Connexions réseau dans Déploiement rapide
Remarque :
Depuis juillet 2023, Microsoft a renommé Azure Active Directory (Azure AD) Microsoft Entra ID. Dans ce document, toute occurrence de l’appellation Azure Active Directory, Azure AD ou de l’acronyme AAD fait désormais référence à Microsoft Entra ID.
Introduction
Cet article explique comment créer des connexions réseau à vos ressources d’entreprise lorsque vous utilisez un abonnement Azure géré par Citrix.
Lorsque vous utilisez votre propre abonnement Azure géré par le client, il n’est pas nécessaire de créer une connexion réseau.
Lorsque vous créez un catalogue de déploiement rapide, vous indiquez si et comment les utilisateurs peuvent accéder aux emplacements et aux ressources de leur réseau local d’entreprise à partir de leurs applications et bureaux Citrix. Lorsque vous utilisez une connexion, vous devez créer la connexion avant de créer le catalogue.
Lorsque vous utilisez un abonnement Azure géré par Citrix, les choix sont les suivants :
Vous ne pouvez pas modifier le type de connexion d’un catalogue une fois le catalogue créé.
Configuration requise pour toutes les connexions réseau
- Lors de la création d’une connexion, vous devez disposer d’entrées de serveur DNS valides.
- Lorsque vous utilisez Secure DNS ou un fournisseur DNS tiers, vous devez ajouter la plage d’adresses allouée pour être utilisée par Citrix DaaS (anciennement Citrix Virtual Apps and Desktops Service) aux adresses IP du fournisseur DNS dans la liste verte. Cette plage d’adresses est spécifiée lorsque vous créez une connexion.
- Toutes les ressources de service qui utilisent la connexion (machines jointes à un domaine) doivent pouvoir atteindre votre serveur Network Time Protocol (NTP), afin d’assurer la synchronisation de l’heure.
Aucune connectivité
Lorsqu’un catalogue est configuré avec Aucune connectivité, l’utilisateur ne peut pas accéder aux ressources sur son réseau local ni sur d’autres réseaux. Il s’agit du seul choix lors de la création d’un catalogue à l’aide de la création rapide.
À propos des connexions de peering de réseau virtuel Azure
Le peering de réseau virtuel connecte de manière transparente deux réseaux virtuels Azure : le vôtre et le réseau virtuel Citrix DaaS. Le peering permet également aux utilisateurs d’accéder à des fichiers et autres éléments à partir de vos réseaux locaux.
Comme le montre le graphique suivant, vous créez une connexion à l’aide du peering de réseau virtuel Azure depuis l’abonnement Azure géré par Citrix vers le réseau virtuel dans l’abonnement Azure de votre entreprise.
Voici une autre illustration du peering de réseau virtuel.
Les utilisateurs peuvent accéder à leurs ressources réseau (telles que les serveurs de fichiers) en rejoignant le domaine local lorsque vous créez un catalogue. (C’est-à-dire que vous rejoignez le domaine AD qui contient les partages de fichiers et les autres ressources nécessaires.) Votre abonnement Azure se connecte à ces ressources (dans les graphiques, à l’aide d’un VPN ou d’Azure ExpressRoute). Lorsque vous créez le catalogue, vous fournissez les informations d’identification du domaine, de l’unité d’organisation et du compte.
Important :
- Découvrez le peering de réseau virtuel Azure avant de l’utiliser dans ce service.
- Créez une connexion de peering de réseau virtuel avant de créer un catalogue qui l’utilise.
Itinéraires personnalisés de peering de réseau virtuel Azure
Les itinéraires personnalisés ou définis par l’utilisateur remplacent les itinéraires système par défaut d’Azure pour diriger le trafic entre les machines virtuelles dans un peering de réseau virtuel, les réseaux locaux et sur Internet. Vous pouvez utiliser des itinéraires personnalisés s’il existe des réseaux auxquels les ressources de Citrix DaaS sont censées accéder, mais ne sont pas directement connectés via le peering de réseau virtuel. Par exemple, vous pouvez créer un itinéraire personnalisé qui force le trafic via une appliance réseau vers Internet ou vers un sous-réseau local.
