Environnements de virtualisation Amazon Web Services

Cet article vous guide au travers de la configuration de votre compte Amazon Web Services (AWS) en tant qu’emplacement de ressources que vous pouvez utiliser avec le service Citrix Virtual Apps and Desktops. L’emplacement de ressources inclut un jeu de composants standard, idéal pour les déploiements de preuve de concept ou d’autres déploiements qui ne requièrent pas de ressources réparties sur plusieurs zones de disponibilité. Après avoir terminé ces tâches, vous pouvez installer des VDA, provisionner des machines, créer des catalogues de machines et créer des groupes de mise à disposition.

Remarque : plutôt que d’effectuer les tâches de configuration décrites dans cet article, consultez le guide Get Started with AWS guide. Ce guide vous explique comment :

  • Créer un compte AWS et créer des clés d’accès appropriées.
  • Vous abonner à Citrix Gateway VPX dans Amazon Marketplace.
  • Utiliser Smart Tools pour configurer et déployer des machines dans le nouvel emplacement de ressources.

Une fois les tâches décrites dans cet article terminées, votre emplacement de ressources comprendra les composants suivants :

  • Un cloud privé virtuel (VPC) avec des sous-réseaux publics et privés à l’intérieur d’une seule zone de disponibilité.
  • Une instance qui s’exécute en tant que contrôleur de domaine Active Directory et serveur DNS, située dans le sous-réseau privé du VPC.
  • Deux instances appartenant au domaine sur lesquelles le Citrix Cloud Connector est installé, situées dans le sous-réseau privé du VPC.
  • Une instance qui agit en tant qu’hôte Bastion, située dans le sous-réseau public de votre VPC. Cette instance est utilisée pour initier des connexions RDP aux instances dans le sous-réseau privé à des fins d’administration. Après avoir terminé la configuration de votre emplacement de ressources, vous pouvez arrêter cette instance de façon à ce qu’elle ne soit plus accessible. Lorsque vous avez besoin de gérer d’autres instances dans le sous-réseau privé, telles que des instances de VDA, vous pouvez redémarrer l’instance de l’hôte Bastion.

Vue d’ensemble des tâches

Définir un cloud privé virtuel (VPC) avec des sous-réseaux publics et privés. Lorsque vous avez terminé cette tâche, AWS déploie une instance NAT avec une adresse IP Elastic dans le sous-réseau public, ce qui permet aux instances du sous-réseau privé d’accéder à Internet. Les instances du sous-réseau public sont accessibles au trafic public entrant ce qui n’est pas le cas des instances du sous-réseau privé.

Configurer des groupes de sécurité. Les groupes de sécurité agissent en tant que pare-feu virtuels qui contrôlent le trafic pour les instances dans votre VPC. Vous devez ajouter des règles à vos groupes de sécurité permettant aux instances de votre sous-réseau public de communiquer avec les instances de votre sous-réseau privé. Vous associerez également ces groupes de sécurité avec chaque instance dans votre VPC.

Créer une série d’options DHCP. Avec un VPC Amazon, les services DHCP et DNS sont fournis par défaut, ce qui affecte la manière dont vous configurez le DNS sur votre contrôleur de domaine Active Directory. Le DHCP d’Amazon ne peut pas être désactivé et le DNS d’Amazon peut être utilisé uniquement pour la résolution de DNS public, et non pour la résolution de nom Active Directory. Pour spécifier le domaine et nommer les serveurs qui doivent être transmis aux instances via DHCP, vous créez une nouvelle série d’options DHCP. Cette série attribue le suffixe de domaine Active Directory et spécifie le serveur DNS pour toutes les instances dans votre VPC. Pour vous assurer que les enregistrements hôte (A) et recherche inversée (PTR) sont enregistrés automatiquement lorsque des instances rejoignent le domaine, vous configurez les propriétés de la carte réseau pour chaque instance que vous ajoutez au sous-réseau privé.

Ajouter un hôte Bastion, un contrôleur de domaine et des Citrix Cloud Connector au VPC. Au travers de l’hôte Bastion, vous pouvez vous connecter à des instances du sous-réseau privé pour configurer le domaine, joindre des instances au domaine et installer le Citrix Cloud Connector.

