Configuration SD-WAN pour Citrix Virtual Apps and Desktops Standard pour l’intégration Azure

Citrix SD-WAN est une solution de périphérie WAN nouvelle génération qui accélère la transformation numérique grâce à une connectivité et des performances flexibles, automatisées et sécurisées pour les applications SaaS, cloud et virtuelles, afin de garantir une expérience toujours active dans l’Workspace.

Citrix SD-WAN est le moyen recommandé et le meilleur moyen pour les entreprises de se connecter à Citrix Virtual Apps and Desktops Standard avec une configuration rapide et facile. Pour plus d’informations, consultez le blog Citrix.

Avantages

  • Facile à configurer SD-WAN dans Citrix Virtual Apps and Desktops Standard grâce à un flux de travail guidé et automatisé
  • Connectivité toujours active et haute performance grâce à des technologies SD-WAN avancées
  • Avantages sur toutes les connexions (VDA à DC, Userto-VDA, VDA vers Cloud et utilisateur-cloud)
  • Réduit la latence par rapport au trafic de rétroacheminement vers le centre de données
  • Gestion du trafic pour garantir la qualité de service (QoS)

    • QoS sur les flux de trafic HDX/ICA (AutoQoS HDX monoport)
    • QoS entre HDX et d’autres trafics
    • Équité de QoS HDX entre les utilisateurs
    • QoS de bout en bout
  • Le collage de liaison offre plus de bande passante pour des performances plus rapides
  • Haute disponibilité (HA) avec basculement transparent des liens et redondance SD-WAN sur Azure
  • Expérience VoIP optimisée (course de paquets pour une gigue réduite et une perte minimale de paquets, QoS, break-out local pour une latence réduite)
  • Économies importantes et déploiement beaucoup plus rapide et plus facile par rapport à ExpressRoute

Conditions préalables

Pour évaluer ces nouvelles capacités, les conditions préalables suivantes doivent être respectées :

  1. Vous devez disposer d’un réseau SD-WAN existant avec le droit Orchestrator. Si vous n’avez pas de réseau SD-WAN existant, vous devez en configurer un à l’aide de SD-WAN Orchestrator. Pour plus de détails, reportez-vous à la section Configuration d’un nœud de contrôle maître (MCN).

  2. Vous devez disposer d’un abonnement à Citrix Virtual Apps and Desktops Standard.
  3. Actuellement, cette prise en charge de l’intégration n’est disponible que pour les clients. Si vous êtes partenaire ou MSP et que vous devez essayer ce service, vous devez vous abonner à Citrix Virtual Apps and Desktops Standard en tant que client. Ce n’est qu’alors que cette intégration peut être activée.
  4. Pour utiliser des fonctionnalités SD-WAN (telles que QoS pour MSI, visibilité des applications), le service de localisation réseau (NLS) doit être configuré pour tous les sites SD-WAN de votre réseau.
  5. Vous devez disposer d’un serveur DNS et d’un AD déployés là où les points de terminaison client sont présents (co-implantés dans votre environnement de centre de données, qui aurait également le MCN) ou vous pouvez également utiliser Azure Active Directory (AAD).
  6. Le serveur DNS doit être capable de résoudre les adresses IP internes (privées) et externes (publiques).
  7. Assurez-vous que le nom de domaine complet sdwan-location.citrixnetworkapi.net est sur la liste blanche dans le pare-feu. Il s’agit du nom de domaine complet pour le service de localisation réseau qui est essentiel pour l’envoi du trafic sur le chemin virtuel SD-WAN.

Pour obtenir la liste des services cloud devant être mis en liste blanche sur le pare-feu, consultez Conditions préalables à l’utilisation d’Orchestrator.

Architecture de déploiement

Déploiement de haut niveau

Tout déploiement comporte les entités suivantes :

  • Emplacement local hébergeant l’appliance SD-WAN qui peut être déployé en mode succursale ou en tant que MCN. Cet emplacement contient les machines clientes, Active Directory et DNS. Toutefois, vous pouvez également choisir d’utiliser le DNS et AD d’Azure. Dans la plupart des scénarios, l’emplacement local sert de centre de données sur site et abrite le MCN.