Pour utiliser des itinéraires personnalisés :
- Vous devez disposer d’une passerelle réseau virtuel Azure ou d’une appliance réseau telle que Citrix SD-WAN dans votre environnement Citrix DaaS.
- Lorsque vous ajoutez des itinéraires personnalisés, vous devez mettre à jour les tables de routage de votre entreprise avec les informations du réseau virtuel de destination de Citrix DaaS pour garantir une connectivité de bout en bout.
- Les itinéraires personnalisés sont affichés dans Citrix DaaS dans l’ordre dans lequel ils sont saisis. Cet ordre d’affichage n’affecte pas l’ordre dans lequel Azure sélectionne les itinéraires.
Avant d’utiliser des itinéraires personnalisés, consultez l’article Microsoft Routage du trafic de réseau virtuel pour en savoir plus sur l’utilisation d’itinéraires personnalisés, les types de sauts suivants et la façon dont Azure sélectionne les itinéraires pour le trafic sortant.
Vous pouvez ajouter des itinéraires personnalisés lorsque vous créez une connexion de peering de réseau virtuel Azure ou à des connexions existantes dans votre environnement Citrix DaaS. Lorsque vous êtes prêt à utiliser des itinéraires personnalisés avec votre peering de réseau virtuel, reportez-vous aux sections suivantes de cet article :
- Pour les itinéraires personnalisés avec de nouveaux peerings de réseaux virtuels Azure : créez une connexion de peering de réseau virtuel Azure
- Pour les itinéraires personnalisés avec des peerings de réseaux virtuels Azure existants : gérez des itinéraires personnalisés pour les connexions de peerings de réseaux virtuels Azure existantes
Configuration requise et préparation du peering de réseau virtuel Azure
- Informations d’identification d’un propriétaire d’abonnement Azure. Il doit s’agir d’un compte Azure Active Directory. Ce service ne prend pas en charge les autres types de comptes, tels que live.com ou les comptes Azure AD externes (dans un autre locataire).
- Un abonnement Azure, un groupe de ressources et un réseau virtuel (VNet).
- Configurez les itinéraires réseau Azure afin que les VDA de l’abonnement Azure géré par Citrix puissent communiquer avec vos emplacements réseau.
- Ouvrez les groupes de sécurité réseau Azure depuis votre réseau virtuel vers la plage IP spécifiée.
-
Active Directory : dans les scénarios dans lesquels vous êtes joints à un domaine, nous vous recommandons d’utiliser un type de services Active Directory dans le réseau virtuel associé. Cela tire parti des caractéristiques de faible latence de la technologie de peering de réseau virtuel Azure.
Par exemple, la configuration peut inclure Azure Active Directory Domain Services (AADDS), une machine virtuelle de contrôleur de domaine dans le réseau virtuel ou Azure AD Connect à votre Active Directory local.
Après avoir activé AADDS, vous ne pouvez pas déplacer votre domaine géré vers un autre réseau virtuel sans supprimer le domaine géré. Il est donc important de sélectionner le réseau virtuel approprié pour activer votre domaine géré. Avant de continuer, consultez l’article Microsoft Considérations relatives à la conception du réseau virtuel et options de configuration pour Azure Active Directory Domain Services.
-
Plage IP du réseau virtuel : lors de la création de la connexion, vous devez fournir un espace d’adressage de routage CIDR disponible (adresse IP et préfixe réseau) unique parmi les ressources réseau et les réseaux virtuels Azure connectés. Il s’agit de la plage IP attribuée aux machines virtuelles au sein du réseau virtuel appairé de Citrix DaaS.
Assurez-vous de spécifier une plage IP qui ne chevauche aucune adresse que vous utilisez dans vos réseaux Azure et locaux.
