Architecture de référence des services et méthodes de déploiement des applications virtuelles Citrix Cloud

Public

Ce document est destiné aux décideurs informatiques, aux consultants, aux intégrateurs de solutions et aux partenaires qui cherchent à déployer ou à développer leurs solutions de déploiement Citrix Apps & Desktops existantes avec Citrix Cloud.

Objectif du présent document

Lors de la conception d’une solution d’applications et de postes de travail virtuels à l’aide de Citrix Cloud, il y a plusieurs considérations, allant du type de postes de travail et d’applications requis, de la manière dont les utilisateurs accèderont aux postes de travail et aux applications avec leurs données, de la manière de créer un environnement capable de s’adapter à la croissance d’une entreprise et à la croissance de son entreprise. et comment la solution est rendue hautement disponible pour répondre aux besoins de l’entreprise.

Cette architecture de référence vise à fournir une vue conceptuelle de la solution, y compris ce qu’est Citrix Cloud et ses modèles de déploiement pour le service Citrix Virtual Apps and Desktops. L’objectif est de garantir une expérience utilisateur positive et de maximiser la disponibilité des services tout en s’intégrant aux charges de travail de cloud hybride.

Qu’est-ce que Citrix Cloud ?

Citrix Cloud est une plate-forme basée sur le cloud composée de diverses offres de services. Beaucoup de ces services fonctionnent comme un plan de gestion qui est maintenu en permanence par Citrix avec les charges de travail et les données résidant dans le centre de données ou le cloud du choix du client. Cette approche permet aux clients de se concentrer sur l’aspect le plus stratégique de la fourniture des ressources et de l’informatique avec la sécurité, la disponibilité et les fonctionnalités requises par l’entreprise. Au moment de la rédaction du présent rapport, Citrix Cloud offre les services suivants :

  • Virtual Apps and Desktops
  • Endpoint Management
  • Gateway
  • Application Delivery Management
  • Web App Firewall
  • ADC VPX
  • Content Collaboration
  • Access Control
  • Smart Tools
  • Analytique
  • App Layering
  • Adaptateur ITSM
  • Gestion intelligente du trafic
  • Secure Browser
  • Workspace Environment Management

Ces services peuvent être accessibles ensemble en tant qu’espace de travail intégré ou indépendamment.

CVAD-Image-1

Pourquoi Citrix Cloud ?

L’engagement de service Citrix consiste à maintenir au moins 99,5 % de temps de disponibilité mensuel. L’état de la plateforme et de ses services est accessible à l’adressehttps://status.cloud.com. Les services hébergés par Citrix Cloud sont gérés par des experts Citrix et sont constamment mis à jour, de sorte que les services informatiques n’ont pas à se soucier des mises à niveau de plate-forme à grande échelle, ce qui crée un environnement sécurisé et permanent qui permet d’économiser du temps et de réduire les coûts. Avec Citrix Cloud, les clients peuvent passer à un coût d’abonnement plus prévisible à OpEx plutôt qu’à un modèle CapEx souvent imprévisible et potentiellement coûteux. Citrix Workspace Service offre une expérience intégrée pour accéder aux applications et au contenu depuis n’importe quel appareil, n’importe où et à tout moment. Les utilisateurs bénéficient d’une expérience de travail transparente et attrayante, quel que soit le type d’application, d’appareil, de réseau ou d’emplacement à partir de laquelle ils se connectent.

Service Citrix Cloud Virtual Apps and Desktops (CVADS)

Un déploiement Citrix traditionnel pour les applications et les postes de travail comprend des delivery controller, des serveurs StoreFront, une base de données SQL hautement disponible, des consoles Studio et Director, un serveur de licences et Citrix Gateway. Ces composants font partie du plan de gestion ou du plan de contrôle de l’environnement et sont déployés dans un centre de données ou un cloud géré par le client ou le partenaire. Les ressources destinées aux utilisateurs finaux mises à disposition à partir de serveurs et de postes de travail Virtual Delivery Agent (VDA) sont également hébergées sur des hyperviseurs dédiés au sein du ou des centres de données et/ou sur des clouds privés ou publics. Ces composants sont appelés charges de travail Citrix. Les composants de gestion et les charges de travail sont gérés entièrement par le client ou peut-être par un partenaire.

