Citrix SD-WAN

Guide de configuration des charges de travail Citrix Virtual Apps and Desktops

Citrix SD-WAN est une solution WAN Edge de nouvelle génération qui accélère la transformation numérique grâce à une connectivité et des performances flexibles, automatisées et sécurisées pour les applications SaaS, cloud et virtuelles, afin de garantir une expérience d’Workspace toujours active.

Citrix SD-WAN est le moyen recommandé et le meilleur pour les organisations utilisant le service Citrix Virtual Apps and Desktops (CVAD) pour se connecter aux charges de travail CVAD dans le cloud. Pour plus d’informations, consultez le blog Citrix.

Ce document se concentre sur la configuration de Citrix SD-WAN pour la connectivité vers/depuis les charges de travail CVAD sur Azure.

Avantages

  • Facile à configurer le SD-WAN dans CVAD grâce à un flux de travail guidé
  • Connectivité toujours active et haute performance grâce à des technologies SD-WAN avancées
  • Avantages pour toutes les connexions (VDA-DC, User-to-VDA, VDA-Cloud, User-to-Cloud)
  • Réduit la latence par rapport au trafic de rétroacheminement vers le centre de données
  • Gestion du trafic pour garantir la qualité de service (QoS)
    • QoS sur les flux de trafic HDX/ICA (AutoQoS HDX multiflux monoport)
    • QoS entre HDX et d’autres trafics
    • HDX QoS Équité entre les utilisateurs
    • QoS de bout en bout
  • Le collage de liaison offre plus de bande passante pour des performances plus rapides
  • Haute disponibilité avec basculement de lien transparent et redondance SD-WAN sur Azure
  • Expérience VoIP optimisée (course de paquets pour une gigue réduite et une perte minimale de paquets, QoS, break-out local pour une latence réduite)
  • Économies importantes et déploiement doit être plus rapide et plus facile par rapport à Azure ExpressRoute

Conditions préalables

Respectez les conditions préalables suivantes pour évaluer et déployer les capacités des charges de travail CVAD :

  • Vous devez disposer d’un réseau SD-WAN existant ou en créer un nouveau.
  • Vous devez avoir un abonnement au service CVAD.
  • Pour utiliser les fonctionnalités SD-WAN telles que l’AutoQoS HDX multiflux et la visibilité profonde, le service de localisation réseau (NLS) doit être configuré pour tous les sites SD-WAN de votre réseau.
  • Vous devez disposer d’un serveur DNS et d’AD déployés là où les points de terminaison client sont présents (souvent co-situés dans votre environnement de datacenter) ou vous pouvez utiliser Azure Active Directory (AAD).
  • Le serveur DNS doit être capable de résoudre les adresses IP internes (pvt) et externes (publiques).
  • Assurez-vous que le nom de domaine complet (sdwan-location.citrixnetworkapi.net) est en liste blanche dans le pare-feu. Il s’agit du nom de domaine complet pour le service de localisation réseau qui est essentiel pour l’envoi du trafic via le chemin virtuel SD-WAN. En outre, une meilleure façon si vous êtes à l’aise avec la liste blanche des noms de domaine complet génériques serait de mettre *.citrixnetworkapi.net sur liste blanche car il s’agit du sous-domaine pour d’autres services Citrix Cloud tels que le Provisioning zéro tactile.
  • Inscrivez-vous sur sdwan.cloud.com pour utiliser l’orchestrateur SD-WAN pour gérer votre réseau SD-WAN. SD-WAN Orchestrator est une plate-forme de gestion multi-locataires basée sur Citrix Cloud pour Citrix SD-WAN.

Architecture de déploiement

Architecture de déploiement

Les entités suivantes sont requises pour le déploiement :

  • Emplacement local hébergeant le dispositif SD-WAN qui peut être déployé en mode branche ou en tant que nœud de contrôle principal(MCN). Le mode branche ou MCN contient les machines clientes, Active Directory et DNS. Toutefois, vous pouvez également choisir d’utiliser le DNS et AD d’Azure. Dans la plupart des scénarios, l’emplacement local sert de centre de données et héberge le MCN.

  • Service cloud CVAD — Citrix Virtual Apps and Desktops fournit des solutions de virtualisation qui permettent au service informatique de contrôler les machines virtuelles, les applications et la sécurité tout en fournissant un accès partout à n’importe quel périphérique. Les utilisateurs finaux peuvent utiliser des applications et des postes de travail indépendamment du système d’exploitation et de l’interface du périphérique.

