Architecture de référence : Citrix DaaS - Architecture GCP avec le service géré pour Microsoft Active Directory pour les fournisseurs de services de communication

Introduction

L’objectif de ce document est de fournir des conseils de conception et d’architecture aux fournisseurs de services Citrix (CSP) qui souhaitent utiliser Google Cloud Platform (GCP) comme emplacement de ressources Citrix DaaS avec le service géré pour Microsoft Active Directory.

Ce document n’a pas pour but de fournir des conseils étape par étape sur la façon de déployer Citrix DaaS pour les CSP. Il suppose une compréhension de l’ architecture de référence CSP Virtual Apps and Desktops, qui fournit des considérations de conception et de déploiement approfondies pour un environnement Citrix DaaS pour les CSP.

Pour obtenir des conseils détaillés sur Citrix DaaS sur GCP, consultez le Centre de solutions pour Citrix DaaS sur Google Cloud.

Nous commençons ce document en examinant les éléments les plus courants des BCP que vous devez comprendre pour utiliser confortablement ce document. Google a créé ses propres façons de nommer et d’organiser les composants dans GCP. Il est donc essentiel de les comprendre pour une conception et un déploiement réussis.

Ensuite, nous examinons les détails du service AD géré, ses similitudes et différences avec le Microsoft Active Directory traditionnel, ainsi que les modèles de déploiement que vous pouvez utiliser en tant que fournisseur de services de sécurité pour provisionner vos emplacements de ressources gérées GCP.

Enfin, nous couvrons les étapes requises pour déployer un domaine Managed AD Service dans GCP.

Terminologie

Bien que plusieurs services offrent une fonctionnalité similaire entre les différents fournisseurs de cloud public, la terminologie peut être différente. Voici les éléments GCP les plus courants que vous devez comprendre lorsque vous suivez cette architecture de référence, comme décrit dans la documentation GCP.

  • Réseau VPC : objet réseau virtuel de GCP. Les réseaux Virtual Private Cloud (VPC) dans GCP sont globaux, ce qui signifie que vous pouvez déployer des sous-réseaux sur un VPC à partir de chaque région GCP. Vous pouvez déployer des VPC en mode automatique, qui crée automatiquement tous les sous-réseaux et plages CIDR, ou en mode personnalisé, ce qui vous permet de créer manuellement des sous-réseaux et des plages CIDR. Les VPC qui ne se chevauchent pas de différents projets peuvent être connectés via l’appairage de VPC.
  • Peering VPC : Un appairage VPC vous permet de connecter des VPC qui seraient autrement déconnectés. Dans ce cas, le service AD géré par GCP crée automatiquement un appairage VPC pour connecter notre VPC au VPC Managed AD Service.
  • VPC partagé : un VPC partagé peut être réparti sur plusieurs projets, ce qui élimine la nécessité de créer des VPC distincts pour chaque projet, ou l’utilisation de l’appairage de VPC.
  • Organisation GCP : Une organisation représente le nœud racine dans la hiérarchie des ressources GCP. Pour créer une organisation, GCP Cloud Identity ou Google Workspace (anciennement G-Suite) sont requis. Une organisation n’est pas requise, mais il est fortement recommandé d’en déployer une pour vos environnements de production afin de mieux organiser et gérer vos ressources.
  • Dossiers : Un dossier est utilisé pour organiser les ressources au sein de GCP, et ils peuvent contenir plus de dossiers ou de projets. Par exemple, vous pouvez créer des dossiers pour séparer les projets par service, type d’environnement ou tout autre critère. Un dossier n’est pas toujours requis, mais comme pour les organisations, ils sont recommandés pour une meilleure organisation des ressources.
  • Projet : Un projet fournit un regroupement abstrait de ressources au sein de GCP, et toutes les ressources de GCP doivent appartenir à un projet. Dans des circonstances normales, les instances de machine virtuelle d’un projet ne peuvent pas communiquer avec les instances de machine virtuelle dans un autre projet, à moins qu’un appairage de VPC ou un VPC partagé ne soient utilisés.
  • Compte de facturation : Un compte de facturation représente le profil de paiement à utiliser pour payer la consommation GCP. Un compte de facturation peut être lié à plusieurs projets, mais un projet ne peut être lié qu’à un seul compte de facturation.
  • IAM : La plateforme de gestion des identités et des accès de GCP est utilisée pour accorder aux utilisateurs des autorisations leur permettant d’effectuer des actions sur les ressources GCP. Cette plate-forme est également utilisée pour déployer et gérer des comptes de service.
  • Compte de service : Un compte de service est un compte GCP qui n’est pas connecté à un utilisateur réel, mais qui représente une instance de machine virtuelle ou une application. Les comptes de service peuvent se voir accorder des autorisations pour effectuer différentes actions sur les différentes API GCP. Un compte de service est requis pour connecter Citrix DaaS à GCP et activer Machine Creation Services.
  • GCE : Google Compute Engine est la plate-forme GCP dans laquelle vous déployez des ressources de calcul, y compris les instances de machine virtuelle, les disques, les modèles d’instance, les groupes d’instances, etc.
  • Instance GCE : Une instance GCE est toute machine virtuelle déployée sur la plate-forme GCE. Cloud Connector, les images dorées, la machine virtuelle de gestion AD et toute autre machine virtuelle de l’environnement sont considérés comme des instances GCE.
  • Modèle d’instance : ressource « de référence » que vous pouvez utiliser pour déployer des machines virtuelles et des groupes d’instances dans GCP. Le processus Citrix MCS copie l’image dorée dans un modèle d’instance, qui est ensuite utilisé pour déployer des machines de catalogue.
  • Cloud DNS : Service GCP utilisé pour gérer les zones et enregistrements DNS. Avec la création du service AD géré, Cloud DNS est automatiquement configuré pour transférer les requêtes DNS aux contrôleurs de domaine gérés.