Dans Citrix Cloud Virtual Apps and Desktops Service, le plan de gestion ou de contrôle d’un déploiement client est provisionné et géré par Citrix sur Citrix Cloud. Les clients ne s’occupent pas de l’installation, de la configuration, des mises à niveau, de la surveillance ou de la mise à l’échelle du produit de base, car c’est à Citrix qu’il appartient de gérer et de maintenir la stabilité et la sécurité.

CVAD-Image-2

Tous les composants du plan de contrôle - StoreFront, Delivery Controllers, même la base de données SQL sont rendus hautement disponibles et font partie de l’offre de services cloud. Les clients peuvent se concentrer sur les ressources de charge de travail des VDA serveur et bureau hébergés sur l’hyperviseur ou le cloud de leur choix. Chaque emplacement de charge globale défini pour un hyperviseur ou un nuage avec des ressources spécifiques est connu sous le nom d’emplacement de ressource dans Citrix Cloud.

Cloud Connector est un nouveau composant installé dans l’emplacement des ressources pour connecter les ressources à Citrix Cloud. Il est placé à côté des VDA, dans le ou les hyperviseurs ou les nuages publics, et dans l’environnement Active Directory. Les connecteurs Citrix Cloud sont conçus pour une intégration transparente et pour offrir la meilleure expérience utilisateur sur n’importe quel appareil, quelle que soit la condition réseau.

Citrix Workspace Experience, une version améliorée et successeur de Storefront dans Citrix Cloud, est la première solution du secteur offrant l’intégration de Windows, Linux, Web, SaaS et applications mobiles dans une interface unifiée et simple à utiliser. Citrix Workspace regroupe entièrement les applications et les données provenant d’environnements locaux et de cloud afin de fournir les ressources requises avec la bonne expérience au bon utilisateur au bon moment. Grâce à cette architecture améliorée, les clients possèdent et conservent un contrôle total sur les ressources provisionnées telles que les postes de travail, les applications, les stratégies et les utilisateurs utilisant Citrix Cloud Portal.

Architecture générique et conceptuelle

L’architecture Citrix Virtual Apps and Desktops est divisée en couches. Toutes les couches s’unissent pour créer une solution complète de bout en bout pour une organisation.

CVAD-Image-3

  • Couche utilisateur - Cette couche décrit l’environnement utilisateur final et les périphériques de point de terminaison qui seront utilisés pour se connecter aux ressources. Cette section explique également le cas d’utilisation de Citrix Workspace et Citrix Workspace App.

  • Layer d’accès - Cette couche décrit les détails entourant l’accès externe et interne à l’environnement Citrix. Cette section fournit des détails de conception pour les réseaux virtuels, la connectivité de l’emplacement des ressources, le placement et la configuration de Citrix Gateway et StoreFront.

  • Layer de ressources : cette couche capture des informations pour la personnalisation, les applications et les images de l’utilisateur pour l’environnement Citrix.

  • Couche de contrôle - Cette couche décrit les détails entourant les composants utilisés pour prendre en charge le reste de l’environnement, y compris la conception de site pour Citrix Cloud Services, Cloud Connector et l’intégration Active Directory.

  • Platform Layer - Cette couche décrit les composants matériels, le cloud privé, public et hybride, qui seront utilisés pour l’environnement Citrix (matériel, stockage et virtualisation).

  • Couche Opérations — Cette couche explique les procédures et les outils qui prennent en charge le produit et la solution de base.

Préparation pour Citrix Cloud

Inscrivez-vous à Citrix Cloud

Pour s’inscrire à Citrix Cloud, les clients ont besoin d’un compte Citrix.com ou MyCitrix pour gérer, accéder et attribuer des licences pour les services Citrix Cloud. Ce compte est connu sous le nom de compte Citrix Cloud. Le compte utilise un ID d’organisation (OrgID) comme identifiant unique pour chaque client et il est associé à une adresse de site physique (généralement l’adresse d’organisation d’un client). Pour commencer avec Citrix Cloud, accédez àhttps://citrix.cloud.comet créez un compte ou connectez-vous avec un compte Citrix pour activer les pistes des Services Cloud.

Un compte Citrix Cloud permet aux administrateurs d’avoir un accès administratif étendu sur les services. Par conséquent, Citrix s’attend à ce que le premier administrateur qui crée le compte Citrix Cloud donne explicitement accès à d’autres administrateurs si nécessaire, même si l’autre administrateur est déjà membre du compte MyCitrix existant.

