Architecture de référence : Citrix DaaS - Azure

Introduction

Ce guide explique l’architecture et le modèle de déploiement de Citrix DaaS sur Microsoft Azure.

La combinaison de Citrix Cloud et de Microsoft Azure permet de lancer de nouvelles ressources virtuelles Citrix avec plus d’agilité et d’élasticité, en ajustant l’utilisation en fonction de l’évolution des besoins. Les machines virtuelles sur Azure prennent en charge tous les composants de contrôle et de charge de travail requis pour un déploiement Citrix DaaS. Citrix Cloud et Microsoft Azure ont des intégrations communes de plans de contrôle qui établissent l’identité, la gouvernance et la sécurité pour les opérations globales.

Ce document fournit également des conseils sur les conditions préalables, les considérations relatives à la conception de l’architecture et les conseils de déploiement pour les environnements clients. Le document met en évidence les décisions de conception et les considérations de déploiement selon les cinq principes architecturaux clés suivants :

  • Opérations - Les opérations couvrent une grande variété de sujets tels que la gestion des images, la surveillance des services, la continuité des activités, le support, etc. Divers outils sont disponibles pour faciliter l’automatisation des opérations, notamment Azure PowerShell, Azure CLI, les modèles ARM et l’API Azure.

  • Identité - L’une des pierres angulaires de l’ensemble d’Azure est l’identité d’une personne et son accès basé sur les rôles (RBAC). L’identité Azure est gérée via Azure Active Directory (Azure AD) et les services de domaine Azure AD. Le client doit décider de la voie à suivre pour l’intégration de son identité.

  • Gouvernance - La clé de la gouvernance consiste à établir les stratégies, les processus et les procédures associés à la planification, à l’architecture, à l’acquisition, au déploiement et à la gestion opérationnelle des ressources Azure.

  • Sécurité  : Azure propose un large éventail d’options de sécurité configurables et la possibilité de les contrôler afin que les clients puissent personnaliser la sécurité afin de répondre aux exigences uniques des déploiements de leur organisation. Cette section vous aide à comprendre comment les fonctionnalités de sécurité Azure peuvent vous aider à répondre à ces exigences.

  • Connectivité  : la connexion des réseaux virtuels Azure au réseau local/cloud du client est appelée réseau hybride. Cette section explique les options de connectivité réseau et de routage des services réseau.

Planification

Les trois scénarios les plus courants pour la mise à disposition de Citrix Apps and Desktops via Azure sont les suivants :

  • Déploiement Greenfield avec Citrix Cloud fournissant des emplacements de ressources dans Azure. Ce scénario est fourni via Citrix DaaS et utilisé lorsque les clients préfèrent opter pour un modèle d’abonnement et externaliser l’infrastructure du plan de contrôle à Citrix.
  • Extension d’un déploiement local dans Azure. Dans ce scénario, le client dispose d’une couche de contrôle locale actuelle et souhaite ajouter Azure en tant qu’emplacement de ressources Citrix pour de nouveaux déploiements ou migrations.
  • Soulevez et déplacez. Avec ce scénario, les clients déploient leur infrastructure Citrix Management dans Azure et traitent Azure comme un site, à l’aide de Citrix ADC et StoreFront pour agréger les ressources de plusieurs sites.

Ce document se concentre sur le modèle de déploiement Citrix Cloud. Les clients peuvent planifier et adopter ces services en fonction des besoins de leur organisation :

Citrix DaaS

Citrix DaaS simplifie la mise à disposition et la gestion des technologies Citrix, aidant les clients à étendre les déploiements de logiciels sur site existants ou à passer à 100 % au cloud. Offrez un accès sécurisé aux applications Windows, Linux et Web ainsi qu’aux postes de travail virtuels Windows et Linux. Gérez les applications et les postes de travail de manière centralisée sur plusieurs sites de ressources tout en conservant une excellente expérience utilisateur final.

Architecture de référence conceptuelle

Cette architecture conceptuelle fournit des directives communes pour le déploiement d’un emplacement de ressource Citrix Cloud dans Azure, qui seront traitées dans les sections suivantes.

Azure-RA-Image-1

Diagram-1 : Architecture de référence conceptuelle Citrix Cloud

Reportez-vous au guide de conception sur l’évolutivité et la rentabilité de la mise à disposition de Citrix DaaS sur Microsoft Azure

Opérations

Dans le domaine des opérations, ce guide approfondit la planification des exigences de l’environnement de l’espace de travail et de la hiérarchie des services fondamentaux. Au niveau supérieur se trouvent les considérations relatives à l’abonnement, au groupe de ressources et à la conception régionale. Suivi de questions courantes sur le stockage des machines virtuelles, le stockage des profils utilisateur et la gestion/le provisionnement des images principales. Des conseils sur l’optimisation des instances réservées avec Autoscale et la planification de la continuité d’activité/reprise après sinistre sont également fournis.

Conventions de dénomination

La dénomination des ressources dans Microsoft Azure est importante pour les raisons suivantes :

  • La plupart des ressources ne peuvent pas être renommées une
  • Les types de ressources spécifiques ont des exigences de dénomination différentes
  • Des conventions de dénomination cohérentes facilitent la localisation des ressources et peuvent indiquer le rôle d’une ressource

La clé du succès des conventions de dénomination est de les établir et de les suivre dans l’ensemble de vos applications et organisations.

Lorsque vous nommez des abonnements Azure, les noms détaillés permettent de comprendre clairement le contexte et l’objectif de chaque abonnement. Le respect d’une convention de dénomination peut améliorer la clarté lorsque vous travaillez dans un environnement comportant de nombreux abonnements.

Voici un modèle recommandé pour nommer les abonnements :

Variable Exemple Description
[Système] CTX (Citrix), CORE (Azure) Identificateur de trois lettres pour le produit, l’application ou le service pris en charge par la ressource.
[Rôle] XAW (Workers XenApp), VDA (Virtual Delivery Agent), CC (Cloud Connector), CVA (Citrix Virtual Apps) Identificateur de trois lettres pour un sous-système du service.
[Environnement] D, T, P (dev, test ou prod) Identifie l’environnement de la ressource
## 01, 02 Pour les ressources qui ont plusieurs instances nommées (serveurs Web, etc.).
[Emplacement] WU (États-Unis de l’Ouest), UE (États-Unis de l’Est), SCU (Centre-Sud des États-Unis) Identifie la région Azure dans laquelle la ressource est déployée

Lorsque vous nommez des ressources dans Azure, utilisez des préfixes ou des suffixes communs pour identifier le type et le contexte de la ressource. Alors que toutes les informations sur le type, les métadonnées et le contexte sont disponibles par programme, l’application d’affixes communs simplifie l’identification visuelle. Lorsque vous intégrez des affixes dans votre convention de dénomination, il est important de préciser clairement si l’affixe se trouve au début du nom (préfixe) ou à la fin (suffixe).

Un schéma d’affectation de noms bien défini identifie le système, le rôle, l’environnement, le nombre d’instances et l’emplacement d’une ressource Azure. L’attribution de noms peut être appliquée à l’aide d’une stratégie Azure.

Service Étendue Modèle suggéré Exemple
Abonnements Global [System][Environment]##[Location]-sub WSCD01scu-sub
Groupes de ressources Global [System]-[Role]-[Environment]##-[Location]-rg CTX-Apps-P01-CUS-rg
Réseau virtuel Groupe de ressources [System][Environment]##[Location]-vnet CTXP01cus-vnet
Sous-réseau Réseau virtuel parent [Descriptive Context] DMZ - 10.0.1.0/24 Infrastructure - 10.0.2.0/24
Compte de stockage Groupe de ressources [System][Role][Environment]##[Location] Remarque : doit être alphanumérique en minuscules ctxinfd01scu
Container Compte de stockage [Descriptive Context] vhds
Machine virtuelle Groupe de ressources [System][Role][Environment]##[Location] Remarque : Doit contenir 15 caractères ou moins. CTXSTFD01scu
Interface réseau Groupe de ressources [vmname]-nic# CTXSTFD01scu-nic1
IP publiques Groupe de ressources [vmname]-pip CTXSTFD01scu-pip
Passerelle réseau virtuelle Réseau virtuel [System][Environment]##[Location]-vng WSCD01scu-vng
Passerelle réseau locale Groupe de ressources [System][Environment]##[Location]-lng WSCD01scu-lng
Ensembles de disponibilité Groupe de ressources [System][Role]-as CTXSTF-as
Équilibreur de Groupe de ressources [System][Role]-lb CTXNSG-lb
Espaces de travail Abonnement [System][Environment]-analytics CTXP-analytics
Balises Ressource [Descriptive Context] Finance
Clés Vault Abonnement [System][Environment]-vault CTXP-vault

Abonnements

La sélection d’un modèle d’abonnement est une décision complexe qui implique de comprendre la croissance de la présence Azure du client au sein et en dehors du déploiement de Citrix. Même si le déploiement Citrix est petit, le client peut toujours disposer d’une grande quantité d’autres ressources qui sont en lecture/écriture fortement par rapport à l’API Azure, ce qui peut avoir un impact négatif sur l’environnement Citrix. L’inverse est également vrai, où de nombreuses ressources Citrix peuvent consommer un nombre excessif d’appels d’API disponibles, ce qui réduit la disponibilité des autres ressources au sein de l’abonnement.

Modèle d’espace de travail à abonnement

Dans un modèle d’abonnement unique, toutes les infrastructures principales et Citrix sont situées dans le même abonnement. Il s’agit de la configuration recommandée pour les déploiements nécessitant jusqu’à 2 500 VDA Citrix (il peut s’agir d’une session, d’un VDI groupé ou d’un VDI persistant). Les limites sont susceptibles d’être modifiées. Consultez les points suivants pour connaître les limites de VDA les plus récentes. Consultez le blog suivant pour connaître les dernières échelles de démarrage/arrêt dans le cadre d’un seul abonnement,

Schéma 2 : modèle d’espace de travail Azure Single Subscription Azure-RA-Image-2

Modèle d’espace de travail multi-abonnement

Dans ce modèle, l’infrastructure de base et l’infrastructure Citrix font l’objet d’abonnements distincts pour gérer l’évolutivité des déploiements à grande échelle. Les déploiements d’entreprise dotés de conceptions d’infrastructure multirégionales sont souvent divisés en plusieurs abonnements afin d’éviter d’atteindre les limites d’abonnement Azure.

Azure-RA-Image-3

Diagram-3 : Modèle d’espace de travail Azure Multi-Abonnement

Les questions suivantes fournissent des conseils pour aider les clients à comprendre les options d’abonnement Azure et à planifier leurs ressources.

Composant Exigences
L’abonnement Azure contient-il uniquement des ressources Citrix ? Déterminez si l’abonnement Azure sera utilisé pour les ressources Citrix dédiées ou si les ressources Citrix seront partagées avec d’autres systèmes.
Déploiement d’un abonnement unique ou multiple ? En règle générale, les déploiements d’abonnements multiples sont destinés à des déploiements plus importants où les limites d’un seul abonnement posent problème et où des contrôles de sécurité plus granulaires sont nécessaires.
Quelles limites Azure sont susceptibles d’être atteintes ? Combien de ressources se trouvent dans un groupe de ressources ? Les groupes de ressources ont des limites et Machine Creation Services (MCS) nécessite 2 ou 3 disques par ressource de machine virtuelle. Vérifiez les limites d’abonnement Azure lors de la planification de la solution.
Quelles sont les autorisations nécessaires pour appliquer le principe du service Citrix Virtual Apps and Desktops dans le cadre de l’abonnement Azure ? Citrix DaaS nécessite la création de groupes de ressources et de ressources au sein de l’abonnement. Par exemple, lorsque le principe de service ne peut pas bénéficier d’un accès complet à un abonnement, il doit bénéficier d’un accès Contributeur à un groupe de ressources pré-créé.
Les environnements de développement et de test seront-ils créés dans des abonnements distincts de ceux de la production ? L’isolation des abonnements de développement et de test de la production permet d’appliquer et de modifier les services Azure globaux dans un environnement isolé et de cloisonner l’utilisation des ressources. Cette pratique présente des avantages pour la sécurité, la conformité et les performances des abonnements. La création d’abonnements distincts pour ces environnements complique la gestion des images. Tenez compte de ces compromis en fonction des besoins du client.

Régions Azure

Une région Azure est un ensemble de centres de données déployés dans un périmètre défini par la latence et connectés via un réseau régional dédié à faible latence. Azure offre aux clients la flexibilité nécessaire pour déployer des applications là où ils en ont besoin. Azure est généralement disponible dans 59 régions du monde, et des plans ont été annoncés pour 19 autres régions à la fin de 2022.

Une géographie est un marché discret, qui contient généralement deux régions Azure ou plus, qui préservent les limites de résidence des données et de conformité. Les géographies permettent aux clients ayant des besoins spécifiques en matière de résidence de données et de conformité de garder leurs données et leurs applications proches.

Les zones de disponibilité sont des emplacements physiquement distincts au sein d’une région Azure. Chaque zone de disponibilité est composée d’un ou de plusieurs centres de données équipés d’une alimentation, d’un refroidissement et d’une mise en réseau indépendants. Les zones de disponibilité permettent aux clients d’exécuter des applications stratégiques avec une haute disponibilité et une réplication à faible latence. Pour garantir la résilience, il existe au moins trois zones distinctes dans toutes les régions activées.

Tenez compte de ces facteurs lorsque vous choisissez votre région.

Composant Exigences
Conformité et résidence des données Les clients ont-ils des exigences spécifiques en matière de conformité ou de résidence de données ? Microsoft peut copier les données client entre les régions d’une zone géographique donnée à des fins de redondance des données ou d’autres fins opérationnelles. Par exemple, Azure Globally Redundant Storage (GRS) réplique les données Blob et Table entre deux régions au sein d’une même zone géographique pour une durabilité accrue des données en cas de sinistre majeur du datacenter. Certains services Azure ne permettent pas au client de spécifier la région où le service sera déployé. Ces services peuvent stocker des données clients dans n’importe quel centre de données Microsoft, sauf indication contraire. Consultez le site Web cartographique Azure Regions pour les dernières mises à jour.
Disponibilité du service Examiner la disponibilité des services dans les régions provisoires. La disponibilité des services par région aide le client à déterminer quels services sont disponibles dans une région. Bien qu’un service Azure puisse être pris en charge dans une région donnée, toutes les fonctionnalités du Service ne sont pas disponibles dans les clouds souverains, tels que Azure Government, l’Allemagne et la Chine.
Déterminez les régions Azure cibles pour le déploiement Citrix. Vérifiez la proximité de la région Azure par rapport aux utilisateurs et aux centres de données clients.
Est-ce que plusieurs régions Azure sont nécessaires ? Plusieurs régions Azure sont généralement prises en compte pour les raisons générales suivantes : - la proximité des données d’application ou des utilisateurs finaux - la redondance géographique pour la continuité des activités et la reprise après sinistre - la disponibilité des fonctionnalités ou des services Azure

Ensembles de disponibilité

Un ensemble de disponibilité est une fonctionnalité de regroupement logique qui peut être utilisée dans Azure pour garantir que les ressources VM placées dans un ensemble de disponibilité sont isolées les unes des autres lorsqu’elles sont déployées dans un centre de données Azure. Azure garantit que les machines virtuelles placées dans un ensemble de disponibilité s’exécutent sur plusieurs serveurs physiques, racks de calcul, unités de stockage et commutateurs réseau. En cas de défaillance matérielle ou logicielle Azure, seul un sous-ensemble de vos machines virtuelles est touché, et l’application globale reste active et reste disponible pour les clients. Les ensembles de disponibilité constituent une fonctionnalité essentielle lorsque les clients souhaitent créer des solutions cloud fiables.

Chaque composant d’un déploiement Citrix possède son propre ensemble de disponibilité afin de maximiser la disponibilité globale de Citrix. Par exemple, les Cloud Connector utilisent un ensemble de disponibilité distinct, un autre pour les Citrix Application Delivery Controller (ADC), StoreFront, etc.

Une fois les ensembles de disponibilité optimisés, l’étape suivante consiste à renforcer la résilience autour des temps d’arrêt des machines virtuelles au sein des ensembles de disponibilité. Cela réduit/élimine les temps d’arrêt de service lorsque les machines virtuelles sont redémarrées ou redéployées par Microsoft. Cela peut également être étendu aux événements de maintenance planifiés. Vous pouvez utiliser deux fonctionnalités qui peuvent améliorer la fiabilité de l’ensemble du service.

Ces deux fonctionnalités ne protègent pas contre les maintenances/pannes imprévues.