  • Citrix Virtual Apps and Desktops Service cloud standard : cette entité fournit :

    • L’interface utilisateur permettant d’activer et de surveiller la connectivité SD-WAN pour Citrix Virtual Apps and Desktops Standard.
    • Crée des instances de machine virtuelle SD-WAN dans Azure.
    • Gère leur vie.
    • Regroupe les coûts d’instance SD-WAN avec Citrix Virtual Apps and Desktops Coûts standard pour la facturation client.
    • Configure l’environnement réseau local (sous-réseaux, routage local, règles de pare-feu, etc.) pour les instances SD-WAN.
    • Fourniture des informations d’instance SD-WAN à l’Orchestrator SD-WAN pour fournir et consommer la surveillance SD-WAN et d’autres données opérationnelles.
  • Orchestrator SD-WAN : SD-WAN Orchestrator fournit l’interface utilisateur pour la gestion du SD-WAN :

    • Y compris la gestion des instances déployées dans Citrix Virtual Apps and Desktops Standard.
    • Implémente le Provisioning initial pour les instances SD-WAN standard Citrix Virtual Apps and Desktops.
    • Implémente des restrictions sur la gestion des instances SD-WAN pour refléter la configuration Citrix Virtual Apps and Desktops Standard.
    • S’intègre à Citrix Virtual Apps and Desktops Standard pour fournir et consommer la surveillance SD-WAN et d’autres données opérationnelles.
  • Appliances SD-WAN virtuelles et physiques : les appliances SD-WAN virtuelles et physiques s’exécutent en tant qu’instances multiples dans le cloud (VM), sur site dans le centre de données et dans les succursales (appliances physiques ou machines virtuelles) pour fournir une connectivité entre ces emplacements et vers/depuis le public Internet.

    Instance SD-WAN dans Citrix Virtual Apps and Desktops L’abonnement Standard est créé sous la forme d’un seul ou d’un ensemble d’appliances virtuelles (s’il y a eu déploiement HA) par le service cloud Standard Citrix Virtual Apps and Desktops dans Azure dans les domaines de l’abonnement Citrix Virtual Apps and Desktops Standard. Les appliances SD-WAN situées dans d’autres emplacements (DC et succursales) sont créées par le client. Toutes ces appliances SD-WAN sont gérées (en termes de configuration et de mises à niveau logicielles) par les administrateurs SD-WAN via SD-WAN Orchestrator.

  • Citrix Virtual Apps and Desktops VDA standard, Connector - Utilise l’appliance SD-WAN standard Citrix Virtual Apps and Desktops comme Gateway vers toutes les ressources en dehors du réseau virtuel standard Citrix Virtual Apps and Desktops, y compris les ressources sur site d’entreprise, certains services Azure, et les applications SaaS sur l’Internet public.

Rôles des utilisateurs

  1. Citrix Virtual Apps and Desktops Standard Administrator : Décide d’utiliser la connectivité SD-WAN et obtient les informations réseau nécessaires auprès de l’administrateur SD-WAN (ou d’un autre rôle d’administrateur réseau) :
  • Démarre la configuration de la connectivité SD-WAN via Citrix Virtual Apps and Desktops Standard UI.
  • Une fois la connectivité SD-WAN entièrement activée, gère les catalogues Citrix Virtual Apps and Desktops Standard à l’aide de la connectivité SD-WAN.
  • En collaboration avec l’administrateur SD-WAN, surveille la connectivité SD-WAN et prend d’autres mesures si nécessaire.
  1. Administrateur SD-WAN : fournit des informations de configuration SD-WAN à Citrix Virtual Apps and Desktops Standard Administrator :
  • Active les instances SD-WAN dans Citrix Virtual Apps and Desktops Standard pour permettre la connectivité à d’autres éléments réseau, et effectuer des activités de configuration supplémentaires.
  • En collaboration avec l’administrateur SD-WAN, surveille la connectivité SD-WAN et prend des mesures supplémentaires si nécessaire.