Région Citrix Cloud

Une région Citrix Cloud est une limite géographique dans laquelle Citrix opère, stocke et réplique des services et des données pour la fourniture de services Citrix Cloud. Lorsqu’un client est intégré à Citrix Cloud et qu’il se connecte pour la première fois, il est invité à choisir l’une des régions suivantes :

  • Etats Unis
  • Union européenne
  • Asie-Pacifique Sud

Le client doit choisir une région qui correspond à l’emplacement de la majorité des utilisateurs et des ressources. Citrix Cloud Services sont conçus pour être utilisés à l’échelle mondiale. Tous les services sont disponibles dans le monde entier, quelle que soit la région choisie par le client pour son organisation. Certains services, tels que Virtual Apps and Desktops Service, ont des instances régionales dédiées ; cependant, certains services ont uniquement des instances basées aux États-Unis.

Il est important de noter que les administrateurs ne peuvent choisir une région qu’une seule fois et qu’elle ne peut pas être modifiée ultérieurement. Les clients qui ont opté pour la région américaine avec Cloud Connector en Australie verront cependant un impact minime de la latence.

Emplacements des ressources

Un emplacement de ressource est l’emplacement de la charge de travail Citrix et d’autres outils d’exploitation du client, qu’il s’agisse d’un cloud public ou privé, d’une succursale ou d’un centre de données. Les emplacements de ressources contiennent des ressources différentes selon les services Citrix Cloud que le client utilise et les services qu’il souhaite fournir aux abonnés. Les ressources typiques comprennent :

  • Domaines Active Directory
  • Appliances Citrix ADC
  • Hyperviseurs
  • Agents de bureau virtuel (VDA)
  • Serveurs StoreFront
  • Citrix Cloud Connectors

Un emplacement de ressource principal est un emplacement de ressource que le client désigne comme « le plus préféré » pour les communications entre le domaine client et Citrix Cloud. L’emplacement de ressource sélectionné comme « principal » doit avoir des connecteurs Cloud adéquats qui offrent les meilleures performances et la meilleure connectivité au domaine AD du client, aux charges de travail et aux ressources Citrix. La désignation de l’emplacement principal des ressources permet aux utilisateurs de se connecter rapidement et d’accéder à l’environnement Citrix Cloud. Il n’y a aucune restriction quant au nombre d’emplacements de ressources qu’un client peut avoir.

La configuration des emplacements de ressources commence par les éléments suivants :

  • Configurer ou configurer Active Directory
  • Configurer votre environnement hôte (hyperviseur/cloud)

CVAD-Image-4

Active Directory sur chaque emplacement de ressource est nécessaire pour accéder aux demandes d’authentification et les vérifier via Cloud Connector. Dans le cas où l’emplacement de ressource principale n’est pas disponible, les demandes d’authentification seront traitées à partir d’autres emplacements de ressources à partir desquels le Cloud Connector est connecté au domaine Active Directory.

Référence : Citrix Docs : emplacement des ressources

Gestion des identités et des accès de Citrix Cloud

Citrix Cloud Identity and Access Management définit les fournisseurs d’identité et les comptes utilisés pour les administrateurs et les abonnés (utilisateurs finaux) à Citrix Cloud et ses offres.

Fournisseurs d’identité

Citrix Cloud utilise le fournisseur d’identité appartenant à Citrix pour gérer les informations d’identité de tous les utilisateurs d’un compte Citrix Cloud. Les clients peuvent modifier cette option pour utiliser Azure Active Directory ou Active Directory local.

Abonnés

L’identité d’un abonné (utilisateur final) définit les services auxquels il a accès dans Citrix Cloud. Cette identité provient des comptes de domaine Active Directory fournis à partir des domaines dans l’emplacement de ressource. L’attribution d’un abonné à une offre de bibliothèque (ressources telles que des postes de travail et des applications) autorise l’abonné à accéder à cette offre.

Les administrateurs peuvent contrôler les domaines utilisés pour fournir ces identités dans le panneau Domaine. Si un client envisage d’utiliser des domaines de plusieurs forêts, il doit installer au moins deux Cloud Connector dans chaque forêt pour maintenir un environnement hautement disponible.

