être géré avec SD-WAN Orchestrator.
  • Plage IP vNet : fournir un espace d’adressage CIDR disponible (adresse IP et préfixe réseau) unique parmi les ressources réseau connectées. Il s’agit de la plage d’adresses IP attribuée aux machines virtuelles au sein du réseau virtuel Citrix Virtual Apps and Desktops Standard.

    Assurez-vous de spécifier une plage d’adresses IP qui ne chevauche pas les adresses que vous utilisez dans votre cloud et vos réseaux locaux.

    • Par exemple, si votre réseau possède un espace d’adressage de 10.0.0.0 /16, créez la connexion dans Citrix Virtual Apps and Desktops Standard comme 192.168.0.0 /24.
    • Dans cet exemple, la création d’une connexion avec une plage IP 10.0.0.0 /24 serait considérée comme une plage d’adresses qui se chevauche.

    Si les adresses se chevauchent, la connexion est susceptible de ne pas être créée correctement. Cela ne fonctionne pas non plus correctement pour les tâches d’administration de site.

  • Le processus de configuration de la connexion inclut des tâches que vous (l’administrateur Citrix DaaS pour Azure) et l’administrateur SD-WAN Orchestrator devez effectuer. De plus, pour effectuer vos tâches, vous avez besoin d’informations fournies par l’administrateur SD-WAN Orchestrator.

    Avant de créer une connexion, nous vous recommandons de consulter à la fois les conseils de ce document, ainsi que la documentation SD-WAN.

Créer une connexion SD-WAN

Important :

Pour plus d’informations sur la configuration SD-WAN, consultez Configuration SD-WAN pour l’intégration Citrix Virtual Apps and Desktops Standard pour Azure.

  1. Dans le tableau de bord Gérer > Déploiement rapide d’Azure dans Citrix DaaS pour Azure, développez Connexions réseau sur la droite.
  2. Cliquez sur Ajouter une connexion.
  3. Sur la page Ajouter une connexion réseau, cliquez n’importe où dans la zone SD-WAN.
  4. La page suivante résume la suite. Lorsque vous avez terminé de lire, cliquez sur Démarrer la configuration du SD-WAN.
  5. Sur la page Configurer SD-WAN, saisissez les informations fournies par votre administrateur SD-WAN Orchestrator.

    • Mode de déploiement : si vous sélectionnez Haute disponibilité, deux appliances VPX sont créées (recommandé pour les environnements de production). Si vous sélectionnez Autonome, une appliance est créée. Vous ne pouvez pas modifier ce paramètre ultérieurement. Pour passer au mode de déploiement, vous devez supprimer et recréer la succursale et tous les catalogues associés.
    • Nom : saisissez un nom pour le site SD-WAN.
    • Débit et nombre de bureaux : ces informations sont fournies par votre administrateur SD-WAN Orchestrator.
    • Région : région dans laquelle les appliances VPX seront créées.
    • Sous-réseau VDA et sous-réseau SD-WAN : ces informations sont fournies par votre administrateur SD-WAN Orchestrator. Consultez Exigences de connexion SD-WAN et préparation pour plus d’informations sur la façon d’éviter les conflits.
  6. Lorsque vous avez terminé, cliquez sur Créer une branche.
  7. La page suivante résume les éléments à rechercher dans le tableau de bord Gérer > Déploiement rapide Azure . Lorsque vous avez fini de lire, cliquez sur J’ai compris.
  8. Dans le tableau de bord Gérer > Déploiement rapide d’Azure, la nouvelle entrée SD-WAN sous Connexions réseau indique la progression du processus de configuration. Lorsque l’entrée devient orange avec le message En attente d’activation par l’administrateur SD-WAN, avertissez votre administrateur SD-WAN Orchestrator.
  9. Pour les tâches d’administrateur SD-WAN Orchestrator, consultez la documentation produitSD-WAN Orchestrator.
  10. Lorsque l’administrateur SD-WAN Orchestrator a terminé, l’entrée SD-WAN sous Connexions réseau devient verte, avec le message Vous pouvez créer des catalogues à l’aide de cette connexion.