Service AD géré sur GCP

Le service géré de GCP pour Microsoft Active Directory est un service Active Directory entièrement géré sur Google Cloud Platform. Ce service vous fournit une forêt/domaine Active Directory entièrement fonctionnelle sans avoir à créer et à entretenir des instances de machine virtuelle Windows Server.

Le service AD géré est basé sur une infrastructure gérée par Google hautement disponible et fourni sous la forme d’un service géré. Chaque répertoire est déployé sur plusieurs zones GCP et la surveillance détecte et remplace automatiquement les contrôleurs de domaine qui échouent. Vous n’avez pas besoin d’installer le logiciel, et Google gère tous les correctifs et les mises à jour logicielles.

Le service AD géré déploie et gère automatiquement des contrôleurs de domaine Active Directory hautement disponibles sur un projet GCP isolé et un réseau VPC. Un appairage de VPC est déployé automatiquement avec le service pour que vos charges de travail dépendantes de la AD atteignent Active Directory. En outre, Google Cloud DNS est automatiquement configuré pour transférer toutes les requêtes DNS vers le service AD géré.

Considérations relatives au service AD géré

Bien qu’il existe de nombreuses similitudes entre un environnement Microsoft Active Directory traditionnel et le service Managed AD dans GCP, certaines considérations doivent être prises en compte lors du déploiement du service Managed AD de GCP.