-
Par exemple, si votre réseau virtuel Azure dispose d’un espace d’adressage de 10.0.0.0 /16, créez la connexion de peering de réseau virtuel dans Citrix DaaS sous une forme comme 192.168.0.0 /24.
-
Dans cet exemple, la création d’une connexion de peering avec une plage IP 10.0.0.0 /24 serait considérée comme une plage d’adresses qui se chevauchent.
Si les adresses se chevauchent, la connexion de peering de réseau virtuel est susceptible de ne pas être créée correctement. Cela ne fonctionne pas non plus correctement pour les tâches d’administration de site.
-
Pour en savoir plus sur le peering de réseau virtuel, consultez les articles Microsoft suivants.
- Peering de réseau virtuel
- Passerelle VPN Azure
- Créer une connexion de site à site dans le portail Azure
- FAQ sur la passerelle VPN (recherchez « chevauchement »)
Création d’une connexion de peering de réseau virtuel Azure
-
Dans Gérer > Déploiement rapide, développez Connexions réseau sur la droite. Si vous avez déjà configuré des connexions, elles sont répertoriées.
- Sélectionnez Ajouter une connexion.
-
Cliquez n’importe où dans la zone Ajouter peering de réseau virtuel Azure.
-
Sélectionnez Authentifier le compte Azure.
-
Citrix DaaS vous amène automatiquement à la page de connexion Azure pour authentifier vos abonnements Azure. Une fois que vous êtes connecté à Azure (avec les informations d’identification du compte administrateur général) et que vous avez accepté les termes, vous revenez à la boîte de dialogue des détails de création de connexion.
- Saisissez un nom pour l’homologue de réseau virtuel Azure.
- Sélectionnez l’abonnement Azure, le groupe de ressources et le réseau virtuel à homologue.
- Indiquez si le réseau virtuel sélectionné utilise une passerelle réseau virtuel Azure. Pour plus d’informations, consultez l’article Microsoft Passerelle VPN Azure.
-
Si vous avez répondu Oui à l’étape précédente (le réseau virtuel utilise une passerelle réseau virtuel Azure), indiquez si vous souhaitez activer la propagation de routage de la passerelle réseau virtuelle. Lorsque cette option est activée, Azure apprend (ajoute) automatiquement tous les itinéraires via la passerelle.
Vous pouvez modifier ce paramètre ultérieurement sur la page Détails de la connexion. Toutefois, sa modification peut entraîner des changements de modèle de routage et des interruptions de trafic VDA. De plus, si vous le désactivez ultérieurement, vous devez ajouter manuellement des itinéraires aux réseaux que les VDA utiliseront.
-
Saisissez une adresse IP et sélectionnez un masque réseau. La plage d’adresses à utiliser est affichée, ainsi que le nombre d’adresses prises en charge par la plage. Assurez-vous que la plage IP ne chevauche aucune adresse que vous utilisez dans vos réseaux Azure et locaux.
- Par exemple, si votre réseau virtuel Azure dispose d’un espace d’adressage de 10.0.0.0 /16, créez la connexion de peering de réseau virtuel dans Citrix DaaS sous une forme comme 192.168.0.0 /24.
- Dans cet exemple, la création d’une connexion de peering de réseau virtuel avec une plage d’adresses IP 10.0.0.0 /24 est considérée comme une plage d’adresses qui se chevauche.
Si les adresses se chevauchent, la connexion de peering de réseau virtuel est susceptible de ne pas être créée correctement. Cela ne fonctionnera pas non plus correctement pour les tâches d’administration de site.
- Indiquez si vous souhaitez ajouter des itinéraires personnalisés à la connexion de peering de réseau virtuel. Si vous sélectionnez Oui, saisissez les informations suivantes :
- Saisissez un nom convivial pour l’itinéraire personnalisé.
- Saisissez l’adresse IP de destination et le préfixe réseau. Le préfixe réseau doit être compris entre 16 et 24.