Tâche 1 : Configurer le VPC

  1. À partir de la console de gestion AWS, cliquez sur VPC.
  2. Dans le tableau de bord VPC, cliquez sur Start VPC Wizard.
  3. Sélectionnez VPC with Public and Private Subnets et cliquez sur Select.
  4. Entrez un nom de VPC et modifiez les plages IP CIDRE block et Public and Private subnet IP, si nécessaire.
  5. Si une passerelle NAT est sélectionnée, cliquez sur Use a NAT Instance instead.
  6. Pour l’instance NAT, spécifiez le type d’instance et la paire de clés que vous voulez utiliser. La paire de clés vous permet de vous connecter en toute sécurité à l’instance ultérieurement.
  7. Dans Enable DNS hostnames, laissez l’option Yes sélectionnée.
  8. Cliquez sur Create VPC. AWS crée les sous-réseaux publics et privés, une passerelle Internet, des tables de routage et un groupe de sécurité par défaut. Une instance NAT est également créée ; une adresse IP Elastic lui est attribuée.

Tâche 2 : Configurer des groupes de sécurité

Cette tâche crée et configure les groupes de sécurité suivants pour votre VPC :

  • Un groupe de sécurité pour l’instance NAT.
  • Un groupe de sécurité public, avec lequel les instances de votre sous-réseau public seront associées.
  • Un groupe de sécurité privé, avec lequel les instances de votre sous-réseau privé seront associées.

Pour créer les groupes de sécurité

  1. Dans le tableau de bord VPC, cliquez sur Security Groups.
  2. Créez un groupe de sécurité pour l’instance NAT : cliquez sur Create Security Group et entrez une balise et une description pour le groupe. Dans le menu VPC, sélectionnez le VPC que vous avez créé précédemment. Cliquez sur Yes, Create.
  3. Répétez l’étape 2 pour créer un groupe de sécurité public et un groupe de sécurité privé.

Configurer le groupe de sécurité NAT

  1. Depuis la liste de groupes de sécurité, sélectionnez le groupe de sécurité NAT.

  2. Cliquez sur l’onglet Inbound Rules et cliquez sur Edit pour créer les règles suivantes :

    Type Source
    ALL Traffic Sélectionnez le groupe de sécurité privé.
    22 (SSH) 0.0.0.0/0
  3. Lorsque vous avez terminé, cliquez sur Enregistrer.

Configurer le groupe de sécurité public

  1. Depuis la liste de groupes de sécurité, sélectionnez le groupe de sécurité public.

  2. Cliquez sur l’onglet Inbound Rules et cliquez sur Edit pour créer les règles suivantes :

    Type Source
    ALL Traffic Sélectionnez le groupe de sécurité privé.
    ALL Traffic Sélectionnez le groupe de sécurité public.
    ICMP 0.0.0.0/0
    22 (SSH) 0.0.0.0/0
    80 (HTTP) 0.0.0.0/0
    443 (HTTPS) 0.0.0.0/0
    1494 (ICA/HDX) 0.0.0.0/0
    2598 (Session Reliability) 0.0.0.0/0
    3389 (RDP) 0.0.0.0/0
  3. Lorsque vous avez terminé, cliquez sur Enregistrer.

  4. Cliquez sur l’onglet Outbound Rules et cliquez sur Edit pour créer les règles suivantes :

    Type Destination
    ALL Traffic Sélectionnez le groupe de sécurité privé.
    ALL Traffic 0.0.0.0/0
    ICMP 0.0.0.0/0
  5. Lorsque vous avez terminé, cliquez sur Enregistrer.

Configurer le groupe de sécurité privé

  1. Depuis la liste de groupes de sécurité, sélectionnez le groupe de sécurité privé.

  2. Cliquez sur l’onglet Inbound Rules et cliquez sur Edit pour créer les règles suivantes :

    Type Source
    ALL Traffic Sélectionnez le groupe de sécurité NAT.
    ALL Traffic Sélectionnez le groupe de sécurité privé.
    ALL Traffic Sélectionnez le groupe de sécurité public.
    ICMP Sélectionnez le groupe de sécurité public.
    TCP 53 (DNS) Sélectionnez le groupe de sécurité public.
    UDP 53 (DNS) Sélectionnez le groupe de sécurité public.
    80 (HTTP) Sélectionnez le groupe de sécurité public.
    TCP 135 Sélectionnez le groupe de sécurité public.
    TCP 389 Sélectionnez le groupe de sécurité public.
    UDP 389 Sélectionnez le groupe de sécurité public.
    443 (HTTPS) Sélectionnez le groupe de sécurité public.
    TCP 1494 (ICA/HDX) Sélectionnez le groupe de sécurité public.
    TCP 2598 (Session Reliability) Sélectionnez le groupe de sécurité public.
    3389 (RDP) Sélectionnez le groupe de sécurité public.
    TCP 49152-65535 Sélectionnez le groupe de sécurité public.
  3. Lorsque vous avez terminé, cliquez sur Enregistrer.