  • Maintenance planifiée Azure
  • Événements planifiés Azure

Maintenance planifiée Azure

Azure effectue régulièrement des mises à jour pour améliorer la fiabilité, les performances et la sécurité de l’infrastructure hôte dans Azure. Si la maintenance nécessite un redémarrage, Microsoft envoie un avis. Grâce à Azure Planned Maintenance, il est possible de capturer ces notifications et de prendre des mesures proactives en fonction du calendrier du client, plutôt que du calendrier de Microsoft.

Utilisez la fonction de maintenance planifiée en envoyant des notifications par e-mail au propriétaire du service de chaque niveau (pour une intervention manuelle) et créez des runbooks pour automatiser la protection du service.

Événements planifiés Azure

Azure Scheduled Events est un service de métadonnées Azure qui envoie des notifications par programme aux applications pour les avertir d’une maintenance immédiate. Il fournit des informations sur les événements de maintenance à venir (par exemple le redémarrage) afin que l’administrateur de l’application puisse se préparer et limiter les interruptions. Bien que cela puisse sembler être une maintenance planifiée, ce n’est pas le cas. La principale différence est que ces événements sont déclenchés pour la maintenance planifiée et parfois pour la maintenance non planifiée. Par exemple, si Azure effectue des activités de réparation de l’hôte et doit déplacer des machines virtuelles dans de brefs délais.

Ces événements sont consommés par programmation et donneront le préavis suivant :

  • Congeler â 15 minutes
  • Redémarrer â 15 minutes
  • Redéploiement â 10 minutes

Reprise après sinistre (DR)

Azure peut fournir une solution de reprise après sinistre très rentable aux clients Citrix qui souhaitent tirer une valeur immédiate de l’adoption du cloud aujourd’hui. La topologie du modèle de déploiement détermine la mise en œuvre de la solution DR.

Étendre l’architecture

Dans cette topologie, l’infrastructure de gestion reste sur site, mais les charges de travail sont déployées sur Azure. Si le centre de données local n’est pas accessible, les utilisateurs connectés existants restent connectés, mais de nouvelles connexions ne seront pas possibles car l’infrastructure de gestion n’est pas disponible.

Pour protéger l’infrastructure de gestion, préconfigurez Azure Site Recovery pour restaurer l’infrastructure de gestion dans Azure. Il s’agit d’un processus manuel et une fois récupéré, votre environnement peut être rendu opérationnel. Cette option n’est pas transparente et ne peut pas récupérer des composants tels que ADC VPX, mais pour les organisations ayant un objectif de temps de récupération (RTO) plus flexible, elle peut réduire les coûts opérationnels.

Architecture d’hébergement

Lors du déploiement de cette topologie, l’infrastructure de gestion Citrix est déployée dans Azure et traitée comme un site distinct. Cela permet d’isoler fonctionnel du déploiement local en cas de défaillance d’un site. Utilisez Citrix ADC et StoreFront pour agréger les ressources et fournir aux utilisateurs un basculement quasi instantané entre les ressources de production et de reprise après sinistre.

La présence de Citrix Infrastructure dans Azure signifie qu’aucun processus manuel n’a besoin d’être appelé et aucun système n’a besoin d’être restauré avant que les utilisateurs puissent accéder à leur espace de travail principal.

Architecture des services cloud

Lorsque vous utilisez Citrix Cloud, Azure devient simplement un autre emplacement de ressources. Cette topologie fournit le déploiement le plus simple car les composants de gestion sont hébergés par Citrix en tant que service et les charges de travail de reprise après sinistre peuvent être réalisées sans déployer une infrastructure dupliquée pour la prendre en charge. L’expérience utilisateur lors du basculement en cas de sinistre peut être transparente.

Les articles du tableau suivant aident le client à planifier sa reprise après sinistre :

Composant Exigences
Quelles sont les exigences en matière de RTO et de RPO de l’environnement Citrix ? RTO : durée ciblée et niveau de service dans lesquels un processus métier doit être restauré après un sinistre. RPO : intervalle de temps qui peut s’écouler pendant une interruption avant que la quantité de données perdues au cours de cette période ne dépasse le seuil ou la tolérance maximum autorisé du plan de continuité des activités.
Quel est le résultat souhaité en cas d’interruption de service dans toute la région où votre application de machine virtuelle Azure est déployée ? Passez en revue ces options en fonction du RTO et du RPO du client pour DR. La reprise après sinistre d’un environnement Citrix dans Azure peut être traitée à l’aide d’Azure Site Recover, d’un site secondaire passif et d’un site Azure Site actif. La récupération prend uniquement en charge le système d’exploitation de serveur (infrastructure Citrix et VDA de serveur). Le système d’exploitation client n’est pas pris en charge (par exemple, les bureaux persistants créés à l’aide de modèles ARM). En outre, les catalogues de machines créés par MCS (VDA serveur ou client) doivent être recréés à l’aide d’une tâche de récupération.

Groupes de ressources

Les groupes de ressources (RG) dans Azure sont un ensemble d’actifs regroupés en groupes logiques pour un provisionnement, une surveillance et un contrôle d’accès faciles, voire automatiques, et pour une gestion plus efficace de leurs coûts. L’avantage de l’utilisation des groupes de ressources dans Azure est de regrouper les ressources associées qui appartiennent à une application, car elles partagent un cycle de vie unifié, de la création à l’utilisation et enfin, au déprovisionnement.

La clé d’une conception réussie des groupes de ressources est de comprendre le cycle de vie des ressources qui y sont incluses.

Les groupes de ressources sont liés aux catalogues de machines au moment de la création et ne peuvent pas être ajoutés ou modifiés ultérieurement. Pour ajouter des groupes de ressources supplémentaires à un catalogue de machines, le catalogue de machines doit être supprimé et recréé.

Gestion des images

La gestion des images est le processus de création, de mise à niveau et d’attribution d’une image appliquée de manière cohérente dans les environnements de développement, de test et de production. Lorsque vous développez un processus de gestion d’images, tenez compte des points suivants :

Provisioning à

Le client doit déterminer si MCS doit être utilisé pour gérer les machines non persistantes Azure ou créer ses propres modèles Azure Resource Manager (ARM). Lorsqu’un client utilise MCS pour créer des catalogues de machines, la fonctionnalité de provisionnement à la demande d’Azure réduit les coûts de stockage, accélère la création de catalogues et accélère les opérations d’alimentation des machines virtuelles (VM). Avec le provisionnement à la demande Azure, les machines virtuelles sont créées uniquement lorsque Citrix DaaS lance une action de mise sous tension, une fois le provisionnement terminé. Une machine virtuelle est visible sur le portail Azure uniquement lorsqu’elle est en cours d’exécution, tandis que dans Citrix Studio, toutes les machines virtuelles sont visibles, quel que soit l’état de l’alimentation. Les machines créées via des modèles ARM ou MCS peuvent être gérées par Citrix à l’aide d’une connexion hôte Azure dans Citrix Studio.

Conteneurs de comptes de stockage

Le client doit décider de la structure organisationnelle pour le stockage des images sources (ou dorées) à partir desquelles créer les machines virtuelles à l’aide de Citrix Machine Creation Services (MCS). Les images Citrix MCS peuvent provenir de snapshots, de disques gérés ou non gérés et peuvent résider sur un stockage standard ou premium. Les disques non gérés sont accessibles via des comptes de stockage à usage général et sont stockés en tant que disques durs virtuels dans des conteneurs de stockage Azure Blob. Les conteneurs sont des dossiers qui peuvent être utilisés pour séparer les images de production, de test et de développement.

Réplication d’images

Le client doit déterminer le processus approprié pour répliquer les images entre les régions et comment la technologie Citrix App Layering peut être utilisée dans le cadre de la stratégie globale de gestion des images. Les scripts PowerShell peuvent être utilisés avec Azure Automation pour planifier la réplication d’images. Vous trouverez plus d’informations sur Citrix App Layering ici, mais gardez à l’esprit qu’Elastic Layering nécessite un partage de fichiers SMB qui ne réside pas sur Azure Files. Consultez la section Serveurs de fichiers pour connaître les technologies de partage SMB prises en charge qui prennent en charge Elastic Layering.

Technologies de serveurs de fichiers

Azure propose plusieurs technologies de serveur de fichiers qui peuvent être utilisées pour stocker les données utilisateur Citrix, les informations de profil itinérant ou servir de cibles pour les partages Citrix Layering. Ces options sont notamment les suivantes :

  • Serveur de fichiers autonome
  • Serveurs de fichiers utilisant le réplica de stockage
  • Serveur de fichiers évolutif (SOFS) avec Storage Spaces Direct (S2D)
  • Système de fichiers distribué â Réplication (DFS-R)
  • Appliances de stockage tierces d’Azure Marketplace (telles que NetApp, etc.)

Le client doit sélectionner les technologies de serveur de fichiers qui répondent le mieux à ses besoins commerciaux. Le tableau suivant présente certains avantages et considérations liés à chacune des différentes technologies de service de fichiers.

Options Avantages Considérations
Serveur de fichiers autonome Bien connu et testé. Compatible avec les produits de sauvegarde/restauration existants Point de défaillance unique. Aucune redondance de données. Pannes pour les correctifs mensuels, mesurée en minutes.
Serveurs de fichiers utilisant le réplica de stockage Réplication au niveau des blocs. SMB 3.0. Agnostique du stockage (SAN, Cloud, Local, etc.). Offre une réplication synchrone et asynchrone. Recommandé lorsque l’accès multirégional est requis Basculement manuel nécessaire. Utilise 2 fois l’espace disque. Le basculement manuel a toujours des temps d’arrêt, mesurés en minutes. Dépendance DNS.
SOFS sur Storage Spaces Direct Hautement disponible. HA multi-nœuds et multi-disques. Mise à l’échelle ascendante ou décroissante. SMB 3.0 et 3.1. Basculement transparent lors des activités de maintenance planifiées et non planifiées. Recommandé pour le stockage de profil utilisateur dans Azure Utilise 2 à 3x de l’espace disque. La prise en charge des logiciels de sauvegarde tiers peut être limitée par le fournisseur. Ne prend pas en charge le déploiement multi-régions
Système de fichiers distribués â Réplication Technologie éprouvée pour la réplication basée sur des fichiers. Prend en charge PowerShell Basé sur un domaine. Ne peut pas être déployé dans une configuration active-active.
Applications de stockage tierces Technologies de déduplication. Meilleure utilisation de l’espace de stockage. Coût supplémentaire. Outils de gestion propriétaires.

Les types de machines virtuelles de serveur de fichiers recommandés sont généralement DS1, DS2, DS3, DS4 ou DS5, avec la sélection appropriée en fonction des exigences d’utilisation du client. Pour des performances optimales, assurez-vous que la prise en charge des disques haut de gamme est sélectionnée. Vous trouverez des conseils supplémentaires dans la documentationMicrosoft Azure.

Gestion des coûts d’infrastructure

Deux technologies sont disponibles pour réduire les coûts de l’environnement Citrix dans Azure, les instances réservées et Citrix Autoscale.

Instances réservées

Les instances de machines virtuelles réservées (RI) Azure réduisent considérablement les coûts (jusqu’à 72 % par rapport aux prix payables à l’utilisation) avec des durées d’un an ou de trois ans sur des machines virtuelles (VM) Windows et Linux. Lorsque les clients combinent les économies réalisées grâce aux instances réservées Azure avec la valeur ajoutée d’Azure Hybrid Benefit, ils peuvent économiser jusqu’à 80 %. Le 80 % est calculé sur la base d’un engagement d’instance réservée Azure de trois ans d’un serveur Windows par rapport au tarif normal de paiement à l’utilisation.

Alors que les instances réservées Azure nécessitent des engagements initiaux sur la capacité de calcul, elles offrent également la flexibilité d’échanger ou d’annuler des instances réservées à tout moment. Une réservation couvre uniquement les coûts de calcul de la machine virtuelle. Il ne réduit pas les frais supplémentaires de logiciel, de mise en réseau ou de stockage. C’est une bonne chose pour l’infrastructure Citrix et pour la capacité minimale requise pour un cas d’utilisation (heures de marche et d’arrêt).

La fonctionnalité Citrix Autoscale prend également en charge les instances réservées afin de réduire davantage vos coûts. Vous pouvez désormais utiliser la mise à Autoscale pour l’éclatement dans le cloud. Dans un groupe de mise à disposition, vous pouvez baliser les machines qui doivent être mises à l’échelle automatique et exclure vos instances réservées (ou les charges de travail locales). Vous pouvez trouver plus d’informations ici : Restreindre la mise à l’Autoscale à certaines machines d’un groupe de mise àdisposition.

Citrix Autoscale

Autoscale est une fonctionnalité exclusive à Citrix DaaS qui fournit une solution cohérente et hautes performances pour gérer de manière proactive l’alimentation de vos machines. Elle vise à équilibrer les coûts et l’expérience des utilisateurs. Autoscale intègre la technologie Smart Scale obsolète dans la solution de gestion de l’alimentation Studio.

Type de machine Basé sur un calendrier Basé sur la charge Basé sur la charge et le calendrier
Machinesavec OS de serveur hébergeant des applications publiées ou des postes de travail partagés hébergés (Server VDI) Pris en charge Pris en charge Pris en charge
Machinesavec OS de bureau hébergeant des postes de travail VDI statiques persistants (dédiés) Pris en charge. Pendant les périodes où les machines sont hors tension (par exemple, après les heures ouvrées), les utilisateurs peuvent déclencher la mise sous tension des machines via Citrix Receiver. Vous pouvez définir le délai de mise hors tension d’Autoscale afin qu’Autoscale n’éteigne pas automatiquement les machines avant que l’utilisateur n’ait établi une session. Pris en charge uniquement pour les machines non affectées. Pris en charge uniquement pour les machines non affectées.
OS de bureau - hébergement de machines - postes de travail VDI non persistants aléatoires (postes de travail VDI groupés) Pris en charge Pris en charge. Utilisez la mesure de mise à l’échelle du nombre de sessions et définissez le nombre maximum de sessions sur 1. Pris en charge. Utilisez la mesure de mise à l’échelle du nombre de sessions et définissez le nombre minimal de machines sur 1.

Azure-RA-Image-4

Diagramme 4 : Flux de mise à l’échelle automatique Citrix

Vous pouvez en savoir plus sur Citrix Autoscale ici.

Optimisation de l’expérience utilisateur final

Pour optimiser l’expérience de l’utilisateur final, il faut trouver un équilibre entre la perception de réactivité de l’utilisateur final et la nécessité pour l’entreprise de respecter son budget. Cette section traite des concepts de conception et des décisions concernant la fourniture d’un environnement qui est correctement dimensionné pour l’entreprise et l’utilisateur final.

Définition de l’espace de travail utilisateur

Passez en revue les questions de haut niveau suivantes pour mieux comprendre les cas d’utilisation existants et les ressources nécessaires pour leurs utilisateurs finaux.

Rubrique Question
Nombre d’utilisateurs Combien d’utilisateurs sont attendus dans l’environnement ? La phase d’évaluation a-t-elle permis de déterminer le modèle VDI approprié ? (applications virtuelles ou postes de travail virtuels)
Cas d’utilisation Quels types d’applications seront utilisés par les utilisateurs finaux ? Quelles sont les exigences des VDA pour les applications ? Comment les applications seront-elles livrées au mieux ? (Applications virtuelles et bureaux virtuels)
Horaires de travail des groupes d’utilisateurs Quand les utilisateurs accèderont-ils à l’environnement ? Quelles sont les heures de pointe ? Quelle est la consommation prévue tout au long de la journée ? (La consommation d’utilisateurs pendant des heures spécifiques permet d’identifier les besoins de l’espace de travail pour l’automatisation de l’évolutivité et l’achat d’instances réservées Azure.)
Emplacement Où se trouvent les utilisateurs finaux ? Déployer des espaces de travail dans plusieurs régions ou uniquement dans une seule région ?
Données des utilisateurs et des applications Où sont stockées les données de l’utilisateur et de l’application ? Les données seront-elles contenues uniquement dans Azure, uniquement sur site, ou une combinaison des deux ? Quelle est la latence maximale tolérable pour accéder aux données utilisateur ?

Types d’instance de VM Azure

Chaque composant Citrix utilise un type de machine virtuelle associé dans Azure. Chaque série de machines virtuelles disponible est mappée à une catégorie spécifique de charges de travail (usage général, optimisé pour le calcul, etc.) avec différentes tailles contrôlant les ressources allouées à la machine virtuelle (CPU, mémoire, IOPS, réseau, etc.).

La plupart des déploiements Citrix utilisent les types d’instance série D et F-Series. La série D est couramment utilisée pour les composants de l’infrastructure Citrix et parfois pour les charges de travail des utilisateurs lorsqu’elles nécessitent une mémoire supplémentaire au-delà de ce que l’on trouve dans les types d’instance de la série F. Les types d’instance de la série F sont les plus courants sur le terrain pour les charges de travail des utilisateurs en raison de leurs processeurs plus rapides qui apportent avec eux la perception de la réactivité.