  1. L’accès au contrôleur de domaine est restreint et vous ne pouvez gérer votre domaine qu’en déployant des instances de gestion et en installant les outils d’administration de serveur distant.
  2. Un VPC partagé doit être déployé avant d’ajouter de nouveaux clients/projets à l’emplacement de ressources partagées GCP. Les projets doivent appartenir à un VPC partagé pour pouvoir atteindre le domaine AD géré. Les ressources déployées sur un projet avec un VPC qui est appairé à un VPC partagé ne peuvent pas atteindre le domaine Managed AD Service. Pour plus de détails, consultez la page des exigences d’appairage de VPC GCP et le guide PoC de prise en charge du VPC partagé de Google Cloud Platform (GCP) avec la zone technologique Citrix DaaS .
  3. Les autorisations de compte Administrateur de domaine/Administrateur d’entreprise ne sont pas disponibles, ces comptes sont uniquement utilisés par GCP pour gérer le domaine pour vous.
  4. Les objets AD ne peuvent pas être créés dans aucun des conteneurs par défaut (tels que /Ordinateurs), ils sont en lecture seule. Cette limitation soulève une erreur courante lors de l’utilisation de la technologie de provisioning MCS de Citrix, vous devez créer les comptes de machine pour vos VDA gérés MCS dans un conteneur/unité d’organisation qui est accessible en écriture. Si vous ne choisissez pas un tel emplacement, MCS ne peut pas créer les comptes de machine.
  5. Certaines fonctionnalités intégrées AD telles que les services de certificats ne peuvent pas être installées. En tant que telle, cette limitation affecte les fournisseurs de services fournisseurs qui doivent utiliser la technologie FAS (Federated Authentication Services) de Citrix (qui nécessite des services de certificats intégrés AD). Ces clients doivent créer et gérer leur propre Active Directory sur Google Cloud à l’aide d’instances de machine virtuelle Windows Server.
  6. Deux unités organisationnelles principales sont créées par le service. L’unité d’organisation « Cloud », qui héberge toutes vos ressources AD gérées. Vous avez le plein contrôle de cette unité d’organisation et de ses enfants. Et l’unité d’organisation « Cloud Services Object », qui est utilisée par GCP pour gérer le domaine. Les ressources et l’unité d’organisation elle-même sont en lecture seule, sauf que certains attributs sont accessibles en écriture.
  7. Le service crée automatiquement plusieurs groupes d’utilisateurs AD afin de permettre différentes fonctions administratives AD. Vous pouvez gérer l’appartenance à ces groupes d’utilisateurs.
  8. Un compte est créé lors de la création du service avec le nom par défaut « setupadmin ». Ce compte est utilisé pour gérer le domaine. Consultez cette page pour obtenir la liste complète des autorisations pour le compte « setupadmin » .
  9. Les approbations peuvent être configurées en tant qu’approbations sortantes unidirectionnelles vers un environnement Active Directory local. Avec cette configuration, le domaine Managed AD Service est le domaine « approbation » hébergeant les comptes d’ordinateur, et le domaine local est le domaine « approuvé » hébergeant les comptes d’utilisateur. Ce modèle est couramment utilisé avec le déploiement de la forêt de ressources, qui est expliqué dans la section suivante.

Considérations relatives à la conception de forêt de service AD

Dans le contexte d’un fournisseur de services Citrix, le service AD géré peut être déployé sous deux modèles de conception de forêt Active Directory différents.

La première façon la plus simple de déployer le service AD géré consiste à utiliser le modèle de conception de forêt organisationnelle. Dans ce modèle, le service AD géré par GCP héberge à la fois les comptes d’utilisateur et les ressources (comptes d’ordinateur), ainsi que tous les comptes d’administration.

Dans des circonstances normales, une forêt d’organisation permet de configurer une approbation pour établir une relation avec une autre forêt organisationnelle. Cependant, gardez à l’esprit que le service AD géré par GCP prend uniquement en charge les approbations sortantes unidirectionnelles.

CSP-Image-001

Le deuxième type de modèle de conception forestière est la forêt de ressources. Dans ce modèle, une approbation sortante unidirectionnelle est configurée pour établir une relation avec un environnement Active Directory local.

Comme expliqué précédemment, dans ce modèle de déploiement, le service AD géré est la forêt « Approbation » hébergeant les ressources, et l’AD local est la forêt « approuvée » dans laquelle résident les identités des utilisateurs. En d’autres termes, le domaine Managed AD Service permet aux utilisateurs du domaine local d’accéder à ses ressources.

REMARQUE
Gardez à l’esprit les détails techniques de Citrix Cloud Connector lors de la conception de vos modèles de forêt Active Directory. Cloud Connector ne peut pas parcourir les approbations de forêt, les comptes d’utilisateur d’un Active Directory local ne sont pas visibles dans Citrix Cloud, sauf si un ensemble de Cloud Connector est déployé dans cette forêt.