Afficher les détails de la connexion SD-WAN

  1. Dans le tableau de bord Gérer > Déploiement rapide d’Azure dans Citrix DaaS pour Azure, développez Connexions réseau sur la droite.
  2. Sélectionnez SD-WAN s’il ne s’agit pas de la seule sélection.
  3. Cliquez sur la connexion que vous souhaitez afficher.

L’écran comprend :

  • Onglet Détails : les informations que vous avez indiquées lors de la configuration de la connexion.
  • Onglet Connectivité des succursales : nom, connectivité Cloud, disponibilité, niveau de bande passante, rôle et emplacement pour chaque succursale et MCN.

Supprimer une connexion SD-WAN

Avant de pouvoir supprimer une connexion SD-WAN, supprimez tous les catalogues qui y sont associés. Consultez la section Supprimer un catalogue.

  1. Dans le tableau de bord Gérer > Déploiement rapide d’Azure dans Citrix DaaS pour Azure, développez Connexions réseau sur la droite.
  2. Sélectionnez SD-WAN s’il ne s’agit pas de la seule sélection.
  3. Cliquez sur la connexion que vous souhaitez supprimer pour développer ses informations.
  4. Dans l’onglet Détails, cliquez sur Supprimer la connexion.
  5. Confirmez la suppression.

Technical Preview d’Azure VPN

La fonctionnalité VPN Azure est disponible en Technical Preview.

À propos des connexions de passerelle VPN Azure

Une connexion de passerelle VPN Azure fournit un lien de communication entre vos VDA Azure gérés par Citrix (postes de travail et applications) et les ressources de votre entreprise, telles que les réseaux locaux ou les ressources d’autres emplacements cloud. Cela revient à configurer et à se connecter à une succursale distante.

La connectivité sécurisée utilise les protocoles standard de l’industrie Internet Protocol Security (IPsec) et Internet Key Exchange (IKE).

Au cours du processus de création de la connexion :

  • Vous fournissez les informations que Citrix utilise pour créer la passerelle et la connexion.

  • Citrix crée une passerelle VPN Azure basée sur des itinéraires de site à site. La passerelle VPN forme un tunnel IPsec (Internet Protocol Security) direct entre l’abonnement Azure géré par Citrix et le périphérique hôte de votre VPN.

  • Une fois que Citrix a créé la passerelle et la connexion VPN Azure, vous mettez à jour la configuration, les règles de pare-feu et les tables de routage de votre VPN. Pour ce processus, vous utilisez une adresse IP publique fournie par Citrix et une clé pré-partagée (PSK) que vous avez fournie pour créer la connexion.

Un exemple de connexion est illustré dans Créer une connexion de passerelle VPN Azure.

Vous n’avez pas besoin de votre propre abonnement Azure pour créer ce type de connexion.

Vous pouvez également utiliser des itinéraires personnalisés avec ce type de connexion.

Itinéraires personnalisés de la passerelle VPN Azure

Les itinéraires personnalisés ou définis par l’utilisateur remplacent les itinéraires système par défaut pour diriger le trafic entre les machines virtuelles de vos réseaux et Internet. Vous pouvez utiliser des itinéraires personnalisés s’il existe des réseaux auxquels les ressources Citrix Virtual Apps and Desktops Standard sont censées accéder mais ne sont pas directement connectés via une passerelle VPN Azure. Par exemple, vous pouvez créer un itinéraire personnalisé qui force le trafic via une appliance réseau vers Internet ou vers un sous-réseau local.

Lorsque vous ajoutez des itinéraires personnalisés à une connexion, ces itinéraires s’appliquent à toutes les machines qui utilisent cette connexion.

Pour utiliser des itinéraires personnalisés :

  • Vous devez disposer d’une passerelle réseau virtuel existante ou d’une appliance réseau telle que Citrix SD-WAN dans votre environnement Citrix Virtual Apps and Desktops Standard.
  • Lorsque vous ajoutez des itinéraires personnalisés, vous devez mettre à jour les tables de routage de votre entreprise avec les informations VPN de destination pour garantir une connectivité de bout en bout.
  • Les itinéraires personnalisés sont affichés dans l’onglet Connexion > Itinéraires dans l’ordre dans lequel ils ont été saisis. Cet ordre d’affichage n’affecte pas l’ordre dans lequel les itinéraires sont sélectionnés.