    À l’aide du service Citrix Virtual Apps and Desktops, vous pouvez fournir des applications et des bureaux virtuels sécurisés sur n’importe quel périphérique et laisser la plupart de l’installation, de la configuration, des mises à niveau et de la surveillance du produit à Citrix. Vous conservez un contrôle total sur les applications, les stratégies et les utilisateurs tout en offrant la meilleure expérience possible sur n’importe quel appareil.

  • Connecteur Citrix connector/cloud  : vous connectez vos ressources au service via Citrix Cloud Connector, qui sert de canal de communication entre Citrix Cloud et vos emplacements de ressources. Cloud Connector permet d’administrer le cloud sans nécessiter de configuration de réseau ou d’infrastructure complexe telle que des VPN ou des tunnels IPsec. Les emplacements de ressources contiennent les machines et autres ressources qui mettent à disposition des applications et des postes de travail à vos abonnés.

  • SD-WAN Orchestrator — Citrix SD-WAN Orchestrator est un service de gestion multi-locataires hébergé dans le cloud disponible pour lesentreprisesDo It Yourself et les partenaires Citrix. Les partenaires Citrix peuvent utiliser SD-WAN Orchestrator pour gérer plusieurs clients avec un seul panneau de verre et des contrôles d’accès basés sur les rôles appropriés.

  • Appliances SD-WAN virtuelles et physiques  : elles s’exécutent sous la forme de plusieurs instances dans le cloud (VM) et locales dans le datacenter et dans les succursales (appliances physiques ou machines virtuelles) afin de fournir une connectivité entre ces emplacements et vers/depuis l’Internet public. L’instance SD-WAN dans CVAD est créée sous la forme d’un seul ou d’un ensemble d’appliances virtuelles (en cas de déploiement HA) en Provisioning ces instances via Azure Marketplace. Les appliances SD-WAN situées dans d’autres emplacements (DC et succursales) sont créées par le client. Toutes ces appliances SD-WAN sont gérées (en termes de configuration et de mise à niveau logicielle) par les administrateurs SD-WAN via SD-WAN Orchestrator.

Déploiement et configuration

Déploiement et configuration

Dans un déploiement commun, l’appliance Citrix SD-WAN (H/W ou VPX) est déployée en tant que MCN dans son bureau DC/Large. Le contrôleur de domaine client héberge généralement des utilisateurs et des ressources sur site tels que les serveurs AD et DNS. Dans certains scénarios, le client peut utiliser les services Azure Active Directory (AADS) et DNS, qui sont tous deux pris en charge par l’intégration Citrix SD-WAN et CMD.

Dans l’abonnement Azure géré par le client, le client doit déployer l’appliance virtuelle Citrix SD-WAN et les VDA. Les appliances SD-WAN sont gérées via SD-WAN Orchestrator. Une fois que l’appliance SD-WAN est configurée, elle se connecte au réseau Citrix SD-WAN existant et d’autres tâches telles que la configuration, la visibilité et la gestion sont gérées via SD-WAN Orchestrator.

Le troisième composant de cette intégration est le service de localisation réseau (NLS) qui permet aux utilisateurs internes de contourner la Gateway et de se connecter directement au VDA, réduisant ainsi la latence du trafic réseau interne. Pour la phase 1 de cette intégration, le service de localisation réseau doit être configuré manuellement pour lequel les instructions peuvent être trouvées dans d’autres sections. Pour plus d’informations, consultez NLS.

Configuration

La machine virtuelle Citrix SD-WAN est déployée dans une région spécifiée (selon les besoins du client) et peut être connectée à plusieurs succursales via MPLS, Internet ou 4G/LTE. Dans une infrastructure de réseau virtuel (VNET), la machine virtuelle SD-WAN Standard Edition (SE) est déployée en mode Gateway. Le VNET a des routes vers la Gateway Azure. L’instance SD-WAN a une route vers la Gateway Azure pour la connectivité Internet. Cette route doit être créée manuellement.

  1. Dans un navigateur Web, accédez au portail Azure. Connectez-vous à un compte Microsoft Azure et recherchez Citrix SD-WAN Standard Edition.

  2. Dans les résultats de recherche, choisissez la solution Citrix SD-WAN Standard Edition. Cliquez sur Créer après avoir parcouru la description et vérifier que la solution choisie est correcte.

Option de recherche Azure

En cliquant sur Créer, un assistant vous invitant à créer la machine virtuelle avec les détails nécessaires.

  1. Dans lapage Paramètresde base, choisissez le groupe de ressources dans lequel vous souhaitez déployer la solution SD-WAN SE.

Un groupe de ressources est un conteneur qui contient des ressources associées pour une solution Azure. Le groupe de ressources peut inclure toutes les ressources de la solution, ou uniquement les ressources que vous souhaitez gérer en tant que groupe. Vous pouvez décider de la manière dont vous souhaitez allouer des ressources aux groupes de ressources en fonction de votre déploiement.