Pourquoi la série D ou la série F ? Du point de vue Citrix, la plupart des composants d’infrastructure (Cloud Connector, StoreFront, ADC, etc.) utilisent le processeur pour exécuter les processus principaux. Ces types de machines virtuelles ont un rapport CPU à mémoire équilibré, sont hébergés sur du matériel uniforme (contrairement à la série A) pour des performances plus cohérentes et prennent en charge le stockage premium. Les clients ajustent certainement leurs types d’instances en fonction de leurs besoins et de leur budget.

La taille et le nombre de composants de l’infrastructure d’un client dépendront toujours des exigences, de l’échelle et des charges de travail du client. Cependant, avec Azure, nous pouvons évoluer de manière dynamique et à la demande ! Pour les clients soucieux des coûts, la meilleure approche est de commencer plus petit et de passer à l’échelle supérieure Les machines virtuelles Azure nécessitent un redémarrage lors d’un changement de taille. Planifiez donc ces événements uniquement dans les fenêtres de maintenance planifiées et selon les stratégies de contrôle des modifications établies.

Que diriez-vous de Scale-up ou Scale-out ?

Passez en revue les questions générales suivantes pour mieux comprendre le cas d’utilisation d’un client et les ressources dont ses utilisateurs finaux ont besoin. Cela les aide également à planifier leur charge de travail bien à l’avance.

La mise à l’échelle est préférable lorsque le coût par utilisateur et par heure doit être le plus bas et qu’un impact plus important peut être toléré en cas de défaillance des instances. La mise à l’échelle est préférable lorsque l’impact d’une défaillance d’une seule instance doit être minimisé. Le tableau suivant fournit des exemples de types d’instances pour différents composants Citrix.

Composant Type d’instance recommandé
Delivery Controller, Cloud Connector DS2_v2 ou DS2_v3 standard avec stockage SSD Premium
Mise à l’échelle des charges de travail utilisateur du système Les machines virtuelles Standard_F16s_v2 avec application virtuelle ont été identifiées comme présentant le coût en $/utilisateur/heure le plus bas par rapport aux autres instances. Les machines virtuelles Standard_DS5_v2 étaient également compétitives par rapport aux autres instances
Charges de travail des utilisateurs du système d’exploitation serveur Les instances Standard_F4_v2 et Standard_F8_v2 prennent en charge un nombre d’utilisateurs inférieur, mais offrent une plus grande flexibilité dans les opérations de gestion de l’alimentation en raison de la taille réduite des conteneurs d’utilisateurs. Cela permet aux machines d’être désallouées plus efficacement afin de réduire les coûts sur les instances de paiement à l’utilisation. En outre, les domaines de défaillance sont plus petits lors de la montée en puissance.
Charges de travail des utilisateurs d’OS Standard_F2_v2 a le coût double cœur le plus bas et fonctionne bien avec Windows 10.

La dernière étude de type d’instance a été réalisée pour fournir de bonnes informations dans ce domaine et nous vous recommandons vivement de la lire. Dans tous les cas, les clients évaluent les types d’instances en fonction de leurs charges de travail.

Pour les charges de travail gourmandes en ressources graphiques, pensez aux machines virtuelles de la série NVv4 . Ils sont alimentés par des processeurs AMD EPYC 7002 et un GPU Radeon MI25 virtualisé. Ces machines virtuelles sont optimisées et conçues pour la visualisation VDI et à distance. Avec les GPU partitionnés, Nvv4 offre la taille idéale pour les charges de travail nécessitant des ressources GPU plus petites au prix le plus optimal. Alternative, la série NVv3 est optimisée et conçue pour la visualisation à distance, la diffusion en continu, les jeux, l’encodage et les scénarios VDI à l’aide de frameworks tels que OpenGL et DirectX. Ces machines virtuelles sont soutenues par le GPU NVIDIA Tesla M60. Pour plus d’options de GPU, consultez les autres offres d’Azure.

Bien que la mise à l’échelle soit généralement le modèle préféré pour réduire les coûts, Autoscale peut bénéficier d’instances plus petites (15 à 20 sessions par hôte). Les instances plus petites hébergent moins de sessions utilisateur que les instances de plus grande taille. Par conséquent, dans le cas d’instances plus petites, Autoscale place les machines dans l’état de drainage beaucoup plus rapidement car il faut moins de temps pour que la dernière session utilisateur soit déconnectée. Autoscale éteint donc plus rapidement les instances plus petites, réduisant ainsi les coûts. Pour en savoir plus sur les considérations relatives à la taille des instances pour Autoscale, consultez la documentation officielle.

Stockage

Comme tout autre ordinateur, une machine virtuelle dans Azure utilise des disques pour stocker un système d’exploitation, des applications et des données. Toutes les machines virtuelles Azure possèdent au moins deux disques : un disque du système d’exploitation Windows et un disque temporaire. Le disque du système d’exploitation est créé à partir d’une image, et le disque du système d’exploitation et l’image sont stockés dans Azure en tant que disques durs virtuels (VHDs). Les machines virtuelles peuvent également avoir des disques supplémentaires attachés en tant que disques de données, également stockés en tant que disques virtuels.

Les disques Azure sont conçus pour offrir une durabilité de qualité professionnelle. Il existe trois niveaux de performance pour le stockage qui peuvent être sélectionnés lors de la création de disques : disques SSD Premium, SSD standard et stockage HDD standard, et les disques peuvent être gérés ou non gérés. Les disques gérés sont les disques par défaut et ne sont pas soumis aux limitations du compte de stockage, comme les disques non gérés.

Les disques gérés sont recommandés par Microsoft plutôt que les disques non gérés. Ne considérez les disques non gérés que par exception. Le stockage standard (HDD et SSD) inclut les coûts de transaction (E/S de stockage) qui doivent être pris en compte, mais dont le coût par disque est inférieur. Le stockage Premium n’a aucun coût de transaction, mais a des coûts par disque plus élevés et offre une meilleure expérience utilisateur.

Les disques ne proposent pas de SLA sauf si un jeu de disponibilité est utilisé. Les jeux de disponibilité ne sont pas pris en charge avec Citrix MCS, mais doivent être inclus avec Citrix Cloud Connector, ADC et StoreFront.

Identité

La section se concentre sur les contrôles d’identité, la planification des utilisateurs de l’espace de travail et l’expérience utilisateur final. La principale considération de conception est la gestion des identités au sein des locataires Azure et Citrix Cloud.

Microsoft Azure Active Directory (Azure AD) est une solution cloud de gestion des identités et des accès qui fournit des services d’annuaire, une gouvernance des identités et une gestion de l’accès aux applications. Un seul annuaire Azure AD est automatiquement associé à un abonnement Azure lors de sa création.

Chaque abonnement Azure a une relation d’approbation avec un annuaire Azure AD pour authentifier les utilisateurs, les services et les appareils. Plusieurs abonnements peuvent faire confiance au même annuaire Azure AD, mais un abonnement ne fera confiance qu’à un seul annuaire Azure AD.

Les solutions d’identité de Microsoft intègrent des fonctionnalités locales et basées sur le cloud, créant ainsi une identité utilisateur unique pour l’authentification et l’autorisation de toutes les ressources, quel que soit leur emplacement. Ce concept est connu sous le nom d’identité hybride. Il existe différentes options de conception et de configuration pour l’identité hybride à l’aide des solutions Microsoft et, dans certains cas, il peut être difficile de déterminer quelle combinaison répondra le mieux aux besoins d’une organisation.

Considérations communes relatives à la conception

L’extension du site Active Directory du client à Azure utilise généralement la réplication Active Directory pour fournir une identité et une authentification avec Citrix Workspace. Une étape courante consiste à utiliser AD Connect pour répliquer l’utilisateur sur Azure Active Directory, ce qui vous fournit l’activation par abonnement requise pour Windows 10.

Il est recommandé d’étendre les Active Directory Domain Services locaux au sous-réseau virtuel Azure pour bénéficier de toutes les fonctionnalités et de l’extensibilité. Azure Role-Based Access Control (RBAC) permet de fournir une gestion précise des accès aux ressources Azure. Trop d’autorisations peuvent exposer et rendre compte aux attaquants. Si les autorisations sont trop limitées, les employés ne peuvent pas travailler efficacement. En utilisant RBAC, l’administrateur peut donner aux employés les autorisations exactes dont ils ont besoin.

Authentification

Les services de domaine (AD DS ou AD DS Azure) sont requis pour les fonctionnalités principales de Citrix. RBAC est un système d’autorisation basé sur Azure Resource Manager qui fournit une gestion fine des accès aux ressources dans Azure. RBAC vous permet de contrôler de manière granuleuse le niveau d’accès que les utilisateurs ont. Par exemple, vous pouvez limiter un utilisateur à gérer uniquement les réseaux virtuels et un autre utilisateur à gérer toutes les ressources d’un groupe de ressources. Azure inclut plusieurs rôles intégrés que vous pouvez utiliser.

L’authentification Azure AD est prise en charge pour l’authentification Citrix Workspace, Citrix DaaS et Citrix ADC/StoreFront. Pour un SSON complet avec Azure AD, Citrix Federated Authentication Service (FAS) ou Azure AD DS (pour les services de domaine principaux) doit être utilisé.

Citrix FAS prend en charge l’authentification unique (SSO) pour DaaS dans Citrix Workspace. Citrix FAS est généralement adopté si vous utilisez l’un des fournisseurs d’identité suivants :

  • Azure Active Directory
  • Okta
  • SAML 2.0
  • Citrix Gateway

Résultats d’Active Directory et d’Azure Active Directory

  • Tenant provisionné Azure Active Directory
  • Liste des rôles organisationnels souhaités pour Azure RBAC avec mappage à des rôles Azure intégrés ou personnalisés
  • Liste des niveaux d’accès Admin souhaités (compte, abonnement, groupe de ressources, etc.)
  • Procédure d’octroi d’accès/rôle aux nouveaux utilisateurs pour Azure
  • Procédure pour attribuer une élévation JIT (juste à temps) aux utilisateurs pour des tâches spécifiques

Voici un exemple d’architecture de disposition des espaces de noms et de flux d’authentification.

Azure-RA-Image-5

Diagram-5 : Architecture de la disposition de l’espace de noms et du flux d’authentification

Administration de Citrix Cloud et Azure AD

Par défaut, Citrix Cloud utilise le fournisseur d’identité Citrix pour gérer les informations d’identité de tous les utilisateurs qui accèdent à Citrix Cloud. Les clients peuvent modifier cela pour utiliser Azure Active Directory (AD) à la place. En utilisant Azure AD avec Citrix Cloud, les clients peuvent :

  • Utilisez leur propre Active Directory, afin qu’ils puissent contrôler l’audit, les stratégies de mot de passe et désactiver facilement les comptes en cas de besoin.
  • Configurer l’authentification à plusieurs facteurs. Cela offre un niveau de sécurité plus élevé afin de se protéger contre le vol d’informations d’identification de connexion.
  • Utiliser une page de connexion personnalisée, de façon à ce que vos utilisateurs sachent qu’ils se connectent au site approprié.
  • Utiliser la fédération avec un fournisseur d’identité de votre choix, y compris ADFS, Okta et Ping, entre autres.

Citrix Cloud comprend une application Azure AD qui permet à Citrix Cloud de se connecter à Azure AD sans que vous ayez à vous connecter à une session Azure AD active. Citrix Cloud Administrator Login permet d’utiliser les identités Azure AD dans le client Citrix Cloud.

  • Déterminez si les administrateurs Citrix Cloud utilisent leur Citrix Identity ou Azure AD pour accéder à Citrix Cloud. L’URL suivra le format https://citrix.cloud.com/go/{Customer Determined}
  • Identification de l’URL d’authentification pour l’authentification Azure AD dans Citrix Cloud

Gouvernance

Azure Governance est un ensemble de concepts et de services conçus pour permettre la gestion de vos différentes ressources Azure à grande échelle. Ces services permettent d’organiser et de structurer vos abonnements de manière logique, de créer, de déployer et de réutiliser des packages natifs Azure de ressources. Ce sujet est axé sur l’établissement des stratégies, processus et procédures associés à la planification, à l’architecture, à l’acquisition, au déploiement, à l’exploitation et à la gestion des ressources Azure.

Connexion Administrateur Citrix Cloud

Déterminez si les administrateurs Citrix Cloud utilisent leur identité Citrix, leur identité Active Directory ou Azure AD pour accéder à Citrix Cloud. L’intégration d’Azure AD permet aux administrateurs de bénéficier d’une authentification multifacteur dans Citrix Cloud. Identifiez l’URL d’authentification pour l’authentification Azure AD dans Citrix Cloud. L’URL suit le format https://citrix.cloud.com/go/{Customer Determined}.

Autorisations et délégation RBAC

Les clients utilisant Azure AD peuvent implémenter leurs stratégies de gouvernance à l’aide du contrôle d’accès basé sur les rôles (RBAC) des ressources Azure. L’un des principaux outils pour l’application de ces autorisations est le concept d’un groupe de ressources. Pensez à un groupe de ressources comme un ensemble de ressources Azure qui partagent le cycle de vie et la propriété administrative.

Dans le contexte d’un environnement Citrix, organisez-les de manière à permettre une délégation appropriée entre les équipes et à promouvoir le concept de moindre privilège. Un bon exemple est lorsqu’un déploiement Citrix Cloud utilise un Citrix ADC VPX provisionné à partir de Azure Marketplace pour un accès externe. Bien qu’un élément central de l’infrastructure Citrix, les ADC Citrix peuvent avoir un cycle de mise à jour séparé, un ensemble d’administrateurs, etc. Cela demanderait de séparer les ADC Citrix des autres composants Citrix en groupes de ressources distincts afin que les autorisations RBAC Azure puissent être appliquées via les zones d’administration du locataire, de l’abonnement et des ressources.

Responsable du service MCS

Pour accéder aux ressources sécurisées par un locataire Azure AD, l’entité qui nécessite un accès doit être représentée par un principal de sécurité. Cela est vrai pour les utilisateurs (utilisateur principal) et les applications (principal de service). Le principal de sécurité définit la stratégie d’accès et les autorisations pour l’utilisateur/l’application dans le locataire Azure AD. Cela permet d’activer des fonctionnalités de base telles que l’authentification de l’utilisateur/de l’application lors de la connexion et l’autorisation lors de l’accès aux ressources.

Déterminez les autorisations allouées au principal de service utilisé par le service Citrix MCS.

Les mandataires du service d’étendue de l’abonnement disposent des droits de contributeur sur l’abonnement applicable utilisé par l’environnement Citrix. Les principaux de service Narrow Scope appliquent un RBAC granulaire aux groupes de ressources contenant le réseau, les images principales et les VDA. Il est recommandé aux responsables de service à portée limitée de limiter les autorisations aux seules autorisations requises par le service. Cela adhère au concept de sécurité de « moindre privilège ».

Marquage

Le client applique des balises à ses ressources Azure en fournissant des métadonnées pour les organiser logiquement dans une taxonomie. Chaque balise se compose d’un nom et d’une paire de valeurs. Par exemple, ils peuvent appliquer le nom « Environnement » et la valeur « Production » à toutes les ressources en production.

Le client peut récupérer toutes les ressources de votre abonnement avec le nom et la valeur de cette balise. Les balises leur permettent de récupérer des ressources associées de différents groupes de ressources. Cette approche est utile lorsque l’administrateur doit organiser des ressources pour la facturation ou la gestion.

Il y a une limite de 15 balises par ressource. Citrix MCS crée 2 balises par machine virtuelle, de sorte qu’un client est limité à 13 balises pour les machines MCS. Les machines non persistantes MCS sont supprimées lors du redémarrage. Cela supprime les caractéristiques spécifiques aux machines virtuelles Azure telles que les balises, les diagnostics de démarrage Si des balises sont requises, il est recommandé de créer une stratégie Azure Ajout et de l’appliquer aux groupes de ressources MCS applicables.

Stratégie Azure

Les stratégies Azure peuvent contrôler des aspects tels que le balisage, les SKU autorisés, le chiffrement, la région Azure et la convention de dénomination. Il existe des stratégies par défaut disponibles et la possibilité d’appliquer des stratégies personnalisées. Les stratégies Azure peuvent être appliquées au niveau de l’abonnement ou du groupe de ressources. Plusieurs stratégies peuvent être définies. Les stratégies appliquées au niveau du groupe de ressources ont priorité sur la stratégie de niveau d’abonnement.

Contrôlez et standardisez tous les aspects d’Azure dans l’environnement Citrix. Le quota dur force la stratégie et ne permet pas d’exceptions. Audits à quotas souples pour l’application des stratégies et la notification si la stratégie n’est pas respectée. Reportez-vous à la documentation Azure pour obtenir des informations plus détaillées sur la définition des stratégies.