-
Sélectionnez un type de saut suivant pour l’endroit où vous souhaitez acheminer le trafic. Si vous sélectionnez Appliance virtuelle, saisissez l’adresse IP interne de l’appliance.
Pour plus d’informations sur les types de sauts suivants, reportez-vous à la section Itinéraires personnalisés de l’article Microsoft Routage du trafic de réseau virtuel.
- Pour créer un autre itinéraire personnalisé pour la connexion, sélectionnez Ajouter un itinéraire.
- Sélectionnez Ajouter peering de réseau virtuel.
Une fois la connexion créée, elle est répertoriée sous Connexions réseau > Homologues de réseau virtuel Azure sur le côté droit du tableau de bord Gérer > Déploiement rapide. Lorsque vous créez un catalogue, cette connexion est incluse dans la liste des connexions réseau disponibles.
Afficher les détails de la connexion de peering de réseau virtuel Azure
- Dans Gérer > Déploiement rapide, développez Connexions réseau sur la droite.
- Sélectionnez la connexion de peering de réseau virtuel Azure que vous souhaitez afficher.
Les détails incluent :
- le nombre de catalogues, de machines, d’images et de bastions utilisant cette connexion ;
- la région, l’espace réseau alloué et les réseaux virtuels appairés ;
- les itinéraires actuellement configurés pour la connexion de peering de réseau virtuel.
Gérer les itinéraires personnalisés pour les connexions homologues de réseau virtuel Azure existantes
Vous pouvez ajouter de nouveaux itinéraires personnalisés à une connexion existante ou modifier des itinéraires personnalisés existants, y compris la désactivation ou la suppression d’itinéraires personnalisés.
Important :
La modification, la désactivation ou la suppression d’itinéraires personnalisés modifient le flux de trafic de la connexion et peuvent perturber toutes les sessions utilisateur susceptibles d’être actives.
Pour ajouter un itinéraire personnalisé, procédez comme suit :
- Dans Gérer > Déploiement rapide, développez Connexions réseau sur la droite.
- Sélectionnez la connexion que vous souhaitez supprimer.
- Dans les détails de la connexion, sélectionnez Itinéraires, puis Ajouter un itinéraire.
- Saisissez un nom convivial, l’adresse IP de destination et le préfixe, ainsi que le type de saut suivant que vous souhaitez utiliser. Si vous sélectionnez Appliance virtuelle comme type de saut suivant, saisissez l’adresse IP interne de l’appliance.
- Indiquez si vous souhaitez activer l’itinéraire personnalisé. Par défaut, l’itinéraire personnalisé est activé.
- Sélectionnez Ajouter un itinéraire.
Pour modifier ou désactiver un itinéraire personnalisé, procédez comme suit :
- Dans Gérer > Déploiement rapide, développez Connexions réseau sur la droite.
- Sélectionnez la connexion que vous souhaitez supprimer.
- Dans les détails de la connexion, sélectionnez Itinéraires, puis localisez l’itinéraire personnalisé que vous souhaitez gérer.
-
Dans le menu des points de suspension, sélectionnez Modifier.
- Apportez les modifications nécessaires à l’adresse IP de destination et au préfixe ou au type de saut suivant, le cas échéant.
- Pour activer ou désactiver un itinéraire personnalisé, dans Activer cet itinéraire ?, sélectionnez Oui ou Non.
- Sélectionnez Save.
Pour supprimer un itinéraire personnalisé, procédez comme suit :
- Dans Gérer > Déploiement rapide, développez Connexions réseau sur la droite.
- Sélectionnez la connexion que vous souhaitez supprimer.
- Dans les détails de la connexion, sélectionnez Itinéraires, puis localisez l’itinéraire personnalisé que vous souhaitez gérer.
- Dans le menu des points de suspension, sélectionnez Supprimer.
- Sélectionnez Supprimer un itinéraire peut perturber les sessions actives pour reconnaître l’impact de la suppression de l’itinéraire personnalisé.