CSP-Image-002

Architecture

Nous comprenons que tous les CSP ne sont pas au même stade dans leur parcours d’adoption du cloud. Pour une explication détaillée des différents modèles de conception pour Citrix sur GCP, consultez cette section de l’architecture de référence Citrix Virtualization on Google Cloud.

Nous supposons également une compréhension complète des fonctionnalités de mutualisation et de gestion des clients de Citrix Cloud disponibles pour les CSP. Ces fonctionnalités sont traitées en détail dans l’ architecture de référence des Virtual Apps and Desktops CSP.

Modèle de conception du service géré pour Microsoft Active Directory pour les fournisseurs de services

Le modèle de conception du service géré pour Microsoft Active Directory pour CSP se concentre sur la combinaison des différents modèles d’architecture disponibles pour les CSP utilisant des emplacements de ressources gérées par GCP, tout en utilisant le service AD géré.

Les partenaires qui déploient leurs offres DaaS gérés avec Citrix Cloud peuvent utiliser les fonctionnalités exclusives de gestion des clients et de multilocataires disponibles pour les fournisseurs de services de services de confiance. Ces fonctionnalités de multilocation permettent aux fournisseurs de services de stockage de déployer plusieurs clients sur un plan de contrôle/locataire Citrix Cloud partagé, ou de leur fournir leur plan de contrôle/locataire dédié.

Citrix Cloud peut être déployé avec des emplacements de ressources partagés ou dédiés sur GCP. Différentes mesures peuvent aider un fournisseur de services de sécurité à déterminer quel modèle correspond le mieux aux exigences spécifiques de chaque client, et elles peuvent être basées sur la taille du client final, les exigences de sécurité et de conformité, les économies de coûts, etc.

CSP-Image-003

Bien qu’il s’agit d’un composant facultatif, les organisations GCP (1) peuvent être utilisées pour gérer la hiérarchie des différents projets et dossiers sur l’abonnement GCP des CSP. Notez également que l’abonnement GCP et les ressources utilisées pour un client final spécifique peuvent potentiellement appartenir au client final et non au CSP.

Un réseau VPC partagé (2) est déployé sur un emplacement de ressources où plusieurs clients partagent des composants tels que le domaine Managed AD Service, les images dorées et Citrix Cloud Connector. D’autres clients peuvent être hébergés sur des VPC dédiés et des emplacements de ressources (3) sous la même organisation GCP. Ces clients disposent de leur propre domaine Managed AD Service, d’images dorées et de Citrix Cloud Connector.

Le service AD géré peut être déployé sur l’emplacement de ressources partagées (4) ou dans un emplacement de ressources dédié (5). Ce processus crée un projet (auquel il est impossible d’accéder) et un appairage réseau de votre VPC vers le VPC hébergeant le service AD géré.

Comme expliqué précédemment, chaque fois que vous déployez de nouveaux clients/projets sur l’emplacement de ressources partagées, ils doivent appartenir au VPC partagé pour pouvoir atteindre le domaine Managed AD Service. Les ressources déployées sur un projet avec un VPC qui est appairé à votre VPC partagé ne peuvent pas atteindre le domaine Managed AD Service. Cette limitation est liée au fait que les VPC ne sont pas transitifs. Le domaine Service AD géré sur l’emplacement des ressources partagées est différent de celui des emplacements de ressources dédiés.

Un projet GCP distinct est recommandé pour héberger les ressources de chaque client (VDA) sur un emplacement de ressources partagé (6). Cette considération facilite la gestion des ressources et l’application d’autorisations IAM pour les administrateurs chargés de prendre en charge les différents environnements.

En outre, selon les pratiques de référence, le projet hôte VPC partagé n’hébergera aucune ressource (7). Ce projet est uniquement utilisé pour déployer le VPC partagé et le domaine Managed AD Service.

REMARQUE
Alors que le domaine Managed AD Service est déployé à partir du projet hôte, les ressources réelles (contrôleurs de domaine et réseau VPC) appartiennent à un projet géré par Google. Vous n’avez pas accès à ce projet.