Interaction entre différentes entités et rôles utilisateur au sein de l'intégration SDWAN standard Citrix Virtual Apps and Desktops

Gestion des accès pour SD-WAN Citrix Virtual Apps and Desktops Intégration standard

  • Citrix Virtual Apps and Desktops Standard et SD-WAN Orchestrator s’appuient sur Citrix Cloud IDAM pour identifier les utilisateurs comme disposant d’un accès en lecture seule ou en lecture-écriture.
  • En outre, le SD-WAN Orchestrator peut attribuer des droits d’accès similaires aux utilisateurs exclusivement au sein de l’Orchestrator. Les deux mécanismes d’autorisation sont combinés avec la logique OR : il suffit d’avoir des droits d’accès administrateur dans Citrix Cloud ou SD-WAN Orchestrator pour accéder à la gestion de la configuration SD-WAN.

Déploiement et configuration

Déploiement typique et entités impliquées

Dans un déploiement standard, un client aurait l’appliance Citrix SD-WAN (H/W ou VPX) déployée en tant que MCN dans son datacenter ou son grand bureau. Le centre de données client héberge généralement des utilisateurs sur site et des ressources telles que les serveurs AD et DNS. Dans certains scénarios, le client peut utiliser les services Azure Active Directory (AADS) et DNS, tous deux pris en charge par l’intégration Citrix SD-WAN et Citrix Virtual Apps and Desktops Standard.

Dans l’abonnement Citrix Managed Azure, le client doit déployer l’appliance virtuelle Citrix SD-WAN et les VDA. Les appliances SD-WAN sont gérées via SD-WAN Orchestrator. Toutefois, aux fins de cette intégration, l’appliance SD-WAN dans l’abonnement Citrix Managed Azure est configurée via Citrix Virtual Apps and Desktops Standard UI/Workflow. Une fois que l’appliance SD-WAN est configurée, elle se connecte au réseau Citrix SD-WAN existant et d’autres tâches telles que la configuration, la visibilité et la gestion sont gérées via SD-WAN Orchestrator. SD-WAN Orchestrator et Citrix Virtual Apps and Desktops Standard communiquent entre eux à l’aide d’API.

Le troisième composant de cette intégration est le service de localisation réseau qui permet aux utilisateurs internes de contourner la Gateway et de se connecter directement aux VDA, réduisant ainsi la latence du trafic réseau interne. Pour la phase 1 de cette intégration, le service de localisation réseau doit être configuré manuellement. Pour plus d’informations, voir Service d’emplacement réseau (NLS).

Configuration

  1. Après avoir suivi toutes les pré-requis mis en surbrillance dans la section pré-requis, le premier élément qui doit être configuré est le DNS. Cela doit être configuré dans le SD-WAN Orchestrator. Vous avez besoin de droits d’administrateur pour configurer DNS sur Orchestrator. Pour configurer DNS, accédez à Configuration > Paramètres App & DNS > Serveurs DNS dans l’interface graphique d’Orchestrator, puis cliquez sur +Serveur DNS. Entrez le DNS principal et secondaire dans l’écran suivant.

Ajouter un serveur DNS

Comme indiqué dans la section Déploiement et configuration ci-dessus, l’AD et le DNS sont présents dans l’emplacement local agissant comme centre de données et dans un déploiement avec SD-WAN, il est disponible derrière le SD-WAN qui se trouve sur le réseau LAN. C’est l’adresse IP AD/DNS que vous devez configurer ici. Dans le cas où vous utilisez Azure Active Directory Service/DNS, configurez 168.63. 129.16 comme adresse IP DNS.

Si vous utilisez un AD/DNS local, vérifiez si vous pouvez effectuer un ping sur l’IP de votre DNS depuis votre appliance SD-WAN. Pour ce faire, accédez à Dépannage > Diagnostics. Cochez la case Ping dans l’écran suivant et lancez un ping depuis l’interface LAN et l’interface par défaut de l’appliance SD-WAN vers l’adresse IP de votre AD/DNS.