Azure-RA-Image-6

Diagram-6 : Stratégie d’accès à la gouvernance Azure et RBAC

Sécurité

La sécurité est intégrée à tous les aspects d’Azure. Azure offre des avantages uniques en matière de sécurité issus de renseignements de sécurité mondiaux, de contrôles sophistiqués orientés vers le client et d’une infrastructure sécurisée et renforcée. Cette puissante combinaison aide à protéger les applications et les données, à soutenir les efforts de conformité et à assurer une sécurité économique pour les entreprises de toutes tailles.

Sécurisation du provisionnement des comptes de stockage par le service Citrix Virtual Apps and Desktops

Comme indiqué précédemment, MCS est le service (au sein de Citrix Virtual Apps and Desktops) chargé de faire tourner les machines dans le cadre de l’abonnement client. MCS utilise une identité AAD : un principal de service d’application pour accéder aux groupes de ressources Azure afin d’effectuer différentes actions.
Pour le type de ressources de compte de stockage, MCS nécessite l’ listkeys autorisation d’acquérir la clé lorsque nécessaire pour différentes actions (écriture/lecture/suppression).
Selon notre mise en œuvre actuelle, une exigence MCS pour :

  • Le réseau de compte de stockage est l’accès à partir de l’Internet public.
  • Compte de stockage RBAC est une listkeys autorisation

Pour certaines organisations, le maintien public du point de terminaison du compte de stockage est un problème. Voici une analyse des actifs créés et stockés lors du déploiement de machines virtuelles avec disque géré (comportement par défaut).

  • Stockage de table : Nous conservons les données de configuration et d’état de la machine dans le stockage de table dans le compte de stockage principal (ou un compte secondaire, si le principal est utilisé pour les disques Premium) pour le catalogue. Il n’y a pas d’information sensible dans les tableaux.
  • Verrous : pour certaines opérations (allocation de machines à des comptes de stockage, réplication de disques), nous utilisons un objet de verrouillage pour synchroniser les opérations de plusieurs instances de plug-in. Ces fichiers sont des objets blob vides et ne contiennent aucune donnée sensible.

Pour les catalogues de machines créés avant le 15 octobre 2020, MCS crée un compte de stockage supplémentaire pour les disques d’identité :

  • Importation de disque : lors de l’importation de disques (identité, instruction), nous téléchargeons le disque en tant que blob de page. Nous créons ensuite un disque géré à partir du blob de page et supprimons le blob de page. Les données transitoires incluent des données sensibles pour les noms d’objets informatiques et le mot de passe. Ceci ne s’applique pas à tous les catalogues de machines créés après le 15 octobre 2020.

Il est recommandé d’utiliser un principal de service d’étendue étroit appliqué aux groupes de ressources spécifiques pour limiter les autorisations uniquement aux autorisations requises par le service. Cela adhère au concept de sécurité de « moindre privilège ». Reportez-vous aux documents CTX219243 et CTX224110 pour plus de détails.

IaaS - Surveillance du Centre de sécurité Azure

Azure Security Center analyse l’état de sécurité des ressources Azure. Lorsque le Centre de sécurité identifie des vulnérabilités de sécurité potentielles, il crée des recommandations qui guident le client tout au long du processus de configuration des contrôles nécessaires. Les recommandations s’appliquent aux types de ressources Azure : machines virtuelles (VM) et ordinateurs, applications, mise en réseau, SQL et Identity and Access. Voici quelques bonnes pratiques que vous devez suivre :

  • Contrôlez l’accès aux VM et sécurisez l’accès privilégié.
  • Provisioning des logiciels malveillants pour identifier et supprimer les logiciels malveillants.
  • Intégrez votre solution anti-programme malveillant au Centre de sécurité pour surveiller l’état de votre protection.
  • Maintenez vos machines virtuelles à jour et assurez-vous, lors du déploiement, que les images que vous avez créées incluent la dernière série de mises à jour Windows et de sécurité.
  • Redéployez périodiquement vos machines virtuelles pour forcer une nouvelle version du système d’exploitation.
  • Configuration des groupes et des règles de sécurité réseau pour contrôler le trafic vers les machines virtuelles.
  • Provisioning de pare-feu d’applications Web pour vous aider à vous défendre contre les attaques qui ciblent vos applications Web.
  • Traitement des configurations de système d’exploitation qui ne correspondent pas aux lignes de base recommandées.

Conception du réseau

La sécurité du réseau peut être définie comme le processus de protection des ressources contre les accès non autorisés ou les attaques en appliquant des contrôles au trafic réseau. L’objectif est de s’assurer que seul le trafic légitime est autorisé. Azure inclut une infrastructure réseau robuste pour prendre en charge vos besoins de connectivité des applications et des services. La connectivité réseau est possible entre les ressources situées dans Azure, entre les ressources locales et hébergées sur Azure, et vers et depuis Internet et Azure.

Segmentation du réseau virtuel (VNet)

Les réseaux virtuels Azure sont similaires à un réseau local sur votre réseau local. L’idée qui sous-tend un réseau virtuel Azure est de créer un réseau unique basé sur un espace d’adresses IP privé sur lequel les clients peuvent placer toutes leurs machines virtuelles Azure. La meilleure pratique consiste à segmenter le plus grand espace d’adressage en sous-réseaux et à créer des contrôles d’accès réseau entre les sous-réseaux. Le routage entre les sous-réseaux s’effectue automatiquement et vous n’avez pas besoin de configurer manuellement les tables de routage.

Utilisez un groupe de sécurité réseau (NSG). Les NSG sont des périphériques d’inspection de paquets simples et dynamiques qui utilisent l’approche à 5 tuples (l’adresse IP source, le port source, l’adresse IP de destination, le port de destination et le protocole de couche 4) pour créer des règles d’autorisation/de refus pour le trafic réseau. Les règles autorisent ou refusent le trafic vers et depuis une seule adresse IP, vers et depuis plusieurs adresses IP, ou vers et depuis des sous-réseaux entiers.

Les clients peuvent créer des routes personnalisées ou définies par l’utilisateur appelées Routes définies par l’utilisateur (UDR) dans Azure pour remplacer les routes système par défaut d’Azure ou ajouter des itinéraires supplémentaires à la table de routage d’un sous-réseau. Dans Azure, les administrateurs peuvent créer une table de routage, puis associer la table de routage à zéro ou plusieurs sous-réseaux réseau virtuel. Chaque sous-réseau peut être associé à zéro ou à une table de routage.

Les NSG et les UDR sont appliqués au niveau du sous-réseau au sein d’un réseau virtuel. Lors de la conception d’un réseau virtuel Citrix dans Azure, il est recommandé de concevoir le réseau virtuel en gardant cela à l’esprit, en créant des sous-réseaux pour des composants similaires, ce qui permet l’application granulaire des NSG et des UDRs selon les besoins. Par exemple, la segmentation de l’infrastructure Citrix dans son propre sous-réseau, avec un sous-réseau correspondant pour chaque cas d’utilisation.

Identifiez les ports et protocoles requis pour Citrix et les technologies de prise en charge. Vérifiez que ces ports sont autorisés dans les groupes de sécurité réseau utilisés dans l’environnement. Les groupes de sécurité réseau peuvent limiter les communications entrantes et sortantes à un ensemble défini d’IP, de réseaux virtuels, de balises de service ou de groupes de sécurité d’application.

Azure-RA-Image-7

Diagram-7 : Azure Security Center et Network Security à l’aide de NSG et ASG

Connectivité

La connexion des réseaux virtuels Azure au réseau local/cloud des clients est appelée mise en réseau hybride. Cette section explique les options de connectivité réseau et de routage des services réseau. Les clients peuvent connecter leurs ordinateurs et réseaux locaux à un réseau virtuel en utilisant n’importe quelle combinaison des options suivantes :

  • Réseau privé virtuel (VPN) point à site : établi entre un réseau virtuel et un seul ordinateur d’un réseau client. Chaque ordinateur qui souhaite établir une connectivité avec un réseau virtuel doit configurer sa connexion. Ce type de connexion est idéal pour commencer simplement avec Azure, ou pour les développeurs, car il nécessite peu ou pas de modifications au réseau existant du client. La communication entre votre ordinateur et un réseau virtuel est envoyée via un tunnel crypté sur Internet.
  • VPN site à site : établi entre un appareil VPN local et une passerelle VPN Azure déployée sur un réseau virtuel. Ce type de connexion permet à toute ressource locale autorisée par le client d’accéder à un réseau virtuel. La communication entre un appareil VPN local et une passerelle VPN Azure est envoyée via un tunnel crypté sur Internet.
  • Azure ExpressRoute : établi entre le réseau du client et Azure, par l’intermédiaire d’un partenaire ExpressRoute. Cette connexion est privée. Le trafic ne passe pas par Internet.

Les principales considérations relatives à la connectivité entre Azure et le client sont la bande passante, la latence, la sécurité et le coût. Les VPN de site à site ont des limites de bande passante inférieures à celles d’Express Route et dépendent des performances du routeur périphérique utilisé par le client. Les SLA sont disponibles sur les SKU de passerelle VPN. Les VPN de site à site utilisent IPSEC sur Internet.

Les itinéraires express sont des connexions privées dédiées et non via Internet. Cela se traduit par une latence plus faible lors de l’utilisation de Route Express. Express Route peut également évoluer jusqu’à 10 Gbit/s. Express Route est configuré à l’aide d’un partenaire certifié. Tenez compte du temps de configuration de ces fournisseurs lors de la planification du projet. Les coûts de route Express comportent un composant Microsoft et un composant fournisseur Express Route.

Généralement, ces connexions sont partagées entre plusieurs services (réplication de base de données, trafic de domaine, trafic d’applications, etc.) Dans un déploiement de cloud hybride, il peut y avoir des scénarios où les utilisateurs internes ont besoin de leur trafic ICA pour passer par cette connexion pour accéder à leurs applications Citrix dans Azure. la surveillance de sa bande passante est essentielle.

Avec ADC et StoreFront traditionnel, le routage de passerelle optimal peut également être utilisé pour diriger la connexion d’un utilisateur vers un ADC en utilisant le FAI d’un bureau plutôt que l’Express Route ou le VPN vers Azure.

Itinéraires définis par l’utilisateur (UDR)

Généralement, les clients utilisent un UDR pour acheminer le trafic Azure vers un dispositif pare-feu dans Azure ou un réseau virtuel spécifique. Par exemple, trafic Nord/Sud d’un VDA à Internet. Si de grandes quantités de trafic sont acheminées vers des appliances pare-feu tierces au sein d’Azure, cela peut créer un goulot d’étranglement des ressources ou un risque de disponibilité si ces appliances ne sont pas dimensionnées ou configurées de manière appropriée. Utilisez les NSG pour compléter autant que possible les pare-feux tiers, le cas échéant. Envisagez Azure Network Watcher si l’introspection du trafic est requise.

Peering de réseau virtuel

L’appairage de réseaux virtuels connecte de manière transparente deux réseaux virtuels Azure. Une fois appairés, les réseaux virtuels apparaissent comme un tout, à des fins de connectivité. Le trafic entre les machines virtuelles des réseaux virtuels homologues est acheminé via l’infrastructure dorsale Microsoft, comme le trafic est acheminé entre les machines virtuelles du même réseau virtuel, via des adresses IP privées uniquement.

Azure prend en charge :

  • Appairage de réseaux virtuels : connexion de réseaux virtuels au sein d’une même région Azure
  • Appairage global de réseaux virtuels : connexion de réseaux virtuels entre les régions Azure

Envisagez d’utiliser le peering de réseaux virtuels pour permettre la communication entre les machines virtuelles et les réseaux virtuels pour les clients déployant des charges de travail sur plusieurs réseaux virtuels.

Azure-RA-Image-8

Diagramme 8 : Connectivité et itinéraires du centre de données

Citrix ADC

Citrix ADC sur Microsoft Azure garantit aux entreprises l’accès aux applications et aux ressources sécurisées et optimisées déployées dans le cloud et offre la flexibilité nécessaire pour établir une base réseau qui s’adapte aux besoins changeants d’un environnement. En cas de défaillance d’un centre de données, Citrix ADC redirige automatiquement le trafic utilisateur vers un site secondaire, sans interruption pour les utilisateurs. L’équilibrage de charge et l’équilibrage global de la charge des serveurs entre plusieurs centres de données garantissent en outre une santé, une capacité et une utilisation optimales des serveurs.

Discutez avec le client et définissez les cas d’utilisation suivants pour chaque emplacement de ressources :

Méthode d’accès Considérations
Interne uniquement Un Citrix ADC n’est pas nécessaire si seul un accès interne est nécessaire.
Accès externe via Citrix ADC Gateway Service. Le service Citrix Cloud ADC Gateway fournit un proxy ICA (connectivité à distance sécurisée uniquement).
Accès externe via Citrix ADC VPX déployé dans Azure Resource Location Un client doit envisager une appliance Citrix ADC VPX dans Azure s’il a besoin des éléments suivants : 1. Authentification multifacteur avec SSON complet 2. Analyse des points de terminaison 3. Stratégies avancées d’authentification ou de pré-authentification 4. Stratégies Citrix SmartAccess. Remarque : ces exigences exigent que l’authentification se produise sur Citrix ADC plutôt que sur le service Workspace Experience. StoreFront est requis si l’authentification est gérée par un serveur virtuel Citrix ADC Gateway.

Citrix ADC - Modèle de déploiement

Les déploiements Active-Active utilisent des nœuds Citrix ADC autonomes qui peuvent être mis à l’échelle à l’aide de l’Azure Load Balancer. Les paires active-passive facilitent le basculement avec état du trafic ICA en cas de défaillance d’un nœud, mais elles sont limitées à la capacité d’un seul VPX. Les nœuds actif-passif nécessitent également Azure Load Balancer.

Plusieurs cartes réseau sont recommandées pour isoler le trafic SNIP, NSIP et VIP afin d’optimiser le débit disponible pour Citrix ADC Gateway ou d’autres services.

Solution DaaS de surveillance dans Azure

La surveillance de votre déploiement Citrix vous apporte plusieurs avantages : des performances accrues, une disponibilité accrue, des coûts réduits, une sécurité renforcée et des utilisateurs satisfaits. Microsoft et Citrix fournissent tous deux un ensemble d’outils et de services de base pour aider à surveiller l’environnement. Ce document contient une vue d’ensemble des outils disponibles ainsi que des recommandations concernant les domaines à surveiller ciblés pour les déploiements Citrix dans Azure.

Les outils et services Microsoft incluent les suivants : Azure Monitor, Azure Advisor, Azure Service Health, Microsoft Sentinel, Azure Network Watcher et Azure Spend. Les outils et services Citrix sont les suivants : Citrix Monitor, Citrix Analytics et Citrix Managed Services. Certains de ces services entraînent des frais supplémentaires, mais la plupart d’entre eux sont inclus dans votre abonnement.

Ce document fournit une liste des outils recommandés et une section dans laquelle nous identifierons les valeurs de référence des éléments clés à surveiller. Nous recommandons également des configurations pour les valeurs afin de vous aider à déployer Citrix dans Azure avec succès.

Microsoft

Cette section couvre les outils et services Microsoft Azure qui peuvent être utilisés pour surveiller le déploiement de votre service Citrix Virtual Apps and Desktops dans Azure.

Moniteur Azure

Pour un déploiement de Citrix dans Azure, Azure Monitor est le meilleur point de départ. Azure Monitor vous aide à améliorer à la fois les performances et la disponibilité de votre déploiement Citrix. Azure Monitor collecte et analyse la télémétrie reçue de vos environnements locaux et Azure. L’utilisation d’Azure Monitor permet de répondre de manière proactive aux problèmes liés aux ressources avant que les utilisateurs n’aient besoin d’ouvrir un ticket auprès de votre service d’assistance. Azure Monitor se compose de six services différents qui peuvent être utilisés les uns avec les autres pour gérer vos ressources Citrix :

  • Métriques : ensemble de valeurs numériques qui représentent un aspect particulier d’une ressource Azure à un moment donné.

  • Alertes : ensemble de conditions surveillées et agissant comme des déclencheurs pour lancer une action associée lorsque la condition se produit.

  • Journaux : ensemble de données écrites dans des journaux et disponibles pour analyse via Azure Metrics.

  • Tableaux de bord : vue personnalisable des informations disponibles sur les ressources surveillées.

  • Informations sur les applications : service qui surveille vos applications Web et prend en charge l’optimisation des performances et le dépannage.