Référence :Citrix Docs : Gestion des identités et des accès Référence :Citrix Docs : offres de bibliothèque et attribution d’utilisateurs

Active Directory

Active Directory est un rôle important pour l’authentification et l’autorisation avec Citrix Cloud. L’infrastructure Kerberos dans Active Directory est utilisée pour garantir l’authenticité et la confidentialité des communications avec les Delivery Controller basés sur le cloud. La connexion du domaine Active Directory d’un client à Citrix Cloud peut être réalisée par deux méthodes :

Connexion d’Azure AD à Citrix Cloud

Les clients qui ont intégré leur Active Directory avec Azure AD peuvent désormais facilement connecter leur Azure AD avec Citrix Cloud. Une fois que Azure AD est connecté à Citrix Cloud, il aide les utilisateurs à se connecter de manière transparente. Citrix Cloud inclut une application Azure AD qui permet à Citrix Cloud de se connecter à Azure AD sans que les utilisateurs aient besoin de se connecter pour une nouvelle session Azure AD.

CVAD-Image-5

En utilisant Azure AD avec Citrix Cloud, les clients peuvent :

  • Tirez parti de leur propre Active Directory pour contrôler l’audit, les stratégies de mot de passe et désactiver facilement les comptes en cas de besoin
  • Configurer l’authentification multi-facteurs pour un niveau de sécurité supérieur
  • Utilisez une page de connexion de marque pour que les utilisateurs sachent qu’ils se connectent au bon endroit
  • Utilisez la fédération pour un fournisseur d’identité de votre choix, y compris ADFS, Okta, Ping et autres

Connexion d’un domaine AD local à Citrix Cloud

La connexion de l’emplacement des ressources (local) Active Directory à Citrix Cloud implique l’installation de Cloud Connectors dans l’environnement de domaine Citrix du client. Citrix recommande fortement d’installer au moins deux Cloud Connector pour une haute disponibilité. Une fois les connecteurs Cloud installés, le domaine d’emplacement de ressource est renseigné et activé sur Citrix Cloud pour l’authentification utilisateur / abonné.

CVAD-Image-6

Qu’est-ce qu’un Cloud Connector ?

Citrix Cloud Connector est un composant important dans un emplacement de ressource qui sert de canal de communication entre Citrix Cloud et les emplacements de ressources. Il permet la gestion du cloud sans nécessiter de configuration complexe de réseau ou d’infrastructure. Dans un emplacement de ressource, le Cloud Connector agit comme un proxy pour le Delivery Controller provisionné sur Citrix Cloud. Cela élimine tous les tracas de la gestion de l’infrastructure de livraison par le client.

Citrix recommande d’installer le Cloud Connector sur une machine exécutant Windows Server 2016 ou Windows Server 2012 R2. Cette machine Connector doit être connectée au domaine client et être en mesure de communiquer avec les ressources que le client souhaite gérer à partir de Citrix Cloud. Dans chaque emplacement de ressource, il est recommandé de disposer de deux connecteurs Cloud ou plus pour prendre en charge la charge requise et garantir une haute disponibilité.

Équilibrage de charge des connecteurs cloud

Le Citrix Cloud Connector est sans état, la charge peut être répartie sur tous les Cloud Connector disponibles. Pour gérer une charge adéquate, installez plusieurs Cloud Connector dans chaque emplacement de ressource. Il n’est pas nécessaire de configurer la fonctionnalité d’équilibrage de charge car elle est entièrement automatisée. L’intégrité des Cloud Connectors peut être surveillée via le portail Citrix Cloud.

Fonctions Cloud Connector

Cloud Connector active les fonctions suivantes pour le service Citrix Cloud Virtual Apps and Desktops :

  • Active Directory : active la gestion AD, permettant l’utilisation de forêts AD et de domaines AD au sein d’emplacements de ressources. Il supprime la nécessité d’ajouter des approbations AD supplémentaires.
  • Publication d’applications et de bureaux virtuels : Active les ressources de publication à partir de tous les emplacements de ressources.
  • Provisioning des groupes de mise à disposition : Active le provisioning des machines directement dans des emplacements de ressources.

CVAD-Image-7

Communication Cloud Connector

Cloud Connector authentifie et crypte toutes les communications entre Citrix Cloud et les emplacements de ressources en utilisant la connexion Internet disponible dans l’emplacement de ressource. Le Cloud Connector prend également en charge les connexions à Citrix Cloud via Internet via un serveur proxy Web. Le proxy Web doit comprendre le tunneling Connect et les connexions persistantes WebSocket. Pendant l’installation, le programme d’installation et les services qu’il installe doivent communiquer avec Citrix Cloud. L’accès à Internet doit être disponible à ces deux endroits.