Interface LAN par défaut

Si le ping réussit, cela signifie que votre AD/DNS peut être atteint avec succès. Si ce n’est pas le cas, il y a un problème de routage dans votre réseau qui empêche l’accès à votre AD/DNS. Si possible, essayez d’héberger votre appliance AD et SD-WAN sur le même segment LAN. En cas de problème, contactez votre administrateur réseau. Si vous ne complétez pas cette étape, l’étape de création du catalogue ne réussira pas et vous recevrez probablement un message d’erreur indiquant que l’adresse IP DNS globale n’est pas configurée.

Remarque

Assurez-vous que le DNS est capable de résoudre les adresses IP internes et externes.

  1. Connectez-vous à l’interface utilisateur standard Citrix Virtual Apps and Desktops. Vous pouvez afficher l’écran suivant :

Écran de connexion standard Citrix Virtual Apps and Desktops

Cliquez sur Connexions réseau pour créer une connectivité réseau entre vos ressources sur site et l’abonnement Citrix Virtual Apps and Desktops Standard. Cliquez sur + Ajouter une connexion.

Ajouter une connexion

L’option SD-WAN n’est activée que si vous remplissez les conditions suivantes :

  • Vous devez disposer d’un réseau SD-WAN existant avec le droit Orchestrator. Si vous n’avez pas de réseau SD-WAN existant, configurez un à l’aide de SD-WAN Orchestrator. Pour plus d’informations, voir Configuration d’un nœud de contrôle maître (MCN).

  • Vous devez disposer d’un abonnement à Citrix Virtual Apps and Desktops Standard.

  • Actuellement, cette prise en charge de l’intégration n’est disponible que pour les clients. Si vous êtes un partenaire ou un MSP et que vous devez essayer ce service, vous devez vous abonner à Citrix Virtual Apps and Desktops Standard en tant que client, alors seulement cette intégration peut être activée. Sinon, cette option reste désactivée.

    Si vous souhaitez essayer cette intégration et avoir besoin d’un accès à la version d’évaluation pour SD-WAN Orchestrator, demandez une évaluation en visitant citrix.cloud.com ou sdwan.cloud.com.

  1. Une fois que vous remplissez les conditions mises en évidence dans les pré-requis, cliquez sur l’onglet SD-WAN pour afficher le flux de travail global :

Workflow global

  1. Entrez les détails suivants pour configurer le SD-WAN :
  • Mode de déploiement : vous pouvez voir deux options de mode de déploiement : autonome et haute disponibilité.

    • Autonome : le mode de déploiement du SD-WAN peut être autonome lorsqu’une seule instance SD-WAN est déployée. Si l’instance SD-WAN échoue en raison d’un problème avec le microprogramme SD-WAN ou l’infra Azure sous-jacent, vous ne pouvez pas contacter les ressources déployées derrière l’instance SD-WAN dans Azure. En d’autres termes, l’instance se comporte en mode échec de blocage.

    • Haute disponibilité : pour vous protéger contre les défaillances logicielles de l’instance SD-WAN, vous pouvez choisir de déployer l’instance en mode haute disponibilité qui déploie deux instances SD-WAN en mode veille actif. Citrix recommande de déployer des instances en mode haute disponibilité pour les réseaux de production.

  • Entrez le nom du site SD-WAN : entrez le nom du site pour identifier un site dans votre réseau SD-WAN. Assurez-vous que le nom que vous choisissez est unique et facile à rappeler.

  • Débit et nombre de bureaux : Actuellement, seule l’option D3_V2 est prise en charge. D3_V2 prend en charge jusqu’à 200 Mbit/s de débit et peut établir une connectivité directe à 16 sites. Les connexions qui ne sont pas directes passent par le MCN.

  • Région : sélectionnez la région Azure dans laquelle vous souhaitez déployer l’instance SD-WAN. Il doit s’agir de la même région où vous avez l’intention de déployer vos ressources Citrix Virtual Apps and Desktops Standard.

  • Sous-réseau VDA : Le sous-réseau VDA est le sous-réseau dans lequel vous souhaitez déployer votre VDA et d’autres ressources Citrix Virtual Apps and Desktops Standard dans Azure.

  • Sous-réseau SD-WAN : Le sous-réseau SD-WAN est le sous-réseau où vous souhaitez déployer votre appareil SD-WAN.

    Remarque

    Cette intégration ne prend en charge que les catalogues joints à un domaine, les non-joints ne sont pas pris en charge à ce jour.