Métriques

Azure Metrics est l’outil le plus puissant disponible dans Azure Monitor pour suivre l’état de vos ressources Citrix. Le terme « métriques » représente des informations sur un aspect particulier d’une ressource qui sont distillées en une valeur numérique. Les mesures sont suivies au fil du temps et rapportées à un intervalle spécifique. Par exemple, le nombre de sessions actives sur un hôte Citrix VDA est collecté toutes les 30 secondes et affiché dans un graphique en temps réel.

Azure Metrics permet de suivre et d’alerter les métriques pour chacune de vos ressources Citrix. Azure Metrics fournit des métriques pour les machines virtuelles (VM) Citrix et l’hôte de la machine virtuelle sous-jacente. Azure Metrics a également la possibilité d’ajouter des extensions de diagnostic pour recueillir des métriques à partir du système d’exploitation client. Les mesures sont fournies en temps quasi réel et peuvent être consultées via les graphiques de Metrics Explorer. Les graphiques de Metrics Explorer peuvent comparer des mesures provenant de différentes ressources et les enregistrer dans des tableaux de bord pour surveiller l’environnement.

Pour surveiller les ressources des machines virtuelles Citrix dans Azure, veillez à activer les métriques du système d’exploitation invité via les paramètres de diagnostic de la machine virtuelle. Ce paramètre effectue automatiquement les opérations suivantes :

  • Active des compteurs de performance pour le processeur, la mémoire, le disque et le réseau à intervalles d’une minute.

  • Active la collecte des entrées du journal des événements (niveau d’avertissement et supérieur).

  • Permet de collecter des compteurs de performance et des journaux d’événements personnalisés.

Les métriques du système d’exploitation invité sont conservées pendant 93 jours lorsqu’elles sont envoyées à Azure Monitor Metrics.

Les paramètres supplémentaires suivants sont recommandés pour les déploiements Citrix dans Azure :

  • Activez le paramètre Sinks > Azure Monitor > Envoyer les données de diagnostic à Azure Monitor. Ce paramètre permet d’utiliser des compteurs personnalisés pour collecter des mesures multidimensionnelles et permet d’émettre des alertes sur les métriques du système d’exploitation invité.

  • Activez les paramètres de Crash dump lors de la résolution d’un problème avec Citrix ou Microsoft Support. Ce paramètre place les fichiers de sauvegarde directement dans un conteneur de stockage où vous pouvez facilement les récupérer.

La collecte de métriques est un moyen efficace de suivre l’état et les performances de vos ressources Citrix. Azure Metrics peut suivre et émettre des alertes sur toutes les mesures disponibles sous forme de compteur de surveillance des performances Windows. Les métriques constituent la base de l’orchestration qui utilise des règles pour automatiser les actions au sein d’Azure.

Alertes

L’objectif principal de la surveillance de votre infrastructure Citrix dans Azure est de pouvoir répondre de manière proactive aux problèmes avant que les utilisateurs ne soient affectés. Les alertes vous avertissent ou prennent des mesures automatisées en cas de problème qui doit être traité rapidement. Bien que toutes les perturbations ne constituent pas des signes d’avertissement, l’utilisation diligente des alertes permet d’éviter les scénarios les plus courants.

Les conditions d’une alerte peuvent être basées sur un ensemble de signaux prédéfinis fournis par Azure ou sur des métriques du système d’exploitation invité. Ces signaux incluent les valeurs métriques (les plus courantes), les résultats de recherche dans les journaux, les événements du journal d’activité Azure ou même l’état de santé de la plateforme Azure. Vous devez définir les alertes à un niveau permettant de signaler à l’avance tout problème potentiel tout en minimisant la fréquence des alertes nécessitant une action. Une règle d’alerte est une condition qui doit être remplie pour que l’alerte se déclenche lorsqu’elle est activée. La règle d’alerte peut ensuite exécuter un ensemble d’actions définies dans un groupe d’actions. Les actions disponibles sont les suivantes :

  • Notifications par e-mail, SMS, push ou voix
  • Déclenchement d’un Automation Runbook, d’une fonction Azure, d’une application Logic, d’un Event Hub ou d’un Webhook
  • Création d’un ticket ITSM

Les alertes peuvent être limitées à un groupe de ressources, à une région ou à un type de ressource en particulier. Lorsque vous configurez des alertes pour plusieurs cibles, une seule condition peut être spécifiée et les cibles doivent toutes prendre en charge cette condition. Pour les conditions basées sur des mesures, la définition de la règle d’alerte inclut le niveau de gravité ainsi que la possibilité de résoudre automatiquement l’alerte. Une fois déclenchées, les alertes doivent être confirmées lorsque des réponses automatisées ne sont pas utilisées pour gérer la condition d’alerte. Les alertes impliquent un coût mensuel et Azure affiche le coût estimé d’acceptation lors de la création de la règle d’alerte.

Journaux

Parfois, les métriques ne sont pas disponibles pour un événement particulier que vous souhaitez surveiller dans le cadre de votre déploiement Citrix. Lorsque les mesures ne sont pas disponibles, les journaux peuvent être surveillés pour détecter les entrées indiquant que l’événement s’est produit. Azure Monitor Logs peut accepter les journaux provenant des services Azure, des agents de machines virtuelles ou des applications utilisant Application Insights. Un espace de travail Log Analytics est requis dans lequel les données du journal peuvent être stockées à des fins d’analyse. Ces journaux peuvent ensuite être agrégés et interrogés pour obtenir des entrées clés indiquant les conditions qui doivent être gérées. Les résultats de la requête peuvent être consultés via un tableau de bord ou un classeur.

Azure Monitor Metrics est limité aux données numériques uniquement. Azure Monitor Logs peut stocker et analyser différents types de données, ce qui constitue un avantage dans certaines situations. L’analyse du journal nécessite l’utilisation d’une requête qui doit être créée et maintenue. Les requêtes sont écrites dans le langage Kusto Query Language (KQL), qui est le même langage que celui utilisé par Azure Data Explorer.

Tableaux de bord

Les tableaux de bord constituent un moyen visuel de surveiller votre environnement Citrix au quotidien. Les tableaux de bord sont constitués de vignettes issues d’un certain nombre de sélections de galeries. Les vignettes possibles incluent des graphiques de mesures, des cartes de sécurité, des informations utilisateur, des automatisations ou un lien direct vers une ressource ou un groupe de ressources. Des tableaux de bord personnalisés peuvent être créés pour mettre l’accent sur un rôle ou un ensemble de ressources en particulier. Chaque tableau de bord peut être partagé ou privé et chaque utilisateur du portail peut avoir jusqu’à 100 tableaux de bord privés et un nombre illimité de tableaux de bord partagés.

Informations sur les applications

Si vos applications Web sont hébergées dans Azure et mises à disposition via Citrix, utilisez Application Insights pour surveiller vos applications qui sont codées sur des plateformes Web populaires. Application Insights peut s’intégrer à votre processus DevOps à l’aide d’un kit de développement logiciel (SDK) ou de l’agent Application Insights. Application Insights combine ensuite la télémétrie fournie avec les compteurs de performance et d’autres informations de diagnostic. Ces informations peuvent vous aider à diagnostiquer les problèmes et à mieux comprendre comment les utilisateurs interagissent avec votre application.

Application Insights fournit les informations collectées à Azure Monitor. Vous pouvez utiliser Microsoft PowerBI ou des outils similaires pour analyser les données brutes stockées dans Azure Monitor. Parmi les domaines qui peuvent être surveillés avec Insights, citons les suivants :

  • Quelles pages sont les plus populaires et à quelle heure de la journée elles se chargent.

  • Quelles pages ne parviennent pas à se charger pour vous aider à diagnostiquer les problèmes de ressources.

  • Performances de chargement de votre application Web du point de vue du navigateur de l’utilisateur.

  • Toutes les exceptions qui se produisent, qu’elles soient causées par le code du serveur ou du navigateur.

  • Tous les événements ou indicateurs personnalisés que vous choisissez d’instrumentaliser avec le SDK Insights.

La console Application Insights vous permet de gérer les performances de vos applications Web sur Citrix afin d’offrir une meilleure expérience aux utilisateurs finaux.

Conseiller Azure

Azure Advisor est un service qui analyse les configurations de vos ressources en arrière-plan et formule des recommandations pour vous aider à améliorer votre déploiement Azure. Ces recommandations sont regroupées en cinq catégories : coût, sécurité, fiabilité, excellence opérationnelle et performance. La catégorie Sécurité provient de Microsoft Defender for Cloud. Pour chaque catégorie, le conseiller répertorie les ressources concernées et fournit des conseils sur la manière d’améliorer la configuration des ressources. Vous pouvez filtrer les recommandations par type de ressource et par abonnement.

Azure Advisor prend en charge la configuration des alertes afin de surveiller les situations dans lesquelles votre environnement Azure ne respecte pas les recommandations des meilleures pratiques. Consultez la section [Azure Advisor Alerts] (#Azure Advisor Alerts) plus loin dans ce document pour obtenir des recommandations.

Microsoft Defender pour le cloud

Defender for Cloud est un service qui combine des fonctionnalités précédemment présentes dans Azure Security Center et Azure Defender. Ce service évalue en permanence vos ressources Azure et fournit un score global qui indique le niveau de sécurité de vos déploiements. Les recommandations de sécurité d’Azure Advisor proviennent directement de Defender for Cloud. Defender for Cloud fournit également des conseils directs sur la manière de résoudre les problèmes identifiés par le service. Les recommandations proviennent de l’Azure Security Benchmark, un ensemble de directives spécifiques à Azure rédigé par Microsoft.

Defender for Cloud doté de fonctionnalités de sécurité améliorées peut être déployé dans une configuration hybride pour prendre en charge les déploiements sur site avec d’autres fournisseurs de cloud.

Pour les déploiements Citrix, l’activation de Defender for Cloud fournit les fonctionnalités suivantes qui sécurisent vos ressources Citrix :

  • Évaluation des risques liés aux ressources accessibles depuis Internet, telles que l’adresse IP source et la fréquence.

  • Accès aux machines virtuelles juste à temps (JIT) qui limite le moment où les ports sont ouverts pour les connexions entrantes initiales. Microsoft recommande JIT pour toutes les connexions Jump Box ou Bastion Host.

  • Renforcement adaptatif du réseau (ANH) qui renforce encore les règles du Network Security Group (NSG). L’ANH utilise des algorithmes d’apprentissage automatique, des configurations fiables, des renseignements sur les menaces et d’autres facteurs pour fournir des recommandations.

  • Détection des attaques sans fichier qui analyse régulièrement la mémoire d’une machine en cours d’exécution à la recherche de charges utiles malveillantes s’exécutant en mémoire afin d’éviter les logiciels de détection sur disque.

  • Intégration avec Microsoft Sentinel.

Sentinel

Microsoft Sentinel est à la fois un système de gestion des informations et des événements de sécurité (SIEM) et un système d’orchestration, d’automatisation et de réponse de sécurité (SOAR). Sentinel a été conçu et développé en tant que service cloud natif. À l’aide d’une intelligence artificielle sophistiquée, Sentinel surveille en permanence toutes les sources de contenu et recherche les activités suspectes.
Sentinel fournit un emplacement central pour la collecte et la surveillance des données à grande échelle via des agents et des connecteurs de données. Les incidents de sécurité sont suivis grâce à des alertes déclenchées et à des réponses automatisées aux tâches courantes. Sentinel peut fonctionner sur plusieurs clouds et avec votre infrastructure sur site, ce qui en fait la solution idéale pour les environnements Citrix hybrides.

Le Content Hub fournit une interface simple permettant de proposer des solutions prêtes à l’emploi pour Sentinel. Ces packages contiennent des règles d’analyse, des requêtes de recherche, des playbooks, des connecteurs de données et des classeurs spécifiques à leurs sujets. Les hubs de contenu suivants sont recommandés pour votre déploiement Citrix dans Azure :

  • Azure Firewall pour renforcer la sécurité des communications réseau.

  • Certification du modèle de maturité de la cybersécurité CMMC pour répondre aux directives de conformité en matière de cybersécurité au sein de votre environnement.

  • Microsoft Sentinel Deception pour vous protéger contre toutes les menaces.

  • Microsoft Insider Risk Management pour vous aider à vous protéger contre les menaces internes.

  • Réponse d’analyse des menaces pour gérer et corréler l’activité des menaces.

Les connecteurs de données permettent d’interfacer Sentinel avec d’autres services Azure et des systèmes tiers. Les connecteurs fournissent les données qui sont analysées par Sentinel pour détecter les menaces potentielles. Les connecteurs de données suivants sont recommandés pour votre déploiement Citrix dans Azure :

  • Azure Active Directory pour obtenir des informations sur les identités des utilisateurs, les connexions, le provisionnement, etc.

  • Azure Active Directory Identity Protection pour les alertes de sécurité avec identités.

  • Azure Activity pour toute activité liée aux ressources Azure.

  • Azure DDoS Protection pour obtenir des informations sur les attaques par déni de service distribué via des journaux de flux et des notifications DDoS.

  • Azure Firewall pour obtenir des informations sur l’activité du pare-feu, les règles réseau et les proxys DNS.

  • Azure Key Vault pour obtenir des informations sur l’activité d’Azure Key Vault.

  • Compte de stockage Azure pour obtenir des informations sur l’activité du compte de stockage Azure pour les blogs, les files d’attente, les tables, les fichiers et l’accès aux ressources.

  • Citrix Analytics pour les informations collectées par Citrix Analytics (voir la section Citrix Analytics).

  • Citrix Web App Firewall pour l’activité du pare-feu Citrix.

  • Microsoft Defender for Cloud pour les alertes de sécurité provenant de Defender.

  • Microsoft Office 365 pour toutes les activités Office, en supposant que votre client Office 365 est le même que celui utilisé pour votre déploiement Citrix.

  • Threat Intelligence — TAXII pour identifier les menaces potentielles et y remédier.

  • Pare-feu Windows pour les événements générés par le service de pare-feu Windows exécuté sur les serveurs Citrix.

  • Événements de sécurité Windows via Azure Monitor Agent (AMA) pour les événements provenant des serveurs Citrix de connexion aux événements Windows Security.

Microsoft Sentinel prend en charge les connecteurs de données d’un large éventail de fournisseurs. Ces fournisseurs comprenaient des fournisseurs de solutions de sécurité, de réseaux et d’applications. Envisagez de revoir les connecteurs de données disponibles au moins une fois par an pour que Sentinel reste aussi efficace que possible.

État des services Azure

Azure Service Health permet de surveiller facilement l’infrastructure Azure qui héberge votre déploiement Citrix. Service Health vous permet de surveiller les problèmes de service, de consulter les maintenances planifiées à venir et de suivre les avis de santé et de sécurité. Vous pouvez filtrer les problèmes actifs et les maintenances planifiées par abonnement, région et service. Tous les problèmes ayant un impact généralisé sont affichés sous la lame Problèmes de service.

Les alertes de santé vous permettent de surveiller l’état de santé de vos propres ressources Azure. Utilisez les alertes de santé pour configurer la notification automatique des interruptions de service ou de la maintenance planifiée qui affectent vos ressources. Consultez la section Alertes Azure Service Health plus loin dans ce document pour obtenir des recommandations.

Si vous utilisez fréquemment d’autres services, nous vous recommandons également de vous abonner à ces services. Si vous configurez correctement vos alertes, vous êtes averti de toute panne lorsqu’elle se produit et la maintenance planifiée ne vous prend pas au dépourvu.

Analyse du trafic sur Azure Network Watcher

Bien que Citrix soit conçu pour être sécurisé dès sa conception, les utilisateurs restent un maillon faible et les informations de connexion peuvent être compromises. Lorsque vous exécutez Citrix dans Azure, l’un des meilleurs moyens de sécuriser l’accès à vos applications et à vos données consiste à surveiller le trafic réseau. L’analyse du trafic est conçue pour vous fournir des informations pertinentes en analysant les flux de trafic réseau. En combinant des journaux de flux bruts avec une connaissance de la topologie du réseau, Traffic Analytics peut fournir une vue complète de la communication réseau. Les rapports incluent les hôtes ou les paires d’hôtes les plus actifs, les principaux protocoles utilisés, le trafic bloqué, les ports ouverts, les réseaux non fiables et la répartition du trafic.

Pour utiliser Traffic Analytics, vos ressources Citrix doivent se trouver dans une région prenant en charge à la fois les groupes de sécurité réseau (NSG) et les espaces de travail Log Analytics. Vous devez également activer Network Watcher dans la même région. Pour chaque groupe de sécurité réseau qui inclut des ressources Citrix, créez un journal de flux NSG et activez les journaux de flux version 2 et Traffic Analytics lors de sa création. Pour des raisons de conformité réglementaire, assurez-vous que votre espace de travail Log Analytics se trouve dans le même pays que celui dans lequel les journaux de flux NSG sont générés.

REMARQUE : créez au minimum des journaux de flux NSG pour vos Citrix Cloud Connectors, Delivery Controllers, appliances ADC et serveurs StoreFront.