Toutes les communications entre Cloud Connector et Citrix Cloud sont « sortantes ». Toutes les connexions sont établies à partir du Cloud Connector vers le plan de contrôle Citrix Cloud à l’aide du port HTTPS standard (443) avec le protocole TLS 1.2 standard Web. Aucune connexion entrante n’est acceptée. Le Cloud Connector ne peut pas effectuer d’approbations transversales au niveau du domaine. Par conséquent, des connecteurs Cloud supplémentaires doivent être installés par domaine utilisateur. Il est important de comprendre que Citrix Cloud stocke uniquement les métadonnées, telles que les noms d’utilisateur, les noms d’application et les icônes, tandis que les données et les ressources d’entreprise restent dans chaque emplacement de ressource configuré. Néanmoins, toutes les données entre Citrix Cloud et Cloud Connectors sont cryptées avec TLS pendant le transit.

L’activation du déchiffrement SSL sur certains proxy peut empêcher le Cloud Connector de se connecter correctement à Citrix Cloud. Pour plus d’informations, reportez-vous à la sectionCTX221535.

Tant qu’au moins un Cloud Connector est disponible, il n’y aura aucune perte de communication avec Citrix Cloud à partir d’un emplacement de ressource. Toutefois, pour gérer la charge requise, les clients doivent s’assurer qu’ils disposent de connecteurs adéquats installés et disponibles en permanence. La connexion HDX de l’utilisateur final aux ressources de l’emplacement des ressources ne repose pas sur une connexion à Citrix Cloud dans certaines méthodes de déploiement, dans la mesure du possible. Cela permet à l’emplacement des ressources de fournir aux utilisateurs un accès à leurs ressources quelle que soit la connexion disponible à Citrix Cloud.

Référence : Citrix Docs : Configuration requise pour la connectivité Internet Cloud Connector

Zones

Dans un environnement Citrix Virtual Apps and Desktops Service, chaque emplacement de ressource est considéré comme une zone. Lorsque les clients créent un emplacement de ressource et installent un Cloud Connector, une zone est automatiquement créée. Chaque zone peut avoir un ensemble de ressources différent, en fonction des besoins uniques d’une organisation et du type de son environnement.

Les déploiements de services Citrix Virtual Apps and Desktops qui couvrent des emplacements très dispersés connectés par un réseau étendu peuvent faire face à des défis liés à la latence et à la fiabilité du réseau. Les zones peuvent aider les utilisateurs des régions éloignées à se connecter aux ressources sans obliger leurs connexions à traverser de grands segments du WAN.

Les zones peuvent être utiles dans les déploiements de toutes tailles. Les clients peuvent utiliser des zones pour garder les applications et les postes de travail plus proches des utilisateurs, ce qui améliore les performances. Les zones peuvent être utilisées pour la reprise après sinistre, les centres de données géographiquement distants, les succursales, un nuage ou une zone de disponibilité dans un nuage.

Le nombre de zones et de connecteurs de nuage pour chaque zone configurée dans le site peut affecter les performances de certaines opérations. Pour éviter cela, Citrix recommande de limiter le nombre de zones à un maximum de 10.

Les zones d’un environnement Citrix Virtual Apps and Desktops Service ne sont pas identiques aux zones d’un déploiement Citrix Virtual Apps and Desktops local. Dans Citrix Virtual Apps and Desktops Service, les zones sont créées automatiquement lorsque les clients créent un emplacement de ressource et y ajoutent un Cloud Connector. Contrairement à un déploiement local, un environnement de service ne classe pas les zones comme principales ou satellites. Dans XenApp version 6.5 et antérieures, chaque zone avait un serveur de collecteur de données assigné qui traitait des informations dynamiques sur tous les serveurs de la zone, tels que les niveaux de charge. Le service Citrix Virtual Apps and Desktops n’utilise pas de collecteurs de données pour les zones. En outre, le basculement et les zones préférées fonctionnent différemment.

CVAD-Image-8

Pourquoi Zones ?

Le placement de composants Citrix dans une zone affecte la façon dont le service interagit avec eux et avec d’autres objets qui leur sont associés.