Avant d’utiliser des itinéraires personnalisés, consultez l’article Microsoft Routage du trafic de réseau virtuel pour en savoir plus sur l’utilisation d’itinéraires personnalisés, les types de sauts suivants et la façon dont Azure sélectionne les itinéraires pour le trafic sortant.

Vous pouvez ajouter des itinéraires personnalisés lorsque vous créez une connexion de passerelle VPN Azure ou à des connexions existantes dans votre environnement de service.

Configuration requise et préparation de la passerelle VPN Azure

  • Pour en savoir plus sur la passerelle VPN Azure, consultez l’article Microsoft Qu’est-ce que la passerelle VPN ?

  • Consultez la configuration requise pour toutes les connexions réseau.

  • Vous devez disposer d’un VPN configuré. Le réseau virtuel doit pouvoir envoyer et recevoir du trafic via la passerelle VPN. Un réseau virtuel ne peut pas être associé à plusieurs passerelles de réseau virtuel.

  • Vous devez disposer d’un appareil IPsec doté d’une adresse IP publique. Pour en savoir plus sur les appareils VPN validés, consultez l’article Microsoft À propos des appareils VPN.

  • Consultez la procédure Créer une connexion de passerelle VPN Azure avant de la démarrer réellement, afin de pouvoir collecter les informations dont vous avez besoin. Par exemple, vous aurez besoin d’adresses autorisées dans votre réseau, de plages d’adresses IP pour les VDA et la passerelle, du débit et du niveau de performance souhaités, ainsi que des adresses de serveur DNS.

Créer une connexion de passerelle VPN Azure

Assurez-vous de consulter cette procédure avant de la démarrer.

Le schéma suivant montre un exemple de configuration d’une connexion de passerelle VPN Azure. En règle générale, Citrix gère les ressources sur le côté gauche du diagramme et vous gérez les ressources sur le côté droit. Certaines descriptions de la procédure suivante incluent des références aux exemples du diagramme.

Schéma de connexion d'Azure VPN Gateway

  1. Depuis le tableau de bord Gérer dans Citrix DaaS pour Azure, développez Connexions réseau sur la droite.

  2. Cliquez sur Ajouter une connexion.

  3. Cliquez n’importe où dans la zone Passerelle VPN Azure .

  4. Consultez les informations sur la page Ajouter une connexion VPN, puis cliquez sur Démarrer la configuration du VPN.

  5. Sur la page Ajouter une connexion, fournissez les informations suivantes.

    • Nom : nom de la connexion. (Dans le diagramme, le nom est TestVPNGW1.)

    • Adresse IP VPN : votre adresse IP publique.

      Dans le diagramme, l’adresse est 40.71.184.214.

    • Réseaux autorisés : une ou plusieurs plages d’adresses auxquelles le service Citrix est autorisé à accéder sur votre réseau. En général, cette plage d’adresses contient les ressources auxquelles vos utilisateurs doivent accéder, telles que les serveurs de fichiers.

      Pour ajouter plusieurs plages, cliquez sur Ajouter d’autres adresses IP et entrez une valeur. Répétez l’opération au besoin.

      Dans le diagramme, la plage d’adresses est 192.168.3.0/24.

    • Clé pré-partagée : valeur utilisée par les deux extrémités du VPN pour l’authentification (similaire à un mot de passe). C’est vous qui décidez quelle est cette valeur. N’oubliez pas de noter la valeur. Vous en aurez besoin plus tard lorsque vous configurerez votre VPN avec les informations de connexion.

    • Performances et débit : niveau de bande passante à utiliser lorsque vos utilisateurs accèdent aux ressources de votre réseau.

      Tous les choix ne prennent pas nécessairement en charge le Border Gateway Protocol (BGP). Dans ce cas, les champs des paramètres BCP ne sont pas disponibles.