Pour Citrix SD-WAN, il est recommandé que le groupe de ressources que vous choisissez soit vide. De même, sélectionnez la région Azure dans laquelle vous souhaitez déployer l’instance SD-WAN. La région doit être la même que la région dans laquelle vos ressources CVAD sont déployées.

Paramètres de base Azure

  1. Sous lapage Paramètres del’administrateur, indiquez un nom pour la machine virtuelle. Choisissez un nom d’utilisateur et un mot de passe fort. Le mot de passe doit être composé d’une lettre majuscule, d’un caractère spécial et doit comporter plus de neuf caractères. Cliquez sur OK.

Ce mot de passe est nécessaire pour vous connecter à l’interface de gestion de l’instance en tant qu’utilisateur invité. Pour obtenir l’accès administrateur à l’instance, utilisez admin comme nom d’utilisateur et le mot de passe créé lors du Provisioning de l’instance. Si vous utilisez le nom d’utilisateur créé lors du Provisioning de l’instance, vous obtenez un accès en lecture seule. Choisissez également le type de déploiement ici.

Si vous souhaitez déployer une seule instance, assurez-vous que vous choisissez désactivé dans l’option Mode Déploiement HA, sinon choisissez activé. Pour les réseaux de production, Citrix recommande toujours de déployer des instances en mode haute disponibilité car il protège votre réseau contre les défaillances de l’instance.

Paramètres d'administrateur Azure

  1. Sous lapage ParamètresSD-WAN, choisissez l’instance dans laquelle vous souhaitez exécuter l’image. Choisissez le type d’instance suivant selon vos besoins :
  • Type d’instance D3_V2 pour un débit unidirectionnel maximal de 200 Mbps avec connectivité directe à un maximum de 16 branches.
  • Type d’instance D4_V2 pour un débit unidirectionnel maximal de 500 Mbps avec connectivité directe à un maximum de 16 branches.
  • Type d’instance F8 standard pour un débit unidirectionnel maximal de 1 Gbit/s avec connectivité directe à un maximum de 64 branches.
  • Type d’instance F16 standard pour un débit unidirectionnel maximal de 1 Gbit/s avec connectivité directe à un maximum de 128 branches.

    Paramètres Azure SD-WAN

  1. Créez un nouveau réseau virtuel (VNet) ou utilisez un réseau virtuel existant. Il s’agit de l’étape la plus critique pour le déploiement, car cette étape choisit les sous-réseaux à affecter aux interfaces de la machine virtuelle SD-WAN VPX.

VNet Azure

Le sous-réseau auxiliaire n’est nécessaire que lorsque vous déployez les instances en mode HA. Assurez-vous que l’instance SD-WAN est déployée dans le même réseau virtuel que vos ressources CVAD et qu’elle se trouve sur le même sous-réseau que l’interface LAN de l’appliance SD-WAN VPX.

Sous-réseau Azure

  1. Vérifiez la configuration dans lapageRésumé et cliquez sur OK.

Récapitulatif Azure

  1. Sur lapageAcheter, cliquez sur Créer pour démarrer le processus de Provisioning des instances. Le provisionnement de l’instance peut prendre environ 10 minutes. Vous recevez une notification dans le portail de gestion Azure suggérant le succès ou l’échec de la création d’instance.

Achète Azure

Une fois l’instance créée avec succès, récupère l’adresse IP publique attribuée à l’interface de gestion de l’instance SD-WAN. Elle se trouve dans la section Mise en réseau du groupe de ressources dans lequel l’instance a été provisionnée. Une fois récupéré, vous pouvez l’utiliser pour vous connecter à l’instance.

Remarque

Pour l’accès admin, le nom d’utilisateur est admin et le mot de passe est celui que vous avez défini lors de la création de l’instance.

  1. Une fois le site configuré, connectez-vous au SD-WAN Orchestrator pour le configurer. Comme mentionné dans les pré-requis, vous devez avoir le droit de SD-WAN Orchestrator pour configurer le site. Si vous ne l’avez pas encore, reportez-vous à Citrix SD-WAN Orchestrator Onboarding.

  2. Si vous disposez déjà d’un réseau SD-WAN, procédez à la création de la configuration pour le site que vous avez provisionné dans Azure. Sinon, vous devez créer un MCN. Pour plus d’informations, consultez Configuration réseau.

  3. Une fois que vous avez accès à SD-WAN Orchestrator et que vous avez déjà configuré un MCN, connectez-vous à SD-WAN Orchestrator et cliquez sur le site +Nouveau pour commencer à configurer l’appliance VPX SD-WAN (que vous avez provisionné dans Azure).