  1. Une fois que vous avez fourni toutes les informations demandées lors de l’étape précédente, le Provisioning et le déploiement s’ensuivent et le processus prend environ 20 minutes impaires. Pendant ce temps, les étapes suivantes se déroulent dans les coulisses :
  • Un dispositif SD-WAN virtuel (VPX) commence à être provisionné dans Azure en fonction de la configuration choisie par vous. Une fois le Provisioning réussi, le VPX SD-WAN fournit le profil CPU et mémoire choisis ainsi que la configuration réseau fournie lors de l’étape précédente.

  • Une fois le Provisioning réussi, l’appliance VPX s’adresse au SD-WAN Orchestrator sur Internet public pour demander le package de configuration.

    Résumé des succursales SD-WAN

  1. Une fois la succursale SD-WAN configurée, vous pouvez afficher les détails de configuration.

Détails de la configuration

  1. Une fois l’instance provisionnée, vous pouvez voir l’écran suivant. À ce stade, l’administrateur réseau doit se connecter au SD-WAN Orchestrator pour permettre l’ajout de l’appliance VPX SD-WAN au réseau.

Instance provisionnée

  1. L’administrateur réseau doit se connecter à SD-WAN Orchestrator et accéder à la page d’accueil Configuration réseau, où vous pouvez voir un élément de ligne pour le site SD-WAN dans Citrix Virtual Apps and Desktops Standard.

Ligne pour site SD-WAN

  1. L’administrateur réseau doit déployer les sites à ce stade. Cliquez sur Deploy Config/Software à déployer.

Déployer la configuration ou le logiciel

  1. Une fois l’étape Deploy Config/Software terminée, vous pouvez voir que l’état de l’écran Citrix Virtual Apps and Desktops Standard change pour vous pouvez maintenant créer des catalogues à l’aide de SD-WAN.

Service de localisation du réseau

Avec le service de localisation réseau dans Citrix Cloud, vous pouvez optimiser le trafic interne vers les applications et les bureaux que vous mettez à la disposition des espaces de travail des abonnés afin de rendre les sessions HDX plus rapides.

Les utilisateurs des réseaux internes et externes doivent se connecter aux VDA via une Gateway externe. Bien que cela soit attendu pour les utilisateurs externes, les utilisateurs internes connaissent des connexions plus lentes aux ressources virtuelles. Le service Emplacement réseau permet aux utilisateurs internes de contourner la Gateway et de se connecter directement aux VDA, réduisant ainsi la latence du trafic réseau interne.

Configuration

Pour configurer le service d’emplacement réseau, vous configurez les emplacements réseau qui correspondent aux VDA de votre environnement à l’aide du module PowerShell du service d’emplacement réseau fourni par Citrix. Ces emplacements réseau incluent les plages IP publiques des réseaux à partir desquels vos utilisateurs internes se connectent.

Lorsque les abonnés lancent des sessions Virtual Apps and Desktops à partir de leur Workspace, Citrix Cloud détecte si les abonnés sont internes ou externes au réseau de l’entreprise en fonction de l’adresse IP publique du réseau à partir duquel ils se connectent.

  • Si un abonné se connecte à partir du réseau interne, Citrix Cloud achemine la connexion directement vers le VDA, en contournant Citrix Gateway.

  • Si un abonné se connecte en externe, Citrix Cloud achemine l’abonné via Citrix Gateway comme prévu, puis redirige l’abonné vers le VDA dans le réseau interne.

Remarque

L’adresse IP publique qui doit être configurée dans le service d’emplacement réseau doit être l’adresse IP publique affectée aux liaisons WAN.

IP publique affectée à l’appliance SD-WAN

L’adresse IP publique qui doit être configurée dans NLS doit être les IP de liaison WAN de toutes les liaisons utilisées pour envoyer du trafic sur le chemin virtuel. Vous pouvez trouver ces informations en accédant à Site > Rapports > Temps réel > Statistiques > Interfaces d’accès.

IP publique

Configuration SD-WAN pour Citrix Virtual Apps and Desktops Standard pour l’intégration Azure