Un locataire Citrix Cloud partagé (8) est provisionné pour déployer et gérer les ressources de plusieurs clients. Ces clients partagent les composants Citrix Virtual Apps and Desktop Service (tels que Delivery Controller, Bases de données, Director, Studio, Licensing et API).

Une expérience Citrix Workspace dédiée (9) est déployée pour chaque client. L’expérience de l’espace de travail dédiée permet aux CSP de marquer la page de connexion et de personnaliser l’URL d’accès pour chaque client. Chaque client utilise le service Citrix Gateway pour l’authentification et les connexions HDX à ses ressources.

Un locataire Citrix Cloud dédié (10) peut être approvisionné pour les clients les plus importants et les plus complexes. Cet environnement dédié fournit un service Citrix Virtual Apps and Desktop isolé, ainsi que tous ses composants, et une expérience Citrix Workspace dédiée. Il n’y a pas de coûts supplémentaires de licence Citrix pour déployer un locataire Citrix Cloud dédié

Déploiement du service géré pour Microsoft Active Directory

Dans cette section, nous couvrons les étapes requises pour déployer le domaine Managed AD Service. Cette section suppose qu’un abonnement GCP est disponible et que des ressources telles que des projets, des réseaux de VPC, des configurations de pare-feu et d’autres composants GCP ont déjà été déployées.

1- Dans le menu de navigation, accédez à IDENTITY & SECURITY > Identité > Administré Microsoft AD.

CSP-Image-004

2- Dans l’écran Service géré pour Microsoft Active Directory, cliquez sur CRÉER UN NOUVEAU DOMAINE.

CSP-Image-005

NOTES 
  • Les contrôleurs de domaine gérés sont déployés avec les rôles ADDS et DNS.
  • Les machines virtuelles de gestion doivent être créées séparément.

3- Dans l’écran Créer un nouveau domaine, entrez les informations suivantes :

  • Nom dedomaine complet : nomde domaine complet, par exemple, customer.com
  • NetBIOS : il est automatiquement renseigné
  • Sélectionnez lesréseaux : réseaux qui auront accès au service,
  • Plage CIDR : une plage CIDR /24 pour le VPC où les contrôleurs de domaine sont déployés

CSP-Image-006

NOTES 
  • Le VPC déployé dans le cadre du service ne peut pas être géré à partir de la console GCP.
  • La plage CIDR ne doit pas se chevaucher avec vos sous-réseaux actuels.

4- Faites défiler vers le bas et entrez les informations suivantes :

  • Région : Régions GCP dans lesquelles déployer le domaine de service AD géré
  • Administrateur délégué : nom du compte administrateur délégué
  • Cliquez sur CRÉER UN DOMAINE.

CSP-Image-007

NOTES 
  • Le compte d’administrateur délégué réside dans le conteneur Utilisateurs. Bien que vous puissiez réinitialiser son mot de passe directement dans la console ADUC, vous ne pouvez pas déplacer l’objet vers une autre unité d’organisation.
  • Lors de la connexion d’un ordinateur au domaine, son compte AD est créé sous l’unité d’organisation Cloud > Ordinateurs, et non dans le conteneur Ordinateurs par défaut.
  • La création de service peut prendre jusqu’à 60 minutes.

5- Une fois la création finalisée, sélectionnez votre domaine et cliquez sur SET PASSWORD.

CSP-Image-008

6- Dans la fenêtre Définir le mot de passe, cliquez sur CONFIRMER.

CSP-Image-009

7- Dans la fenêtre Nouveau mot de passe, copiez le mot de passe et cliquez sur OK.

CSP-Image-010

Une fois le service créé et prêt à l’emploi, vous pouvez commencer à déployer d’autres instances et les joindre au domaine. Vous pouvez également terminer la configuration de votre site Citrix DaaS.

Architecture de référence : Citrix DaaS - Architecture GCP avec le service géré pour Microsoft Active Directory pour les fournisseurs de services de communication