    • Région : région Azure dans laquelle Citrix déploie des machines qui mettent à disposition des bureaux et des applications (VDA), lorsque vous créez des catalogues qui utilisent cette connexion. Vous ne pouvez pas modifier cette sélection après avoir créé la connexion. Si vous décidez ultérieurement d’utiliser une autre région, vous devez créer ou utiliser une autre connexion qui spécifie la région souhaitée.

      Dans le diagramme, la région est EastUS.

    • Mode actif-actif (haute disponibilité) : indique si deux passerelles VPN sont créées pour une haute disponibilité. Lorsque ce mode est activé, une seule passerelle est active à la fois. Découvrez la passerelle VPN Azure active-active dans le document Microsoft Highly Available Cross-Premises Connectivity.

    • Paramètres BGP : (Disponible uniquement si les performances et le débit sélectionnés prennent en charge le BGP.) Indique s’il faut utiliser le Border Gateway Protocol (BGP). Pour en savoir plus sur le BGP, consultez le document Microsoft : About BGP with Azure VPN Gateway. Si vous activez le protocole BGP, fournissez les informations suivantes :

      • Numéro de système autonome (ASN) : les passerelles de réseau virtuel Azure se voient attribuer un ASN par défaut de 65515. Une connexion compatible BGP entre deux passerelles réseau nécessite que leurs ASN soient différents. Si nécessaire, vous pouvez modifier l’ASN maintenant ou après la création de la passerelle.

      • Adresse IP d’appairage IP BGP : Azure prend en charge l’adresse IP BGP dans la plage 169.254.21.x à 169.254.22.x.

    • Sous-réseau VDA : plage d’adresses dans laquelle les VDA Citrix (machines qui fournissent des bureaux et des applications) et Cloud Connector résideront lorsque vous créez un catalogue qui utilise cette connexion. Après avoir saisi une adresse IP et sélectionné un masque réseau, la plage d’adresses s’affiche, ainsi que le nombre d’adresses prises en charge par la plage.

      Bien que cette plage d’adresses soit gérée dans l’abonnement Azure géré par Citrix, elle fonctionne comme s’il s’agissait d’une extension de votre réseau.

      • La plage d’adresses IP ne doit pas chevaucher les adresses que vous utilisez sur vos réseaux locaux ou autres réseaux cloud. Si les adresses se chevauchent, la connexion est susceptible de ne pas être créée correctement. En outre, une adresse qui se chevauche ne fonctionnera pas correctement pour les tâches d’administration du site.

      • La plage de sous-réseau VDA doit être différente de l’adresse du sous-réseau de la passerelle.

      • Vous ne pouvez pas modifier cette valeur après avoir créé la connexion. Pour utiliser une valeur différente, créez une autre connexion.

      Dans le diagramme, le sous-réseau VDA est 10.11.0.0/16.

    • Sous-réseau de passerelle : plage d’adresses dans laquelle la passerelle VPN Azure résidera lorsque vous créez un catalogue qui utilise cette connexion.

      • La plage d’adresses IP ne doit pas chevaucher les adresses que vous utilisez sur vos réseaux locaux ou autres réseaux cloud. Si les adresses se chevauchent, la connexion est susceptible de ne pas être créée correctement. En outre, une adresse qui se chevauche ne fonctionnera pas correctement pour les tâches d’administration du site.

      • La plage de sous-réseau de passerelle doit être différente de l’adresse de sous-réseau du VDA.

      • Vous ne pouvez pas modifier cette valeur après avoir créé la connexion. Pour utiliser une valeur différente, créez une autre connexion.

      Dans le diagramme, le sous-réseau de passerelle est 10.12.0.9/16.

    • Itinéraires : indiquez si vous souhaitez ajouter des itinéraires personnalisés à la connexion. Si vous souhaitez ajouter des itinéraires personnalisés, fournissez les informations suivantes :

      • Saisissez un nom convivial pour l’itinéraire personnalisé.

      • Saisissez l’adresse IP de destination et le préfixe réseau. Le préfixe réseau doit être compris entre 16 et 24.