- Sélectionnez Supprimer l’itinéraire.
Supprimer une connexion de peering de réseau virtuel Azure
Avant de pouvoir supprimer une connexion de peering de réseau virtuel Azure, supprimez tous les catalogues qui y sont associés. Consultez la section Supprimer un catalogue.
- Dans Gérer > Déploiement rapide, développez Connexions réseau sur la droite.
- Sélectionnez la connexion que vous souhaitez supprimer.
- Dans les détails de la connexion, sélectionnez Supprimer la connexion.
À propos des connexions SD-WAN
Citrix SD-WAN optimise toutes les connexions réseau nécessaires à Citrix DaaS. Travaillant de concert avec les technologies HDX, Citrix SD-WAN offre une qualité de service et une fiabilité de connexion pour le trafic ICA et Citrix DaaS hors bande. Citrix SD-WAN prend en charge les connexions réseau suivantes :
- connexion ICA Multi-Stream entre les utilisateurs et leurs bureaux virtuels ;
- accès Internet depuis le bureau virtuel aux sites Web, aux applications SaaS et à d’autres propriétés Cloud :
- accès depuis le bureau virtuel à des ressources locales telles qu’Active Directory, serveurs de fichiers et serveurs de bases de données ;
- trafic interactif et en temps réel transporté par RTP depuis le moteur multimédia de l’application Workspace vers des services de communications unifiées hébergés dans le Cloud tels que Microsoft Teams ;
- récupération de vidéos côté client à partir de sites tels que YouTube et Vimeo.
Comme le montre le graphique suivant, vous créez une connexion SD-WAN à vos sites à partir de l’abonnement Azure géré par Citrix. Lors de la création de la connexion, les appliances VPX SD-WAN sont créées dans l’abonnement Azure géré par Citrix. Du point de vue du SD-WAN, cet emplacement est traité comme une succursale.
Configuration requise et préparation de la connexion SD-WAN
-
Si les exigences suivantes ne sont pas satisfaites, l’option de connexion réseau SD-WAN n’est pas disponible.
- Droits de service Citrix Cloud : Citrix DaaS (anciennement Citrix Virtual Apps and Desktops Service) et SD-WAN Orchestrator.
- Un déploiement SD-WAN installé et configuré. Le déploiement doit inclure un nœud de contrôle maître (MCN), que ce soit dans le Cloud ou local, et être géré avec SD-WAN Orchestrator.
-
Plage IP de réseau virtuel : fournissez un espace d’adressage de routage CIDR disponible (adresse IP et préfixe réseau) unique parmi les ressources réseau connectées. Il s’agit de la plage IP attribuée aux machines virtuelles au sein du réseau virtuel de Citrix DaaS.
Assurez-vous d’indiquer une plage IP qui ne chevauche aucune adresse que vous utilisez dans votre Cloud et vos réseaux locaux.
- Par exemple, si votre réseau dispose d’un espace d’adressage de 10.0.0.0 /16, créez la connexion dans Citrix DaaS en utilisant par exemple 192.168.0.0 /24.
- Dans cet exemple, la création d’une connexion avec une plage IP 10.0.0.0 /24 serait considérée comme une plage d’adresses qui se chevauche.
Si les adresses se chevauchent, la connexion est susceptible de ne pas être créée correctement. Cela ne fonctionne pas non plus correctement pour les tâches d’administration de site.
-
Le processus de configuration de la connexion inclut les tâches que vous (l’administrateur Citrix DaaS) et l’administrateur SD-WAN Orchestrator doivent effectuer. De plus, pour effectuer vos tâches, vous avez besoin d’informations fournies par l’administrateur SD-WAN Orchestrator.
Avant de créer une connexion, nous vous recommandons de consulter à la fois les conseils de ce document, ainsi que la documentation SD-WAN.
Créer une connexion SD-WAN
Important :
Pour plus d’informations sur la configuration SD-WAN, consultez Configuration SD-WAN pour l’intégration de Citrix DaaS.