  • Lorsqu’une connexion hyperviseur est placée dans une zone, il est supposé que tous les hyperviseurs gérés par cette connexion résident également dans cette zone.
  • Lorsqu’un catalogue de machines est placé dans une zone, il est supposé que tous les VDA du catalogue se trouvent dans la zone.
  • Les instances Citrix Gateway peuvent être ajoutées aux zones. Lors de la création d’un emplacement de ressource, il est proposé avec la possibilité d’ajouter une passerelle Citrix Gateway. Lorsqu’une passerelle Citrix Gateway est associée à une zone, elle est utilisée de préférence lorsque des connexions à des VDA dans cette zone sont utilisées. Idéalement, Citrix Gateway dans une zone est utilisé pour les connexions utilisateur entrant dans cette zone à partir d’autres zones ou d’emplacements externes.
  • Après avoir créé plus d’emplacements de ressources et installé Cloud Connector (ce qui crée automatiquement plus de zones), les clients peuvent déplacer des ressources d’une zone à l’autre. Cette flexibilité est associée au risque de séparer les articles qui fonctionnent le mieux à proximité. Par exemple, le déplacement d’un catalogue vers une zone différente de celle de la connexion (hôte) qui crée les machines dans le catalogue peut affecter les performances. Tenez donc compte des effets imprévus potentiels avant de déplacer des éléments entre les zones. Conservez un catalogue et la connexion hôte qu’il utilise dans la même zone.
  • Si la connexion entre une zone et Citrix Cloud échoue, la fonctionnalité Local Host Cache permet à un Cloud Connector de la zone de poursuivre le courtage des connexions avec des VDA dans cette zone (notez que StoreFront doit être installé dans la zone). Par exemple, cela est efficace dans un bureau où les travailleurs utilisent le site StoreFront local pour accéder à leurs ressources locales, même si le lien WAN reliant leur bureau au réseau d’entreprise échoue.

Enregistrement VDA dans une zone

Un VDA dans une zone s’enregistre auprès d’un Cloud Connector local.

  • Tant que ce Cloud Connector peut communiquer avec Citrix Cloud, les opérations normales se poursuivent.
  • Si ce Cloud Connector est opérationnel mais ne peut pas communiquer avec Citrix Cloud (et que cette zone possède un StoreFront local), il passe en mode d’interruption du cache hôte local.
  • Si un Cloud Connector échoue, les VDA de cette zone tentent de s’inscrire auprès d’autres Cloud Connector locaux. Un VDA dans une zone ne tente jamais de s’inscrire auprès d’un Cloud Connector dans une autre zone.

L’ajout ou la suppression d’un Cloud Connector dans une zone se fait à l’aide de la console de gestion Citrix Cloud si la mise à jour automatique est activée, les VDA de cette zone reçoivent les listes mises à jour des connecteurs Cloud locaux disponibles pour enregistrer et accepter les connexions.

Déplacement d’un catalogue de machines vers une autre zone à l’aide de Studio, les VDA de ce catalogue se réinscrivent auprès de Cloud Connector dans la zone où ils ont été déplacés. Dans ce scénario, assurez-vous de déplacer toute connexion hôte associée vers la même zone.

Préférence de zone

Dans un environnement de site multi-zones, la fonction de préférence de zone offre à l’administrateur plus de flexibilité pour contrôler quel VDA est utilisé pour lancer une application ou un bureau. Cette fonctionnalité peut être utilisée pour les situations de reprise après sinistre afin de fournir un accès sans effort aux ressources.

Il existe trois options de préférence de zone qui peuvent être utilisées pour le lancement de la session :

  • Accueil de l’application : zone dans laquelle les données liées à l’application sont stockées
  • Accueil de l’utilisateur : zone dans laquelle les données du profil utilisateur ou du disque personnel sont stockées
  • Emplacement de l’utilisateur : zone située à proximité de l’utilisateur

Sélection de la zone préférée

Lorsqu’une demande de lancement d’un poste de travail ou d’une application est reçue par un delivery controller, il doit déterminer une zone « préférée » à utiliser pour trouver un VDA pour satisfaire la demande. Un ordre de préférence est désormais utilisé pour sélectionner une seule zone parmi celles disponibles. L’ordre par défaut est d’abord la zone d’accueil de l’application, puis la zone d’accueil de l’utilisateur, puis la zone d’emplacement de l’utilisateur. Ainsi, la sélection de la zone préférée est :

  • Pour les lancements d’application, si l’application possède une zone d’accueil, il s’agit de la zone préférée.
  • Sinon, si l’utilisateur a une zone d’accueil, il s’agit de la zone préférée.
  • Sinon, si une zone d’emplacement utilisateur est fournie, il s’agit de la zone préférée.