Nouveau site Azure

  1. Indiquez un nom de site unique et entrez l’adresse en fonction de la région dans laquelle vous Provisioning ez l’image. Pour configurer l’instance dans Azure, reportez-vous aux paramètres de base.

Remarque

Pour récupérer le numéro de série de l’instance dans Azure, connectez-vous à l’instance via l’adresse IP de gestion publique. Vous pouvez voir le numéro de série sur l’écran du tableau de bord. Si vous configurez des instances dans HA, les deux numéros de série doivent être capturés. En outre, lors de la configuration de l’instance, assurez-vous que les interfaces sont choisies comme approuvées.

  1. Pour récupérer les adresses IP associées aux interfaces LAN et WAN sur Azure. Accédez au portail Azure > Groupes de ressources > Groupe de ressources dans lequel le SD-WAN est provisionné > VM SD-WAN > Mise en réseau.

Azure SD-WAN provisionné

  1. Une fois que vous avez terminé avec la configuration de l’instance. Cliquez sur Déployer Config/Software en accédant à Configuration > Page d’accueil de configuration réseau.

Azure déploie le logiciel de configuration

  1. S’il n’y a aucun problème et que la configuration est exacte, vous devez disposer des chemins virtuels entre l’instance dans Azure et votre MCN une fois le déploiement de la configuration exécuté.

Configuration CVAD

Comme indiqué dans lasectionDéploiement et configuration, le AD/DNS est présent dans l’emplacement local agissant en tant que contrôleur de domaine et dans un déploiement avec SD-WAN qu’il présente derrière le SD-WAN qui se trouve sur le réseau LAN. C’est l’IP de votre AD/DNS que vous devez configurer ici. Dans le cas où vous utilisez le service Azure Active Directory service/DNS, configurez 168.63.129.16 comme adresse IP DNS.

Si vous utilisez un AD/DNS local, vérifiez si vous pouvez effectuer un ping sur l’IP de votre DNS à partir de votre appliance SD-WAN. Pour ce faire, accédez à Dépannage > Diagnostics. Cochez lacasePing et lancez un ping à partir de l’interface LAN ou de l’interface par défaut de l’appliance SD-WAN vers l’IP de votre AD/DNS.

Ping Azure

Si le ping réussit, cela signifie que votre AD/DNS peut être atteint avec succès, sinon cela signifie qu’il y a un problème de routage dans votre réseau qui empêche l’accès à votre AD/DNS. Si possible, essayez d’héberger votre appliance AD et SD-WAN sur le même segment LAN.

En cas de problème, contactez votre administrateur réseau. Si cette étape n’est pas terminée avec succès, l’étape de création de catalogue ne réussira pas et vous obtenez un message d’erreur car l’IP DNS globale n’est pas configurée.

Remarque

Assurez-vous que le DNS est capable de résoudre les adresses IP internes et externes.

Service de localisation du réseau

Avec leservice de localisationréseau dans Citrix Cloud, vous pouvez optimiser le trafic interne vers les applications et les bureaux que vous mettez à la disposition des espaces de travail des abonnés afin de rendre les sessions HDX plus rapides. Les utilisateurs des réseaux internes et externes doivent se connecter aux VDA via une Gateway externe. Bien que cela soit attendu pour les utilisateurs externes, les utilisateurs internes connaissent des connexions plus lentes aux ressources virtuelles. Leservice Emplacementréseau permet aux utilisateurs internes de contourner la Gateway et de se connecter directement aux VDA, réduisant ainsi la latence du trafic réseau interne.

Configuration

Pour configurer leservice Emplacementréseau, vous pouvez configurer les emplacements réseau qui correspondent aux VDA de votre environnement à l’aide du module PowerShell du service d’emplacement réseau fourni par Citrix. Ces emplacements réseau incluent les plages IP publiques des réseaux à partir desquels vos utilisateurs internes se connectent.

Lorsque les abonnés lancent des sessions Virtual Apps and Desktops à partir de leur Workspace, Citrix Cloud détecte si les abonnés sont internes ou externes au réseau de l’entreprise en fonction de l’adresse IP publique du réseau à partir duquel ils se connectent.

Si un abonné se connecte à partir du réseau interne, Citrix Cloud achemine la connexion directement vers le VDA, en contournant Citrix Gateway. Si un abonné se connecte en externe, Citrix Cloud achemine l’abonné via Citrix Gateway comme prévu, puis redirige l’abonné vers le VDA dans le réseau interne.

Remarque

L’adresse IP publique qui doit être configurée dans le service d’emplacement réseau doit être l’adresse IP publique affectée aux liaisons WAN.

Guide de configuration des charges de travail Citrix Virtual Apps and Desktops