Utilisez l’analyse du trafic pour identifier le trafic malveillant, les sites hôtes et les hôtes occupés. N’oubliez pas que les clients se dirigent vers un ensemble spécifique d’hôtes, de sorte que le trafic normal peut parfois apparaître dans la liste des « Conversations fréquentes ». La carte géographique peut être utilisée pour visualiser les sources de communication et identifier rapidement les sources de trafic inattendues et éventuellement malveillantes. L’examen des modèles de flux de trafic, des ports ouverts et du trafic bloqué peut vous fournir des informations sur les menaces potentielles ou les vecteurs d’attaque non protégés.

Gestion des coûts Azure

Azure Cost Management and Billing vous permet de configurer des alertes pour vous avertir lorsque vos limites de coûts sont atteintes. Les alertes de dépenses constituent le meilleur moyen de gérer vos ressources Citrix. Pour les grandes entreprises, l’activation des alertes de budget, de crédit et de quota vous permet d’identifier toute mauvaise configuration ou mauvaise utilisation des ressources Azure.

  • Alertes budgétaires : Une alerte est envoyée lorsque l’utilisation ou le montant en dollars atteint une limite prédéfinie sur la base d’un budget préalablement établi.

  • Alertes de crédit : Le système génère automatiquement des alertes de crédit lorsque 90 % et 100 % de votre prépaiement (engagement monétaire) est atteint.

  • Alertes de quotas de dépenses des départements : Les alertes de quotas sont configurées uniquement via le portail Enterprise Agreement (EA). Lorsqu’il est déclenché, le portail envoie un e-mail aux propriétaires de services lorsque leurs dépenses atteignent un pourcentage défini.

La création d’un budget mensuel avec des alertes de dépenses vous avertit à l’avance lorsque des ressources sont mises en service de manière inattendue. Les raisons courantes de dépenses imprévues incluent les erreurs d’automatisation, la mise à l’échelle automatique, une mauvaise configuration ou même des intentions malveillantes de la part d’initiés Plus tôt vous serez averti du coût supplémentaire, plus vite vous pourrez résoudre le problème.

Mesures et alertes de base pour Azure

La clé d’un bon environnement de surveillance est de savoir ce qui est important à surveiller et quels éléments nécessitent une attention immédiate. Vous ne voulez pas surveiller toutes les mesures disponibles, car vous finissez par stocker des informations inutiles. La collecte et le stockage des informations entraînent des coûts, alors utilisez-les judicieusement. Nous fournissons ici une base de métriques/compteurs à surveiller et vous suggérons des alertes qui peuvent vous donner un point de départ pour surveiller votre environnement Citrix. Vous pouvez vous appuyer sur cette base de référence et inclure d’autres compteurs de performance ou événements que vous jugez utiles pour votre environnement.

Mesures et seuils d’alerte

Pour un déploiement Citrix, nous allons nous concentrer principalement sur les métriques du système d’exploitation invité des machines virtuelles Citrix. Des indicateurs de performances de serveur médiocres indiquent généralement que les utilisateurs sont sur le point de rencontrer des problèmes désagréables, s’ils ne le sont pas déjà. Par exemple, lorsque le délai d’entrée maximal pour la session d’un utilisateur atteint un délai prédéfini, nous savons que les utilisateurs sont confrontés à une latence. Vous pouvez configurer le groupe Action pour envoyer un e-mail aux administrateurs Citrix pour les avertir des problèmes du serveur. En configurant l’alerte de notification pour qu’elle se déclenche lorsque le délai maximal d’entrée approche une valeur reconnue comme inacceptable, les administrateurs peuvent intervenir de manière proactive.

Nous avons fourni les compteurs de performance à surveiller ainsi que les seuils suggérés pour les alertes sur ces compteurs lorsqu’ils sont utilisés dans un déploiement Citrix. Les seuils d’alerte suggérés sont susceptibles de signaler à l’avance le mécontentement des utilisateurs. Ajustez les valeurs et les périodes pour répondre aux besoins de votre entreprise :

Tous les serveurs Citrix

Voici la liste des compteurs Perfmon à surveiller pour tous les serveurs Citrix lors du déploiement :

  • Processeur \ %Heure du processeur

    • Ce compteur indique la durée pendant laquelle un processeur n’est pas inactif.

    • Alerte lorsque la moyenne est supérieure à 80 % pendant 15 minutes prolongées.

    • Déterminez les processus qui consomment le plus de CPU et identifiez la cause de l’utilisation élevée du processeur à l’aide du Gestionnaire des tâches ou de Citrix Monitor.

    • Si tous les processus consomment le niveau de temps processeur attendu, il est temps d’augmenter la capacité du serveur ou du groupe de mise à disposition.

  • Longueur de la file d’attente système \ processeur

    • Ce compteur est le nombre de threads d’une file de processeurs en attente de traitement.

    • Alerte lorsque le nombre de cœurs est supérieur à 5* sur un intervalle de 5 minutes.

    • Déterminez quels processus consomment le plus de CPU et identifiez la cause de l’utilisation du processeur à l’aide du Gestionnaire des tâches ou de Citrix Monitor.

    • Si tous les processus consomment le niveau de temps processeur attendu, il est temps d’augmenter la capacité du serveur ou du groupe de mise à disposition.

  • Mémoire \ Octets disponibles

    • Ce compteur est la quantité de mémoire non allouée aux processus ou au cache.

    • Alerte lorsque la quantité de RAM disponible est inférieure à 20 % de la RAM totale sur un intervalle de 5 minutes.

    • Déterminez quels processus consomment de la mémoire à l’aide du Gestionnaire des tâches ou de Citrix Monitor. Identifiez tout changement de configuration susceptible de réduire ce niveau de consommation de RAM. Utilisez cette métrique avec les compteurs d’utilisation du fichier de pages/seconde et du fichier de pagination %utilisation.

    • Si tous les processus consomment la quantité de mémoire attendue, il est temps d’augmenter la capacité du serveur ou du groupe de mise à disposition.

  • Mémoire \ Pages/sec

    • Ce compteur indique le nombre de pages par seconde qui sont transférées du disque à la mémoire active.

    • Alerte lorsque le nombre de pages par seconde est constamment supérieur à 10.

    • Recherchez les applications à l’origine des échanges de pages à l’aide du Gestionnaire des tâches. Étudiez d’autres configurations possibles. Utilisez cette métrique avec les compteurs d’utilisation de la mémoire, des octets disponibles et des fichiers de pagination \ %.

    • Si possible, augmentez la quantité de RAM disponible pour l’hôte. Si ce n’est pas possible, essayez d’isoler l’application sur un ensemble de serveurs dédiés.

  • Fichier de pagination \ %utilisation

    • Ce compteur est le pourcentage du fichier de page en cours d’utilisation.

    • Alerte lorsque l’utilisation du fichier de page est supérieure à 80 % pendant 60 minutes.

    • Recherchez les applications à l’origine de l’utilisation du fichier de page à l’aide du Gestionnaire des tâches. Étudiez d’autres configurations possibles. Utilisez cette métrique avec les compteurs de mémoire disponible, d’octets et de pages mémoire/seconde.

    • Si possible, augmentez la quantité de RAM disponible pour l’hôte.

  • LogicalDisk \ %Durée du disque (_total)

    • Ce compteur représente la durée pendant laquelle le disque logique n’est pas inactif.

    • Alerte lorsque le % de temps disque est supérieur à 90 % pendant 15 minutes.

    • Recherchez les applications qui sont à l’origine d’une utilisation élevée du disque à l’aide du Gestionnaire des tâches ou de Citrix Monitor. Découvrez ce qui pourrait être à l’origine de l’utilisation élevée du disque. Utilisez cette métrique avec d’autres métriques de disque logiques et physiques.

    • Si toutes les activités semblent normales, recherchez un moyen de déplacer les applications vers des disques dotés de sous-systèmes de disques plus performants.

  • LogicalDisk \ Longueur actuelle de la file d’attente

    • Ce compteur représente le nombre de transactions en attente de traitement par le disque logique.

    • Alerte lorsque la file d’attente de disques actuelle est supérieure à 3 pendant 15 minutes.

    • Recherchez les applications qui sont à l’origine d’une utilisation élevée du disque à l’aide du Gestionnaire des tâches ou de Citrix Monitor. Découvrez ce qui pourrait être à l’origine de l’utilisation élevée du disque. Utilisez cette métrique avec d’autres métriques de disque logiques et physiques.

    • Si toutes les activités semblent normales, recherchez un moyen de déplacer les applications vers des disques dotés de sous-systèmes de disques plus performants.

  • Disque physique \ % Durée du disque (_total)

    • Ce compteur représente la durée pendant laquelle le disque physique n’est pas inactif.

    • Alerte lorsque le % de temps disque est supérieur à 90 % pendant 15 minutes.

    • Recherchez les applications qui sont à l’origine d’une utilisation élevée du disque à l’aide du Gestionnaire des tâches ou de Citrix Monitor. Découvrez ce qui pourrait être à l’origine de l’utilisation élevée du disque. Utilisez cette métrique avec d’autres métriques de disque logiques et physiques.

    • Si toutes les activités semblent normales, recherchez un moyen de déplacer les applications vers des disques dotés de sous-systèmes de disques plus performants.

  • PhysicalDisk \ Longueur de la file d’attente actuelle

    • Ce compteur représente le nombre de transactions en attente de traitement par le disque physique.

    • Alerte lorsque la file d’attente de disques actuelle est supérieure à 3 pendant 15 minutes.

    • Recherchez les applications qui sont à l’origine d’une utilisation élevée du disque à l’aide du Gestionnaire des tâches ou de Citrix Monitor. Découvrez ce qui pourrait être à l’origine de l’utilisation élevée du disque. Utilisez cette métrique avec d’autres métriques de disque logiques et physiques.

    • Si toutes les activités semblent normales, recherchez un moyen de déplacer les applications vers des disques dotés de sous-systèmes de disques plus performants.

  • Interface réseau \ Nombre total d’octets par seconde

    • Ce compteur indique la vitesse à laquelle l’adaptateur réseau traite les paquets de données pour le réseau.

    • Alerte lorsque le nombre total d’octets par seconde dépasse 80 % de la vitesse de la carte réseau pendant 5 minutes.

    • Recherchez les applications qui sont à l’origine d’une utilisation élevée du réseau à l’aide du Gestionnaire des tâches pour rechercher les causes possibles de l’utilisation élevée du disque. Utilisez cette métrique avec d’autres métriques de disque logiques et physiques.

    • Si toutes les activités semblent normales, recherchez un moyen d’augmenter la bande passante du réseau ou la capacité du groupe de mise à disposition.

  • Délai de saisie utilisateur par session \ Délai d’entrée maximal

    • Cette métrique indique le délai d’entrée maximal pour la session en millisecondes. La métrique mesure le temps entre le moment où l’utilisateur saisit la souris ou le clavier et le moment où sa saisie est traitée par le système.

    • Alerte lorsque le délai d’entrée d’une session est supérieur à 1 000 ms pendant 2 minutes.

    • Recherchez les applications qui entraînent une charge élevée du processeur, du disque ou du réseau à l’aide du Gestionnaire des tâches ou de Citrix Monitor.

    • Si l’activité semble normale, la meilleure approche consiste à augmenter la capacité du groupe de mise en œuvre.

Cloud Connector

Outre les compteurs pour tous les serveurs Citrix, activez les compteurs de performance personnalisés suivants pour vos Citrix Cloud Connectors. Ces compteurs surveillent les principales défaillances des Cloud Connectors :

  • Citrix High Availability Service \ Erreurs de transaction de base de données/sec

    • Cette métrique représente le nombre d’échecs de transactions de base de données par seconde.

    • Idéalement, ce nombre est 0.

    • Alerte lorsque le compteur est supérieur à 0.

  • Citrix High Availability Service \ Énumérations louées ayant échoué

    • Cette métrique représente le nombre d’énumérations ayant échoué pour les clients.

    • Idéalement, ce nombre est 0.

    • Alerte lorsque le compteur est supérieur à 0.

  • Service de haute disponibilité Citrix \ Échec des lancements loués

    • Cette métrique représente le nombre d’échecs de lancement pour les clients.

    • Idéalement, ce nombre est 0.

    • Alerte lorsque le compteur est supérieur à 0.

  • Citrix High Availability Service \ Refus d’enregistrements/sec

    • Cette métrique représente le nombre d’inscriptions rejetées par seconde.

    • Idéalement, ce nombre est 0.

    • Alerte lorsque le compteur est supérieur à 0.

Machines virtuelles Citrix Virtual Delivery Agent

Outre les compteurs pour tous les serveurs Citrix, activez les compteurs de performance personnalisés suivants pour vos hôtes Citrix Virtual Delivery Agent. Ces compteurs surveillent les principales défaillances :

  • Session ICA \ Latence : moyenne de session

    • Cette métrique fournit la latence moyenne de l’ICA pour une session utilisateur en millisecondes.

    • Utilisez cette métrique pour surveiller l’expérience utilisateur. La valeur doit être inférieure à 150 ms pour une bonne expérience utilisateur et toute valeur supérieure à 300 ms est considérée comme dégradée.

    • Si vous constatez des valeurs de latence élevées, envisagez d’activer le transport adaptatif pour atténuer les effets de la latence.

  • Délai de saisie utilisateur par session \ Délai d’entrée maximal

    • Cette métrique indique le délai d’entrée maximal pour la session (en millisecondes). La métrique mesure le temps entre le moment où l’utilisateur saisit la souris ou le clavier et le moment où sa saisie est traitée par le système.

    • Utilisez cette métrique pour surveiller l’expérience utilisateur. La valeur doit être inférieure à 500 ms, une valeur inférieure à 150 ms étant considérée comme bonne et toute valeur supérieure à 1 000 ms considérée comme inacceptable.

  • Terminal Services \ Sessions actives

    • Cette métrique indique le nombre de sessions actives sur l’hôte Citrix VDA.

    • Surveillez cette métrique pour les hôtes multisessions.

    • Utilisez cette métrique pour établir une corrélation avec d’autres mesures en affichant le nombre d’utilisateurs actifs sur le graphique.

  • Échec des tâches CitrixPrinting \ Total

    • Cette métrique représente le nombre total de tâches d’impression qui ont échoué sur l’hôte Citrix VDA et qui doivent être faibles.

    • Surveillez cette métrique pour connaître le nombre de tâches d’impression qui échouent sur les hôtes Citrix.

    • Un nombre excessif de tâches d’impression échouées peut indiquer des problèmes liés aux pilotes d’imprimante installés sur l’hôte Citrix.

Activez les compteurs de performance personnalisés suivants pour vos machines virtuelles Citrix Virtual Delivery Agent qui exécutent Citrix Profile Management :

  • Citrix Profile Management \ Durée de connexion

    • Cette mesure représente le temps total en secondes nécessaire à la fin de l’événement de connexion utilisateur.

    • Surveillez cette métrique pour comprendre l’expérience de connexion des utilisateurs. Cette métrique inclut le temps nécessaire pour charger le profil utilisateur jusqu’à la session de l’utilisateur.

  • Citrix Profile Management \ Durée de déconnexion

    • Cette métrique représente le temps total en secondes nécessaire à la fin de l’événement de fermeture de session de l’utilisateur.

    • Surveillez ce compteur pour suivre la durée de l’événement de fermeture de session de l’utilisateur. Cette métrique inclut le temps nécessaire pour que les données des utilisateurs soient réécrites à l’emplacement du profil.

  • Citrix Profile Management \ Fichiers de fermeture de session traités - Plus de 5 Mo

    • Cette métrique représente le nombre de fichiers d’une taille supérieure à 5 Mo qui sont chargés vers le magasin de profils utilisateur lors de la fermeture de session.

    • Surveillez cette mesure pour déterminer si l’activation de la gestion des fichiers volumineux ou de la redirection de dossiers peut améliorer l’expérience de connexion de l’utilisateur.

  • Citrix Profile Management \ Fichiers de connexion traités - Plus de 5 Mo

    • Cette métrique représente le nombre de fichiers de plus de 5 Mo qui sont copiés depuis le stockage du profil utilisateur lors de l’ouverture de session.

    • Surveillez cette métrique pour déterminer si vous devez activer le streaming de profil ou la gestion des fichiers volumineux pour réduire les temps de connexion.

Activez la collecte des journaux d’applications sur vos machines virtuelles Citrix Virtual Delivery Agent. Définissez les configurations suivantes comme base de référence :

  • Alerte en cas d’erreur de licence RDP.

  • Alertez sur ces avertissements de sécurité.

    • ID d’événement 4625 : échec de la connexion à un compte.

    • ID d’événement 4771 : échec de la pré-authentification Kerberos.

  • Alerte sur ces messages d’avertissement ou d’erreur Citrix.