      • Sélectionnez un type de saut suivant pour l’endroit où vous souhaitez acheminer le trafic. Si vous sélectionnez **Appliance virtuelle, entrez l’adresse IP interne de l’appliance. Pour plus d’informations sur les types de sauts suivants, voir Itinéraires personnalisés dans l’article Microsoft Routage du trafic réseau virtuel.

    Pour ajouter plusieurs itinéraires, cliquez sur Ajouter un itinéraire et saisissez les informations demandées.

    • Serveurs DNS : entrez les adresses de vos serveurs DNS et indiquez le serveur préféré. Bien que vous puissiez modifier les entrées du serveur DNS ultérieurement, n’oubliez pas que leur modification peut entraîner des problèmes de connectivité pour les machines des catalogues qui utilisent cette connexion.

      Pour ajouter plus de deux adresses de serveur DNS, cliquez sur Ajouter un autre DNS, puis entrez les informations demandées.

  6. Cliquez sur Créer une connexion VPN.

Une fois que Citrix a créé la connexion, elle est répertoriée sous Connexions réseau > Passerelle VPN Azure sur le tableau de bord Gérer dans Citrix DaaS pour Azure. La carte de connexion contient une adresse IP publique. (Dans le diagramme, l’adresse est 131.1.1.1.)

  • Utilisez cette adresse (et la clé pré-partagée que vous avez spécifiée lors de la création de la connexion) pour configurer votre VPN et vos pare-feu. Si vous avez oublié votre clé pré-partagée, vous pouvez la modifier sur la page Détails de la connexion. Vous aurez besoin de la nouvelle clé pour configurer votre extrémité de passerelle VPN.

    Par exemple, autorisez les exceptions dans votre pare-feu pour les plages d’adresses IP du sous-réseau du VDA et de la passerelle que vous avez configurées.

  • Mettez à jour les tables de routage de votre entreprise avec les informations de connexion de la passerelle VPN Azure pour garantir une connectivité de bout en bout.

    Dans le diagramme, de nouvelles routes sont requises pour le trafic allant de 192.168.3.0/24 à 10.11.0.0/16 et 10.12.0.9/16 (les sous-réseaux VDA et passerelle).

  • Si vous avez configuré des itinéraires personnalisés, effectuez également les mises à jour appropriées pour eux.

Lorsque les deux extrémités de la connexion sont correctement configurées, l’entrée de la connexion dans Connexions réseau > Passerelle VPN Azure indique Prêt à être utilisé.

Afficher une connexion de passerelle VPN Azure

  1. Depuis le tableau de bord Gérer dans Citrix DaaS pour Azure, développez Connexions réseau sur la droite.

  2. Sélectionnez la connexion que vous souhaitez afficher.

    Écrans :

  • L’onglet Détails indique le nombre de catalogues, de machines, d’images et de bastions qui utilisent cette connexion. Il contient également la plupart des informations que vous avez configurées pour cette connexion.

  • L’onglet Itinéraires répertorie les informations d’itinéraire personnalisées pour la connexion.

Gérer les itinéraires personnalisés pour une connexion de passerelle VPN Azure

Dans une connexion de passerelle VPN Azure existante, vous pouvez ajouter, modifier, désactiver et supprimer des itinéraires personnalisés.

Pour plus d’informations sur l’ajout d’itinéraires personnalisés lorsque vous créez une connexion, consultez Créer une connexion de passerelle VPN Azure.

Important :

La modification, la désactivation ou la suppression d’itinéraires personnalisés modifie le flux de trafic de la connexion et peut perturber les sessions utilisateur actives.

  1. Depuis le tableau de bord Gérer dans Citrix DaaS pour Azure, développez Connexions réseau sur la droite.

  2. Sélectionnez la connexion que vous souhaitez afficher.

    • Pour ajouter un itinéraire personnalisé, procédez comme suit :

      1. Dans l’onglet Itinéraires de la connexion, cliquez sur Ajouter un itinéraire.

      2. Saisissez un nom convivial, l’adresse IP de destination et le préfixe, ainsi que le type de saut suivant que vous souhaitez utiliser. Si vous sélectionnez Appliance virtuelle comme type de saut suivant, saisissez l’adresse IP interne de l’appliance.