Comment les zones préférées affectent l’utilisation des sessions

Lorsqu’un utilisateur lance une application ou un bureau, le courtier préfère utiliser la zone préférée plutôt que d’utiliser une session existante.

Si l’utilisateur qui lance une application ou un bureau dispose déjà d’une session qui convient à la ressource en cours de lancement (par exemple, qui peut utiliser le partage de session pour une application ou une session qui exécute déjà la ressource en cours d’exécution), mais que cette session s’exécute sur un VDA dans une zone autre que le pour l’utilisateur/l’application, le système peut créer une nouvelle session. Cela satisfait au lancement dans la zone appropriée (s’il a la capacité disponible), avant de se reconnecter à une session dans une zone moins préférée pour les besoins de session de cet utilisateur.

Pour empêcher une session orpheline qui ne peut plus être atteinte, la reconnexion est autorisée aux sessions déconnectées existantes, même si elles se trouvent dans une zone non préférée.

L’ordre d’opportunité pour les sessions de satisfaire un lancement est :

  1. Reconnectez-vous à une session existante dans la zone préférée.
  2. Reconnectez-vous à une session déconnectée existante dans une zone non préférée.
  3. Démarrez une nouvelle session dans la zone préférée.
  4. Reconnectez-vous à une session existante connectée dans une zone non préférée.
  5. Démarrer une nouvelle session dans une zone non préférée.

Référence : Citrix Docs : Citrix Cloud — Zones

Cache hôte local

Le cache hôte local (LHC) est une fonctionnalité dotée de connecteurs cloud qui permet aux utilisateurs de continuer à travailler en gérant les opérations de courtage de connexion dans un déploiement Citrix Virtual Apps and Desktops Service lorsqu’un Cloud Connector ne peut pas communiquer avec Citrix Cloud. Le cache hôte local s’engage lorsque la connexion réseau est perdue entre le Cloud Connector et Citrix Cloud pendant 20 secondes. Avec Local Host Cache, les utilisateurs connectés peuvent continuer à travailler sans interruption. Les reconnexions et les nouvelles connexions subissent des retards minimes de connexion.

LHC utilise SQL Server Express LocalDB qui est installé lors de l’installation de Cloud Connector pour stocker les données requises pour un service ininterrompu lors d’une panne. La configuration du processeur d’un Cloud Connector, en particulier le nombre de cœurs disponibles pour SQL Server Express LocalDB, affecte directement les performances du cache hôte local. La surcharge du processeur n’est observée que pendant la période d’interruption lorsque la base de données est inaccessible et que le service de haute disponibilité est actif. Citrix recommande d’utiliser plusieurs sockets avec plusieurs cœurs pour les machines Cloud Connector. Dans les tests Citrix, une configuration à 2 sockets et 3 cœurs a fourni de meilleures performances que les configurations 4x1 et 6x1. Le cache hôte local fonctionne uniquement dans les emplacements de ressources contenant un StoreFront local.

CVAD-Image-9

Référence : Citrix Docs : cache hôte local

Comment sécuriser le Cloud Connector ?

Veuillez vous référer auguide de déploiement sécurisésur Citrix Docs.

Directives de dimensionnement

Reportez-vous audirectives de dimensionnementpour Cloud Connector et Local Host Cache sur Citrix Docs.

Agent de mise à disposition virtuelle

Le logiciel Citrix Virtual Delivery Agent (VDA) doit être installé sur les machines physiques ou virtuelles qui fournissent des applications et des postes de travail aux utilisateurs. Le VDA s’enregistre avec un Cloud Connector, et les connexions des utilisateurs sont négociées via le connecteur vers ces ressources VDA. Les VDA établissent et gèrent la connexion entre la machine et la machine utilisateur, pendant le lancement ou la reconnexion de la connexion, ils appliquent des stratégies configurées pour la session.

Le VDA communique des informations de session au Cloud Connector par l’intermédiaire d’un agent de courtier dans le VDA. L’agent de courtier héberge plusieurs plugins et recueille des données en temps réel.