    • ID d’événement 1001 : le Citrix Desktop Service n’a pas réussi à obtenir la liste des contrôleurs de mise à disposition auprès desquels s’enregistrer.

    • ID d’événement 1017 : le Citrix Desktop Service n’a pu s’enregistrer auprès d’aucun Delivery Controller.

    • ID d’événement 1022 : le Citrix Desktop Service n’a pu s’enregistrer auprès d’aucun contrôleur au cours des 5 dernières minutes.

    • ID d’événement 6013 : Disponibilité du système, à utiliser pour détecter les serveurs Citrix qui ne redémarrent pas après l’application des correctifs.

Serveurs Citrix StoreFront

Outre les compteurs pour tous les serveurs Citrix, activez les compteurs de performance personnalisés suivants pour vos serveurs Citrix StoreFront. Les compteurs surveillent les performances médiocres :

  • ASP.NET \ Requête en file d’attente

    • Le nombre de requêtes ASP dans la file d’attente d’être traitées.

    • Alerte lorsque les valeurs dépassent de manière significative les normes de base. Établissez des bases de référence en fonction de l’environnement.

  • ASP.NET \ Demandes rejetées

    • Le nombre de demandes rejetées parce que la file d’attente est pleine.

    • Alerte lorsque le nombre de demandes rejetées est supérieur à une.

Serveurs Citrix Federated Authentication Service (FAS)

Outre les compteurs pour tous les serveurs Citrix, activez les compteurs de performance personnalisés suivants pour vos hôtes du Service d’authentification fédérée Citrix. Ces indicateurs permettent de détecter les problèmes liés aux performances :

  • Service d’authentification fédérée Citrix \ Niveau de charge élevé

    • Cette métrique permet de suivre le nombre de demandes de signature de certificat acceptées par minute par le service d’authentification fédérée.

    • Suivez cette métrique car une fois le niveau de charge élevé atteint, les postes de travail et les applications ne peuvent pas être lancés.

Métriques Azure ExpressRoute

Si vous disposez d’une connexion ExpressRoute à un centre de données sur site ou à un réseau pair, surveillez cette connexion. Vous devez comprendre vos besoins en bande passante et connaître la quantité de trafic sortant facturable qui quitte Azure. Les indicateurs clés à surveiller sont les suivants :

  • Circuit ExpressRoute \ BitsInPerSecond
    • Cette métrique indique le nombre de bits entrant dans Azure par seconde. Ces données sont gratuites.

    • Utilisez cette métrique pour planifier la capacité d’ExpressRoute.

    • Envoyez une alerte sur cette métrique lorsqu’elle atteint 80 % de la bande passante d’entrée de votre circuit disponible.

  • ExpressRoute circuit\BitsOutPerSecond

    • Cette métrique indique le nombre de bits quittant Azure par seconde. Ces données sont facturables.

    • Utilisez cette métrique pour la planification de la capacité d’ExpressRoute et pour la budgétisation de la sortie de données.

    • Envoyez une alerte sur cette métrique lorsqu’elle atteint 80 % de la bande passante de sortie de votre circuit disponible.

  • ExpressRoute circuit\GlobalReachBitsInPerSecond

    • Cette métrique indique le nombre de bits entrant dans Azure par seconde vers des circuits ExpressRoute homologues (ces données sont gratuites).

    • Utilisez cette métrique pour planifier la capacité d’ExpressRoute.

    • Envoyez une alerte sur cette métrique lorsqu’elle atteint 80 % de la bande passante d’entrée de votre circuit disponible.

  • ExpressRoute circuit\GlobalReachBitsOutPerSecond

    • Cette métrique indique le nombre de bits quittant Azure par seconde vers des circuits ExpressRoute homologues (ces données sont facturables).

    • Utilisez cette métrique pour la planification de la capacité d’ExpressRoute et pour la budgétisation de la sortie de données.

    • Envoyez une alerte sur cette métrique lorsqu’elle atteint 80 % de la bande passante de sortie de votre circuit disponible.

  • ExpressRoute Gateway Connection\BitsInPerSecond

    • Cette métrique indique le nombre de bits entrant dans Azure par seconde pour une connexion spécifique à un circuit ExpressRoute (ces données sont gratuites).

    • Envoyez une alerte sur cette métrique lorsqu’elle atteint 80 % de la bande passante d’entrée de votre circuit de connexion.

  • ExpressRoute Gateway Connection\BitsOutPerSecond

    • Cette métrique est le nombre de bits quittant Azure par seconde pour une connexion spécifique à un circuit ExpressRoute (ces données sont facturables).

    • Recevez une alerte sur cette métrique lorsqu’elle atteint 80 % de la bande passante de sortie de votre connexion.

  • ExpressRoute Virtual Network Gateway\PacketsPerSecond

    • Cette métrique indique le nombre de paquets entrants qui traversent la passerelle ExpressRoute.

    • Envoyez une alerte sur cette métrique lorsqu’elle descend suffisamment bas pour indiquer qu’elle ne reçoit plus de trafic.

  • ExpressRoute Virtual Network Gateway\CPU Utilization

    • Cette métrique indique l’utilisation du processeur de l’instance de passerelle.

    • Une utilisation élevée du processeur indique un goulot d’étranglement des performances.

    • Alerte sur cette métrique lorsque l’utilisation du processeur dépasse 85 %.

Alertes Azure Advisor

Les conseillers Azure fournissent plus de 280 alertes. Cette section fournit les alertes recommandées à configurer dans Azure Advisor pour votre environnement Citrix. Pour votre commodité, les alertes sont classées en fonction de leur fiabilité, de leur coût, de leurs performances et de leur excellence opérationnelle. Chaque alerte est accompagnée d’une brève description expliquant pourquoi il est important de suivre cette alerte dans un environnement Citrix. Plusieurs alertes peuvent également être appliquées via Azure Policy. Ces alertes ne doivent être configurées qu’une seule fois et durent environ 30 minutes.

Alertes de fiabilité

  • Activer les sauvegardes sur vos machines virtuelles : vous avertit lorsque vos machines virtuelles ne sont pas activées pour la sauvegarde automatique. Sauvegardez régulièrement toutes les machines virtuelles de votre infrastructure Citrix.

  • Activer la suppression logicielle pour vos coffres Recovery Services : vous avertit lorsque les données de votre coffre-fort Recovery Services sont configurées pour une suppression définitive ou définitive au lieu d’une suppression logicielle. Utilisez la suppression logicielle pour éviter de perdre votre infrastructure Citrix Recovery Services en cas de suppression accidentelle.

  • Activez la suppression logicielle pour protéger vos données blob : vous avertit lorsque vos données de stockage de blob sont configurées pour une suppression définitive ou définitive au lieu d’une suppression logicielle. Utilisez la suppression logicielle pour éviter de perdre les données de stockage des blogs pour les applications ou les utilisateurs Citrix en cas de suppression accidentelle.

  • Activer la restauration entre régions pour votre coffre-fort Recovery Services : vous avertit lorsque votre coffre-fort Recovery Services n’est pas activé pour la restauration entre régions, ce qui signifie que vous ne pouvez pas effectuer de restauration en dehors de votre région actuelle. À utiliser pour protéger votre infrastructure Citrix Recovery Services afin qu’elle puisse être mise en ligne dans une autre région si la région principale est inaccessible.

  • Passer des passerelles de base aux SKU de passerelle de production : vous avertit lorsque vos passerelles utilisent le SKU de base dont les performances sont inférieures à celles d’un SKU de production. Utilisez toujours des SKU de passerelle de production pour l’infrastructure et les utilisateurs Citrix afin de fournir les meilleures performances et la meilleure expérience utilisateur possible.

  • Activer les passerelles active-active pour la redondance : vous avertit lorsque vos passerelles ne sont pas configurées pour une tolérance aux pannes active-active. Configurez toujours des passerelles actives-actives pour une infrastructure Citrix tolérante aux pannes.

  • Implémentez plusieurs circuits ExpressRoute dans votre réseau virtuel pour une résilience inter-sites : vous avertit lorsque vos circuits ExpressRoute ne sont pas configurés pour une haute disponibilité. Configurez toujours les circuits ExpressRoute pour une haute disponibilité afin que votre infrastructure Citrix soit accessible à tous les utilisateurs.

  • Utilisez ExpressRoute GlobalReach pour améliorer votre conception en matière de reprise après sinistre : vous avertit lorsque vos circuits ExpressRoute n’utilisent pas GlobalReach. Configurez toujours les circuits ExpressRoute pour Global Reach afin d’améliorer votre conception de reprise après sinistre et de la rendre plus résiliente.
  • Réparez votre règle d’alerte de journal : vous avertit lorsqu’une règle d’alerte de journal est enfreinte. Si vous utilisez les règles Log Alert pour surveiller votre environnement Citrix, vous souhaitez activer cette alerte afin de savoir si la règle est enfreinte et ne fonctionne pas correctement.

  • La règle d’alerte de journal a été désactivée : vous avertit lorsqu’une règle d’alerte de journal a été désactivée. Si vous utilisez les règles Log Alert pour surveiller votre environnement Citrix, vous souhaitez activer cette alerte afin de savoir quand la règle est désactivée et qu’elle ne s’exécute pas du tout.

Alertes de coûts

  • Dimensionnez correctement ou arrêtez les machines virtuelles sous-utilisées : vous avertit lorsque le type d’instance d’une machine virtuelle n’est pas entièrement utilisé, afin que vous puissiez sélectionner une machine virtuelle plus petite et moins coûteuse pour répondre aux besoins de votre entreprise. Utilisez cette alerte pour réduire les coûts de votre infrastructure Citrix.

  • Réaffectation ou suppression de passerelles réseau virtuelles inactives : vous avertit lorsque des passerelles réseau virtuelles sont inactives et peuvent être supprimées pour réduire les coûts. Utilisez cette alerte pour réduire les coûts et la complexité de votre infrastructure réseau.

  • Supprimer les circuits ExpressRoute dont le statut de fournisseur est Non approvisionné : vous avertit lorsque des circuits ExpressRoute ne sont pas entièrement approvisionnés. Utilisez cette alerte pour supprimer les circuits ExpressRoute incomplets.

  • Utiliser le stockage standard pour stocker les instantanés de disques gérés : vous avertit lorsque vous utilisez un stockage plus onéreux pour stocker des instantanés de disques gérés. Utilisez cette alerte pour économiser de l’argent lorsque vous stockez des instantanés de disque.

Alertes de performance

  • Améliorez l’expérience utilisateur et la connectivité en déployant des machines virtuelles plus proches de l’emplacement de l’utilisateur : vous avertit lorsque des utilisateurs accèdent à des ressources Citrix éloignées de l’utilisateur. À utiliser pour l’emplacement du centre de données et du site afin de rapprocher les utilisateurs de leurs ressources Citrix.

  • Associez les machines virtuelles de production aux disques de production pour des performances constantes : vous avertit lorsque vos machines virtuelles de production n’utilisent pas de disques de production. Utilisez toujours des disques de production pour les machines virtuelles de production de vos machines virtuelles Citrix.

  • Envisagez d’augmenter la taille de votre SKU de passerelle VPN pour faire face à un processeur élevé : vous avertit lorsque les SKU de votre passerelle VPN ne sont pas optimaux pour votre utilisation. Activez cette alerte si vous avez un grand nombre d’utilisateurs de VPN susceptibles d’être affectés par les performances de la passerelle VPN lors de l’accès aux ressources Citrix.

  • Envisagez d’augmenter la taille de votre SKU VNet Gateway pour faire face à une utilisation constante et élevée du processeur : vous avertit lorsque vos SKU vNet Gateway ne sont pas optimaux pour votre utilisation. Activez cette alerte si vous disposez d’un grand nombre de passerelles VNet susceptibles d’être affectées lors du routage du trafic entre des réseaux virtuels pour les ressources Citrix.

  • Améliorez la bande passante de votre circuit ExpressRoute pour répondre à vos besoins en bande passante : vous avertit lorsque la bande passante de votre circuit ExpressRoute n’est pas optimale pour votre utilisation actuelle. Utilisez cette alerte lorsque vous disposez d’un ou de plusieurs circuits ExpressRoute pour votre infrastructure Citrix.
  • Activer la mise en réseau accélérée pour améliorer les performances et la latencedu réseau : vous avertit lorsque les machines virtuelles peuvent bénéficier de l’utilisation de la mise en réseau accélérée. Utilisez cette alerte pour identifier les machines virtuelles Citrix sur lesquelles la mise en réseau accélérée doit être activée.

Alertes d’excellence opérationnelle

  • Utilisez Azure Policy pour activer certaines stratégies dans l’environnement Azure. Voici une liste d’alertes qui vérifient que la stratégie Azure est en place :

    • Appliquez l’option « Ajouter ou remplacer une balise sur les ressources » dans Azure Policy : utilisée pour vérifier que toutes les ressources Citrix sont correctement balisées.

    • Appliquer les « emplacements autorisés » dans Azure Policy : utilisé pour vérifier que l’accès aux ressources Citrix est limité à des emplacements particuliers afin d’empêcher toute intention malveillante provenant d’emplacements non fiables.

    • Appliquez les « SKU de machine virtuelle autorisés » dans Azure Policy : utilisés pour empêcher la création de machines virtuelles ne dépassant pas les paramètres de coût d’un environnement. Cette stratégie est utile pour empêcher le minage de bitcoins à l’aide d’instances GPU coûteuses.

    • Appliquez l’option « Hériter une balise du groupe de ressources » dans Azure Policy : utilisée pour vérifier que toutes les ressources d’un groupe de ressources héritent également des balises attribuées à ce groupe de ressources. Cette stratégie est utile pour suivre les ressources Citrix créées automatiquement.

  • Activez Traffic Analytics pour obtenir des informations sur les modèles de trafic sur les ressources Azure : vous avertit lorsque l’analyse du trafic n’est pas activée pour les ressources Azure. Utilisé pour sécuriser les ressources Citrix et empêcher tout accès involontaire ou malveillant aux données accessibles via des hôtes Citrix.

  • Implémentez ExpressRoute Monitor sur Network Performance Monitor pour une surveillance de bout en bout : vous avertit lorsque le trafic du circuit ExpressRoute n’est pas utilisé pour sécuriser les ressources Citrix. Cette stratégie permet d’identifier et d’empêcher tout accès accidentel ou malveillant aux données via une connexion ExpressRoute.

  • Ajoutez Azure Monitor à votre machine virtuelle (VM) étiquetée comme production : vous avertit lorsqu’Azure Monitor n’est pas activé sur une machine virtuelle de production. Utilisé pour identifier les machines virtuelles Citrix qui n’exécutent pas Azure Monitor.

  • Vous avez des disques qui n’ont pas été connectés à une machine virtuelle depuis plus de 30 jours : vous avertit lorsque les disques ne sont pas utilisés activement. Utile pour réduire les coûts de stockage en supprimant les disques inutilisés.

Alertes de santé Azure Service

Cette section fournit les alertes de santé du service recommandées à configurer. La liste identifie les principaux services utilisés par un déploiement Citrix. Chaque alerte est accompagnée d’une brève description qui explique pourquoi il est important de suivre cette alerte. Elles ne doivent être configurées qu’une seule fois et leur exécution prend environ 15 minutes. Nous vous recommandons de vous abonner aux alertes de notification pour les services suivants, utilisés le plus souvent pour les environnements Citrix s’exécutant dans Azure :

  • Gestion des API : utilisée pour gérer les services Azure depuis le Citrix Cloud.

  • Journaux d’activité et alertes : utilisés pour surveiller les journaux du serveur Citrix et générer des alertes.

  • Alertes et mesures : utilisées pour surveiller les métriques du serveur Citrix et générer des alertes.

  • Azure Active Directory : utilisé pour l’authentification auprès des serveurs Citrix, du portail Azure et de Citrix Workspaces.

  • Azure Monitor : utilisé pour surveiller les ressources Citrix hébergées dans Azure.

  • Azure Policy : utilisée pour sécuriser l’accès aux ressources Azure et appliquer les règles métier dans l’environnement Citrix.

  • Azure Private Link : utilisé pour se connecter aux services Azure depuis le déploiement de Citrix.

  • Azure Sentinel : utilisé pour surveiller la sécurité des ressources Citrix dans Azure.

  • Sauvegarde : utilisée pour sauvegarder vos ressources Citrix dans le cloud.

  • ExpressRoute : utilisé pour connecter des ressources locales au déploiement de Citrix dans Azure.

  • Key Vault : utilisé pour gérer les clés de chiffrement qui sécurisent les volumes des serveurs Citrix et les données utilisateur stockées au repos.

  • Analyse des journaux : utilisée pour surveiller les journaux afin de détecter les événements qui affectent les ressources Citrix et nécessitent des alertes.