- Dans Gérer > Déploiement rapide, développez Connexions réseau sur la droite.
- Sélectionnez Ajouter une connexion.
- Sur la page Ajouter une connexion réseau, cliquez n’importe où dans la zone SD-WAN.
- La page suivante résume la suite. Lorsque vous avez terminé la lecture, sélectionnez Démarrer la configuration du SD-WAN.
-
Sur la page Configurer SD-WAN, saisissez les informations fournies par votre administrateur SD-WAN Orchestrator.
- Mode de déploiement : si vous sélectionnez Haute disponibilité, deux appliances VPX sont créées (recommandé pour les environnements de production). Si vous sélectionnez Autonome, une appliance est créée. Vous ne pouvez pas modifier ce paramètre ultérieurement. Pour passer au mode de déploiement, vous devez supprimer et recréer la succursale et tous les catalogues associés.
- Nom : saisissez un nom pour le site SD-WAN.
- Débit et nombre de bureaux : ces informations sont fournies par votre administrateur SD-WAN Orchestrator.
- Région : région dans laquelle les appliances VPX seront créées.
- Sous-réseau VDA et sous-réseau SD-WAN : ces informations sont fournies par votre administrateur SD-WAN Orchestrator. Consultez Configuration requise et préparation de la connexion SD-WAN pour savoir comment éviter les conflits.
- Lorsque vous avez terminé, sélectionnez Créer une succursale.
- La page suivante résume les éléments à rechercher dans le tableau de bord Gérer > Déploiement rapide. Lorsque vous avez terminé la lecture, sélectionnez OK.
- Dans Gérer > Déploiement rapide, la nouvelle entrée SD-WAN sous Connexions réseau indique la progression du processus de configuration. Lorsque l’entrée devient orange avec le message
Awaiting activation by SD-WAN administrator
, informez votre administrateur SD-WAN Orchestrator. - Pour connaître les tâches d’administrateur SD-WAN Orchestrator, consultez la documentation produit SD-WAN Orchestrator.
- Lorsque l’administrateur SD-WAN Orchestrator a terminé, l’entrée SD-WAN sous Connexions réseau devient verte, avec le message
You can create catalogs using this connection
.
Afficher les détails de la connexion SD-WAN
- Dans Gérer > Déploiement rapide, développez Connexions réseau sur la droite.
- Sélectionnez SD-WAN s’il ne s’agit pas de la seule sélection.
- Sélectionnez la connexion que vous souhaitez afficher.
L’écran comprend :
- Onglet Détails : les informations que vous avez indiquées lors de la configuration de la connexion.
- Onglet Connectivité des succursales : nom, connectivité Cloud, disponibilité, niveau de bande passante, rôle et emplacement pour chaque succursale et MCN.
Supprimer une connexion SD-WAN
Avant de pouvoir supprimer une connexion SD-WAN, supprimez tous les catalogues qui y sont associés. Consultez la section Supprimer un catalogue.
- Dans Gérer > Déploiement rapide, développez Connexions réseau sur la droite.
- Sélectionnez SD-WAN s’il ne s’agit pas de la seule sélection.
- Sélectionnez la connexion que vous souhaitez supprimer pour développer ses détails.
- Dans l’onglet Détails, sélectionnez Supprimer la connexion.
- Confirmez la suppression.
Dans cet article
- Introduction
- Configuration requise pour toutes les connexions réseau
- Aucune connectivité
-
À propos des connexions de peering de réseau virtuel Azure
- Itinéraires personnalisés de peering de réseau virtuel Azure
- Configuration requise et préparation du peering de réseau virtuel Azure
- Création d’une connexion de peering de réseau virtuel Azure
- Afficher les détails de la connexion de peering de réseau virtuel Azure
- Gérer les itinéraires personnalisés pour les connexions homologues de réseau virtuel Azure existantes
- Supprimer une connexion de peering de réseau virtuel Azure
- À propos des connexions SD-WAN