  4. Cliquez sur l’onglet Outbound Rules et cliquez sur Edit pour créer les règles suivantes :

    Type Destination
    ALL Traffic Sélectionnez le groupe de sécurité privé.
    ALL Traffic 0.0.0.0/0
    ICMP 0.0.0.0/0
    UDP 53 (DNS) 0.0.0.0/0
  5. Lorsque vous avez terminé, cliquez sur Enregistrer.

Tâche 3 : Associer l’instance NAT au groupe de sécurité NAT

  1. À partir de la console de gestion AWS, cliquez sur EC2.
  2. Dans le tableau de bord EC2, cliquez sur Instances.
  3. Sélectionnez l’instance NAT, puis cliquez sur Actions > Networking > Change Security Groups.
  4. Décochez la case du groupe de sécurité par défaut.
  5. Sélectionnez le groupe de sécurité NAT que vous avez créé précédemment et cliquez sur Assign Security Groups.

Tâche 4 : Lancer des instances

Les étapes suivantes créent quatre instances EC2 et décryptent le mot de passe administrateur par défaut généré par Amazon.

  1. À partir de la console de gestion AWS, cliquez sur EC2.

  2. Dans le tableau de bord EC2, cliquez sur Launch Instance.

  3. Sélectionnez une image de machine Windows Server et un type d’instance.

  4. Sur la page Configure Instance Details, entrez un nom pour l’instance et sélectionnez le VPC configuré précédemment.

  5. Dans Subnet, effectuez les sélections suivantes pour chaque instance :

    • Bastion host : sélectionnez le sous-réseau public.
    • Domain controller and Connectors : sélectionnez le sous-réseau privé.
  6. Dans Auto-assign Public IP address, effectuez les sélections suivantes pour chaque instance :

    • Bastion host : sélectionnez Enable.
    • Domain controller and Connectors : sélectionnez Use default setting ou Disable.
  7. Dans Network Interfaces, entrez une adresse IP principale au sein de la plage d’adresses IP de votre sous-réseau privé pour le contrôleur de domaine et les instances de Cloud Connector.

  8. Sur la page Add Storage, modifiez la taille du disque, si nécessaire.

  9. Sur la page Tag Instance, entrez un nom convivial pour chaque instance.

  10. Sur la page Configure Security Groups, sélectionnez Select an existing security group puis effectuez les sélections suivantes pour chaque instance :

    • Bastion host : sélectionnez le groupe de sécurité public.
    • Domain controller and Cloud Connectors : sélectionnez le groupe de sécurité privé.
  11. Vérifiez vos sélections et cliquez sur Launch.

  12. Créez une nouvelle paire de clés ou sélectionnez-en une existante. Si vous créez une nouvelle paire de clés, téléchargez votre fichier de clé privée (.pem) et conservez-le dans un endroit sûr. Vous devrez fournir votre clé privée pour obtenir le mot de passe administrateur par défaut de l’instance.

  13. Cliquez sur Launch Instances. Cliquez sur View Instances pour afficher une liste de vos instances. Attendez que l’instance nouvellement lancée ait passé toutes les vérifications avant d’y accéder.

  14. Obtenez le mot de passe administrateur par défaut pour chaque instance :

    1. Dans la liste des instances, sélectionnez l’instance et cliquez sur Connect.
    2. Cliquez sur Get Password et fournissez votre fichier de clé privée (.pem) lorsque vous y êtes invité.
    3. Cliquez sur Decrypt Password. AWS affiche le mot de passe par défaut.
  15. Répétez les étapes 2-14 jusqu’à ce que vous ayez créé quatre instances : une instance d’hôte Bastion dans votre sous-réseau public et trois instances dans votre sous-réseau privé à utiliser en tant que contrôleur de domaine et deux Cloud Connector.