  • Portail Microsoft Azure : utilisé pour gérer les ressources Azure sur lesquelles s’exécute le déploiement de Citrix.

  • Infrastructure réseau : utilisée pour surveiller la communication entre les ressources Citrix, les centres de données locaux et les utilisateurs distants.

  • Network Watcher : utilisé pour surveiller le trafic réseau entre les ressources Citrix et Azure.

  • Site Recovery : utilisé pour fournir des fonctionnalités de haute disponibilité et de reprise après sinistre intersites à votre déploiement Citrix.

  • Stockage : utilisé pour héberger les volumes de démarrage de toutes les ressources Citrix dans le cloud et pour stocker les données utilisateur.

  • Passerelle VPN \ WAN virtuel : utilisée pour connecter les utilisateurs et les ressources locales au déploiement de Citrix dans Azure.

  • Machines virtuelles : utilisées pour héberger les charges de travail Citrix dans Azure.

  • Réseau virtuel : utilisé pour communiquer entre les ressources Citrix hébergées dans le Cloud Azure et les utilisateurs distants, en plus des centres de données locaux.

Lors de la configuration de ces alertes de service, surveillez les autres services inclus pour votre environnement.

Citrix

Cette section couvre les outils et services Citrix qui peuvent être utilisés pour surveiller le déploiement de votre service Citrix Virtual Apps and Desktops dans Azure.

Moniteur Citrix

Citrix Monitor est l’outil recommandé par Citrix pour surveiller votre déploiement Citrix Cloud. L’outil comprend les composants suivants :

  • Tableau de bord : écran principal qui fournit une vue d’ensemble en temps réel de l’environnement. Le tableau de bord inclut des indicateurs clés, tels que les pannes de connexion et de machine, le nombre total de sessions, la durée moyenne de connexion et l’état des hôtes Citrix VDA. Tous les rapports et graphiques fournissent des fonctionnalités d’analyse approfondie des problèmes identifiés.

  • Tendances : fournit des informations sur les tendances pour les éléments suivants : sessions, défaillances, performances de connexion, évaluation de la charge, gestion de la capacité, utilisation des machines, utilisation des ressources et sondes d’application.

  • Alertes et stratégies d’alerte : interface permettant de configurer des alertes pour les stratégies d’alerte prédéfinies de Citrix.

  • Applications : console permettant de gérer les sondes des applications et des postes de travail et de consulter les analyses des applications.

Tendances

Les données historiques sont enregistrées uniquement pour les 90 derniers jours et peuvent être consultées dans la section Trends de Citrix Monitor. Les principales tendances à surveiller pour votre déploiement Citrix sont les suivantes :

Défaillances de connexion Les échecs de connexion peuvent indiquer des problèmes liés à des machines virtuelles Citrix VDA ou à des utilisateurs particuliers. L’onglet Échec de connexion fournit des informations sur les connexions qui échouent en raison des problèmes courants suivants : erreurs de connexion client, erreurs de licence, capacité indisponible, pannes de machine ou erreurs de configuration. Les défaillances à session unique et à session multiple indiquent que les serveurs n’ont pas pu démarrer, se sont bloqués au démarrage ou n’ont pas été enregistrés.

Performances d’ouverture de session Les performances d’ouverture de session fournissent une vue d’ensemble de la durée des connexions des utilisateurs et les répartissent dans les catégories suivantes :

  • Temps de courtage : il s’agit du temps nécessaire à Citrix pour négocier la session entre le client et l’hôte Citrix VDA. Si ce délai est long, le problème provient de l’infrastructure Citrix. Commencez par vérifier que les Cloud Connectors et que tous les serveurs StoreFront disposent d’une capacité suffisante.

  • Heure de démarrage de la machine virtuelle : il s’agit du temps qui s’écoule entre le moment où l’utilisateur clique sur l’icône pour accéder à son bureau et le moment où il démarre la machine virtuelle pour lui. Si cette métrique semble trop longue, pensez à augmenter la capacité de la mémoire tampon pour le groupe de mise à disposition.

  • Durée deconnexion HDX : tempsnécessaire pour configurer la connexion HDX entre le client et l’hôte Citrix VDA. Si cette métrique semble lente, examinez les connexions réseau. Vérifiez que les paquets ne sont pas abandonnés de manière excessive et que l’utilisation de la bande passante du réseau est inférieure à 80 %.

  • Temps d’authentification : temps nécessaire pour terminer l’authentification de la session à distance. Si ce délai est long, recherchez les contrôleurs de domaine (DC) AD utilisés pour l’authentification. Vérifiez que vos sites et services sont configurés de sorte que les contrôleurs de domaine les plus proches soient utilisés pour l’authentification et qu’ils disposent de la capacité de calcul nécessaire pour gérer la charge de session.

  • Heure GPO : tempsnécessaire pour appliquer les paramètres de stratégie de groupe (y compris les stratégies Citrix) à la session. Si la métrique est trop longue, vous pouvez effectuer une exploration vers le bas en cliquant sur le lien « Analyse détaillée » pour afficher l’heure de chaque GPO. Examinez le nombre de GPO appliqués et consolidez les GPO ou trouvez une solution tierce qui applique les GPO de manière synchrone plutôt que de manière asynchrone.

  • Durée des scripts d’ouverture de session : durée nécessaire pour exécuter les scripts de connexion avant le démarrage de l’Explorateur Windows. Si cette métrique est trop longue, examinez les scripts d’ouverture de session qui sont appliqués via GPO. Recherchez des moyens d’optimiser les scripts d’ouverture de session.

  • Temps de chargement du profil : temps nécessaire pour charger le profil utilisateur Windows avant le début de la session interactive. Il est important de se rappeler que si vous utilisez Citrix Profile Management, le temps de chargement est inclus dans cette métrique. Si vous utilisez une autre solution de Profile Management qui repose sur des profils Windows, le temps de chargement réel du profil est inclus dans la métrique de session interactive. Pour réduire les temps de chargement, vous pouvez utiliser Citrix Profile Management avec la fonctionnalité « Gestion des fichiers volumineux » activée ou passer à des profils en streaming.

  • Durée de lasession interactive : tempsnécessaire pour permettre à l’utilisateur de contrôler le clavier et la souris après le chargement du profil Windows. Cette métrique comprend trois phases : pre-userinit, userinit et shell. Cette période inclut les solutions de profil tierces qui s’exécutent après le chargement du profil Windows et avant que l’utilisateur ne soit autorisé à contrôler le bureau.

Utilisation des ressources Ce graphique fournit une vue des indicateurs clés et une comparaison entre les 24 heures précédentes et les indicateurs actuels. Ce graphique est utile pour déterminer en un coup d’œil où se situe le goulot d’étranglement des performances lorsque vous constatez de longs délais de connexion ou des échecs de connexion. Si vous identifiez des tendances avec des machines, vous pouvez utiliser Azure Monitor pour approfondir vos recherches.

Citrix Policy contrôle la surveillance des ressources et l’active par défaut. Citrix Policy for Process Monitoring est désactivée par défaut car elle consomme des ressources supplémentaires, mais elle fournit des informations détaillées sur les processus.

Alertes

À l’instar des alertes Azure, les alertes Citrix peuvent être configurées pour vous envoyer par e-mail des alertes concernant des indicateurs qu’il est important de résoudre rapidement. Définissez des stratégies d’alerte en cas de panne afin de réduire les efforts liés à la révision fréquente des indicateurs du site. Cela vous permet de travailler sur des tâches plus prioritaires. Avec la licence Premium, vous pouvez définir des valeurs aux niveaux Avertissement et Critique pour recevoir des e-mails. Lorsque vous surveillez votre déploiement Citrix dans Azure, les alertes suivantes sont recommandées :

Stratégies du site

Les stratégies du site regroupent les alertes sur tous les groupes de mise à disposition, utilisateurs et machines et fournissent des avertissements pour les événements survenus à l’échelle du site. Ces alertes sont utiles pour vous informer lorsque des ressources de votre site se situent en dehors des zones de référence.

  • Taux d’échec de connexion : pourcentage d’échecs de connexion au cours de la dernière heure. Définissez une alerte après avoir examiné attentivement vos valeurs de référence pour ce compteur. Tous les environnements ont un taux d’échec de base qui se produit naturellement lorsque les utilisateurs tentent de se connecter, bien que 0 % soit la valeur idéale.

  • Nombre d’échecs de connexion : nombre de connexions ayant échoué au cours de la dernière heure. Définissez une alerte après avoir examiné attentivement vos valeurs de référence pour ce compteur. Tous les environnements ont un nombre de défaillances de base qui se produit naturellement lorsque les utilisateurs tentent de se connecter, bien que 0 soit la valeur idéale.

  • Machines en panne (système d’exploitation mono-session) : nombre de machines avec système d’exploitation mono-session défaillantes. Définissez une alerte lorsque ce compteur a une valeur supérieure à 1.

  • Machines en panne (système d’exploitation multi-session) : nombre de machines avec OS multi-session défaillantes. Définissez une alerte lorsque ce compteur a une valeur supérieure à 1.

  • Duréemoyenne de connexion : duréemoyenne de connexion d’un utilisateur au cours de la dernière heure. Citrix recommande d’émettre un avertissement lorsque la durée moyenne de connexion dépasse 45 secondes. Un meilleur indicateur serait peut-être lorsque la durée moyenne de connexion dépasse 125 % de votre temps de connexion de référence.

Stratégies relatives aux groupes de mise à disposition et aux sessions multiples

Ces mesures sont agrégées au niveau du groupe de mise à disposition, de la machine multi-session ou de la machine mono-session. Ces indicateurs sont utiles lorsque vous devez vous concentrer sur un ensemble particulier de ressources afin de vérifier qu’elles fonctionnent comme prévu. Par exemple, lorsque vous souhaitez surveiller l’expérience utilisateur pour les postes de travail virtuels dédiés aux cadres. Dans ces cas, vous pouvez avoir des alertes plus strictes concernant les taux d’échec ou les événements d’ouverture de session moyens.

  • Taux d’échec de connexion : pourcentage d’échecs de connexion au cours de la dernière heure. Définissez une alerte après avoir examiné attentivement vos valeurs de référence pour ce compteur. Tous les environnements ont un taux d’échec de base qui se produit naturellement lorsque les utilisateurs tentent de se connecter, bien que 0 % soit la valeur idéale.
  • Nombre d’échecs de connexion : nombre de connexions ayant échoué au cours de la dernière heure. Définissez une alerte après avoir examiné attentivement vos valeurs de référence pour ce compteur. Tous les environnements ont un nombre de défaillances de base qui se produit naturellement lorsque les utilisateurs tentent de se connecter, bien que 0 soit la valeur idéale.
  • ICA RTT (moyenne) : temps moyen aller-retour de l’ICA. Citrix recommande de définir une alerte d’avertissement lorsque 5 sessions ou plus présentent un RTT ICA de 300 ms ou plus.

  • Duréemoyenne de connexion : duréemoyenne de connexion d’un utilisateur au cours de la dernière heure. Citrix recommande d’émettre un avertissement lorsque la durée moyenne de connexion dépasse 45 secondes. Un meilleur indicateur serait peut-être lorsque la durée moyenne de connexion dépasse 125 % de votre temps de connexion de référence.

Stratégies relatives aux utilisateurs

Les alertes utilisateur sont les seules alertes qui ne sont pas agrégées sur plusieurs ressources. Comme elles ne sont pas agrégées, vous pouvez signaler les valeurs réelles lorsqu’elles se situent en dehors des plages acceptables.

  • ICA RTT : temps aller-retour (RTT) ICA/HDX en millisecondes (ms). Toute latence RTT inférieure à 50 ms est considérée comme idéale. Généralement, l’expérience utilisateur commence à se dégrader lorsque la latence RTT dépasse 100 ms pendant une période prolongée. L’alerte est déclenchée lorsque le RTT de l’ICA est supérieur au seuil défini.

Applications

La section Applications de Citrix Monitor fournit des informations sur l’état et l’utilisation des applications et des postes de travail publiés. Si le Citrix Probe Agent est installé sur une machine et configuré via la console, les résultats du sondage des dernières 24 heures sont affichés. Citrix Monitor affiche les résultats de l’enquête ainsi que toute autre analyse des applications pour détecter les défauts et les erreurs, vous donnant ainsi une vue synthétique de l’état de santé de l’environnement. Les sondes indiquent l’étape du processus de lancement où l’application a échoué, telle que l’authentification, l’énumération ou le téléchargement du fichier ICA. Ces informations sont précieuses pour résoudre les problèmes de lancement d’applications. L’utilisation de la surveillance des applications vous permet de résoudre les problèmes de manière proactive avant qu’ils ne se transforment en pannes.

Citrix Analytics

Citrix Analytics est un service basé sur le cloud qui regroupe les données glanées auprès des utilisateurs de Citrix sur les appareils, les réseaux et les applications. Le seul objectif de Citrix Analytics est d’identifier les relations et les tendances qui peuvent mener à des informations exploitables. Analytics s’appuie sur des algorithmes d’apprentissage automatique (ML) intégrés pour détecter les anomalies comportementales pouvant indiquer des problèmes chez les utilisateurs de Citrix. Citrix Analytics travaille avec des fournisseurs tiers, dont Microsoft, pour collecter des données à des fins d’analyse et propose les offres suivantes :

Citrix Analytics for Security : se concentre sur le comportement des utilisateurs et des applications, en recherchant principalement les menaces internes ou les comportements malveillants.

Citrix Analytics for Performance : met l’accent sur l’expérience utilisateur. L’analyse des performances utilise des données provenant d’applications et de bureaux virtuels pour générer un score d’expérience utilisateur à partir de facteurs clés qui définissent l’expérience utilisateur.

Citrix Analytics s’intègre aux produits suivants pour fournir des vues complètes :

  • Citrix Virtual Apps and Desktops

  • Citrix Application Delivery Controller (NetScaler)

  • Citrix Secure Workspace Access (contrôle d’accès)

  • Citrix Gateway

  • Citrix Content Collaboration

  • Citrix Endpoint Management

  • Citrix Secure Browser

  • Microsoft Graph Security

  • Microsoft Active Directory

Toutes les données collectées sont conservées pendant 13 mois ou 396 jours ou jusqu’à 90 jours après la fin de l’abonnement.

Les données peuvent être intégrées dans n’importe quel service SIEM prenant en charge les rubriques Kafka ou les connecteurs de données basés sur LogStash, tels que Microsoft Sentinel. Les données peuvent également être exportées au format CSV (valeurs séparées par des virgules) à des fins d’analyse sur d’autres systèmes.

Citrix Analytics est accessible via votre compte Citrix Cloud. Une fois configuré et configuré, vous pouvez accéder à des tableaux de bord qui fournissent des informations et des recommandations compilées par Citrix Analytics.

Tableau de bord Informations fournies Service Citrix Analytics
Utilisateurs Modèles de comportement des utilisateurs Sécurité
Accès utilisateur Résumé des domaines à risque et du volume de données entrées/sorties Sécurité
Accès aux applications Résumé des domaines, des URL et des applications auxquels les utilisateurs ont accédé Sécurité
Partager des liens Résumé des modèles de liens de partage organisationnels Sécurité
Emplacement Access Assurance Résumé des informations de connexion et d’accès pour les utilisateurs de Citrix Virtual Apps and Desktops Sécurité
Rapports Création de rapports personnalisés avec les indicateurs disponibles Sécurité
Expérience utilisateur Résumé des principaux indicateurs de performance du site Performances
Infrastructure Résumé de l’état et de la santé des machines virtuelles de votre site Performances

Citrix Analytics-Security fournit ces rapports, des scores d’évaluation des risques et des indicateurs pour les utilisateurs, des liens de partage et des emplacements d’adresses IP. Des indicateurs de risque personnalisés peuvent être créés en plus des stratégies personnalisées pour affiner les conditions utilisées pour l’évaluation des risques. Vous pouvez activer une fonction appelée Demande de réponse de l’utilisateur final, qui alerte immédiatement l’utilisateur lorsqu’une activité inhabituelle est observée. Les listes de surveillance sont une autre fonctionnalité qui vous permet de surveiller des utilisateurs spécifiques qui représentent une menace potentielle ou un risque plus élevé. Vous recevez des e-mails hebdomadaires de Citrix Analytics-Security contenant des indicateurs de risque importants et des utilisateurs identifiés.

Sources

L’objectif de cette architecture de référence est de vous aider à planifier votre propre implémentation. Pour faciliter ce travail, nous aimerions vous fournir des diagrammes sources que vous pouvez adapter dans vos propres conceptions détaillées et guides d’implémentation : diagrammes source.

Références

Opérations

Identité

Gouvernance

Sécurité

Moniteur Azure

Connectivité

Architecture de référence : Citrix DaaS - Azure

Dans cet article