      3. Indiquez si vous souhaitez activer l’itinéraire personnalisé. Par défaut, l’itinéraire personnalisé est activé.

      4. Cliquez sur Ajouter un itinéraire.

    • Pour modifier ou activer/désactiver un itinéraire personnalisé :

      1. Dans l’onglet Itinéraires de la connexion, recherchez l’itinéraire personnalisé que vous souhaitez gérer.

      2. Dans le menu des points de suspension, sélectionnez Modifier.

      3. Modifiez l’adresse IP et le préfixe de destination, ou le type de saut suivant, selon vos besoins.

      4. Indiquez si vous souhaitez activer l’itinéraire.

      5. Cliquez sur Enregistrer.

    • Pour supprimer un itinéraire personnalisé, procédez comme suit :

      1. Dans l’onglet Itinéraires de la connexion, recherchez l’itinéraire personnalisé que vous souhaitez gérer.

      2. Dans le menu des points de suspension, sélectionnez Supprimer.

      3. Sélectionnez Supprimer un itinéraire peut perturber les sessions actives pour reconnaître l’impact de la suppression de l’itinéraire personnalisé.

      4. Cliquez sur Supprimer l’itinéraire.

Réinitialiser ou supprimer une connexion de passerelle VPN Azure

Important :

  • La réinitialisation d’une connexion entraîne la perte de la connexion en cours et les deux extrémités doivent la rétablir. Une réinitialisation interrompt les sessions utilisateur actives.

  • Avant de pouvoir supprimer une connexion, supprimez tous les catalogues qui l’utilisent. Consultez la section Supprimer un catalogue.

Pour réinitialiser ou supprimer une connexion :

  1. Depuis le tableau de bord Gérer dans Citrix DaaS pour Azure, développez Connexions réseau sur la droite.

  2. Sélectionnez la connexion que vous souhaitez réinitialiser ou supprimer.

  3. Dans l’onglet Détails de la connexion :

    • Pour réinitialiser la connexion, cliquez sur Réinitialiser la connexion.

    • Pour supprimer la connexion, cliquez sur Supprimer la connexion.

  4. Si vous y êtes invité, confirmez l’action.

Création d’une adresse IP statique publique

Si vous souhaitez que tous les VDA de machines sur une connexion utilisent une seule adresse IP statique publique sortante (passerelle) vers Internet, activez une passerelle NAT. Vous pouvez activer une passerelle NAT pour les connexions aux catalogues qui sont joints à un domaine ou qui ne sont pas joints à un domaine.

Pour activer une passerelle NAT pour une connexion :

  1. Dans le tableau de bord Gérer > Déploiement rapide d’Azure dans Citrix DaaS pour Azure, développez Connexions réseau sur la droite.
  2. Sous Connexions réseau, sélectionnez une connexion sous CITRIX MANAGED ou AZURE VNET PEERINGS.
  3. Dans la fiche de détails de connexion, cliquez sur Activer la passerelle NAT.
  4. Sur la page Activer la passerelle NAT, déplacez le curseur sur Oui et configurez un temps d’inactivité.
  5. Cliquez sur Confirm Changes.

Lorsque vous activez une passerelle NAT :

  • Azure attribue automatiquement une adresse IP statique publique à la passerelle. (Vous ne pouvez pas spécifier cette adresse.) Tous les VDA de tous les catalogues qui utilisent cette connexion utiliseront cette adresse pour la connectivité sortante.

  • Vous pouvez spécifier une valeur de délai d’inactivité. Cette valeur indique le nombre de minutes pendant lesquelles une connexion sortante ouverte via la passerelle NAT peut rester inactive avant la fermeture de la connexion.

  • Vous devez autoriser l’adresse IP statique publique dans votre pare-feu.

Vous pouvez revenir à la fiche des détails de connexion pour activer ou désactiver la passerelle NAT et modifier la valeur du délai d’expiration.

Connexions réseau