Tâche 5 : Créer une série d’options DHCP

  1. Dans le tableau de bord VPC, cliquez sur DHCP Options Sets.

  2. Entrez les informations suivantes :

    • Name tag : entrez un nom convivial pour la série.
    • Domain name : entrez le nom de domaine complet que vous allez utiliser lors de la configuration de l’instance du contrôleur de domaine.
    • Domain name servers : entrez l’adresse IP privée que vous avez attribuée à l’instance du contrôleur de domaine et la chaîne AmazonProvidedDNS, en les séparant par des virgules.
    • NTP servers : laissez ce champ vide.
    • NetBIOS name servers : entrez l’adresse IP privée de l’instance du contrôleur de domaine.
    • NetBIOS node type : entrez 2.
  3. Cliquez sur Yes, Create.

  4. Associez la nouvelle série à votre VPC :

    1. Dans le tableau de bord VPC, cliquez sur Your VPCs et sélectionnez le VPC configuré précédemment.
    2. Cliquez sur Actions > Edit DHCP Options Set.
    3. Lorsque vous y êtes invité, sélectionnez la nouvelle série que vous avez créée et cliquez sur Save.

Tâche 6 : Configurer les instances

  1. À l’aide d’un client RDP, connectez-vous à l’adresse IP publique de l’instance de l’hôte Bastion. Lorsque vous y êtes invité, entrez les informations d’identification du compte d’administrateur.

  2. À partir de l’instance de hôte Bastion, lancez la connexion au Bureau à distance et connectez-vous à l’adresse IP privée de l’instance que vous souhaitez configurer. Lorsque vous y êtes invité, entrez les informations d’identification d’administrateur de l’instance.

  3. Pour toutes les instances du sous-réseau privé, configurez les paramètres DNS :

    1. Cliquez sur Démarrer > Panneau de configuration > Réseau et Internet > Centre Réseau et partage > Modifier les paramètres de la carte. Cliquez deux fois sur la connexion réseau affichée.
    2. Cliquez sur Propriétés, sélectionnez Protocole Internet version 4 (TCP/IPv4), puis cliquez sur Propriétés.
    3. Cliquez sur Avancé, puis sur l’onglet DNS. Assurez-vous que les paramètres suivants sont activés et cliquez sur OK :

      • Enregistrer les adresses de cette connexion dans DNS
      • Utilisez le suffixe DNS de cette connexion dans l’enregistrement DNS :
  4. Pour configurer le contrôleur de domaine :

    1. À l’aide du Gestionnaire de serveur, ajoutez le rôle Services de domaine Active Directory avec toutes les fonctionnalités par défaut.
    2. Promouvez l’instance en contrôleur de domaine. Lors de la promotion, activez le DNS et utilisez le nom de domaine que vous avez spécifié lors de la création de la nouvelle série d’options DHCP. Redémarrez l’instance lorsque vous y êtes invité.
  5. Pour configurer le premier Cloud Connector :

    1. Joignez l’instance au domaine et redémarrez lorsque vous y êtes invité. À partir de l’instance de hôte Bastion, reconnectez-vous à l’instance à l’aide de RDP.
    2. Connectez-vous à Citrix Cloud. Sélectionnez Emplacements des ressources à partir du menu en haut à gauche.
    3. Téléchargez le Cloud Connector.
    4. Lorsque vous y êtes invité, exécutez le fichier cwcconnector.exe et entrez vos informations d’identification Citrix Cloud. Suivez les instructions de l’assistant.
    5. Lorsque vous avez terminé, cliquez sur Actualiser pour afficher la page Emplacements des ressources. Une fois le Cloud Connector enregistré, l’instance s’affiche sur la page.
  6. Répétez l’étape 5 pour configurer le deuxième Cloud Connector.

Créer une connexion

Lorsque vous créez une connexion à l’aide de Studio :

  • Vous devez fournir les valeurs de la clé API et de la clé secrète. Vous pouvez exporter le fichier de clé contenant ces valeurs à partir d’AWS, puis les importer. Vous devez également fournir la région, la zone de disponibilité, le nom du VPC, les adresses de sous-réseau, le nom du domaine, les noms de groupe de sécurité et les informations d’identification.
  • Le fichier d’informations d’identification pour le compte AWS de racine, (récupéré à partir de la console AWS) n’est pas au même format que les fichiers d’informations d’identification téléchargés pour les utilisateurs standard AWS. Par conséquent, la gestion de Citrix Virtual Apps and Desktops ne peut pas utiliser le fichier pour remplir les champs de clé API et de clé secrète. Vérifiez que vous utilisez les fichiers d’informations d’identification AWS IAM.

Plus d’informations