Les VDA sont disponibles pour les systèmes d’exploitation de serveurs et de postes de travail Windows et Linux. Les VDA pour les systèmes d’exploitation de serveurs Windows et Linux permettent à plusieurs utilisateurs de se connecter au serveur en même temps. Les VDA pour les systèmes d’exploitation de bureau Windows et Linux permettent à un seul utilisateur de se connecter au bureau à la fois.

Référence : Citrix Docs : Virtual Delivery Agent

Licence RDS

Les environnements Citrix Virtual Apps nécessitent une licence d’accès client aux services Bureau à distance (Services Bureau à distance). Les environnements Citrix Virtual Apps s’exécutent sur des machines virtuelles exécutant Windows Server 2019/2016/2012R2 avec la technologie Microsoft RDS (anciennement Terminal Services) et doivent donc être sous licence avec des licences d’accès client aux services à distance (par utilisateur ou appareil).

Le VDA doit être en mesure de contacter un serveur de licences Bureau à distance pour demander des licences d’accès client aux services Bureau à distance. Les administrateurs doivent installer et activer le serveur de licences dans les emplacements de ressources.

Gestion des machines

Il n’existe aucune ressource de calcul pour héberger des VDA pour les utilisateurs sur Citrix Cloud. Les hyperviseurs qui sont déployés dans des centres de données locaux ou des ressources dans des services Cloud (emplacements de ressources) appartenant au client sont utilisés pour provisionner les VDA requis pour l’environnement. Il s’agit de s’assurer que les clients peuvent contrôler et implémenter toutes les exigences commerciales et techniques requises. Pour provisionner plusieurs machines virtuelles et gérer ces machines virtuelles pour les mises à jour et les modifications requises pour les environnements, les clients peuvent utiliser :

  • Services de création de machines : la technologie MCS est intégrée à la console de gestion Studio et est accessible via le portail Citrix Cloud. MCS crée des copies d’une image principale pour provisionner des machines virtuelles dans des emplacements de ressources sur des hyperviseurs ou des nuages publics à l’aide du clonage sur disque.
  • Provisioning Citrix : la technologie Citrix Provisioning diffuse une image principale vers plusieurs machines cibles sur les hyperviseurs sur le réseau. Les plugins Cloud Connector sont utilisés pour communiquer avec les déploiements Citrix Provisioning à partir de Citrix Cloud Console.

Service d’authentification fédérée Citrix

Le service FAS (Federated Authentication Service) est un composant Citrix qui s’intègre à votre autorité de certification Active Directory, permettant aux utilisateurs d’être authentifiés de manière transparente dans un environnement Citrix. Lorsqu’il est activé, le FAS délègue les décisions d’authentification utilisateur aux serveurs StoreFront approuvés. StoreFront dispose d’un ensemble complet d’options d’authentification intégrées conçues autour des technologies Web modernes et est facilement extensible à l’aide du SDK StoreFront ou des plugins IIS tiers. L’objectif de conception de base est que toute technologie d’authentification qui peut authentifier un utilisateur sur un site Web peut désormais être utilisée pour se connecter à un déploiement Citrix Apps and Desktops.

Le FAS est autorisé à émettre automatiquement des certificats de classe de carte à puce pour le compte des utilisateurs Active Directory authentifiés par StoreFront. Cela utilise des API similaires aux outils qui permettent aux administrateurs de provisionner des cartes à puce physiques. Lorsqu’un utilisateur est négocié vers un agent de distribution virtuel Citrix (VDA), le certificat est attaché à la machine et le domaine Windows voit l’ouverture de session comme une authentification par carte à puce standard.

Cela permet l’authentification Windows sans invite à entrer les informations d’identification de l’utilisateur ou les codes PIN de carte à puce, et sans utiliser les fonctionnalités de « gestion des mots de passe enregistrés » telles que le service Single Sign-On. Cela peut être utilisé pour remplacer les fonctionnalités d’ouverture de session Kerberos Contrainained Délégation disponibles dans les versions antérieures de XenApp.

Pour activer FAS avec Citrix Cloud, les composants Citrix suivants doivent être créés en dehors du service Citrix Virtual Apps and Desktops Service :

  • Serveurs FAS
  • Citrix StoreFront (version minimale 3.6)
  • VDA OS de serveur/OS de bureau (version minimale 7.9)
  • (facultatif) Citrix Gateway peut être nécessaire si elle est configurée en tant qu’IdP ou SP SAML pour faire face aux serveurs StoreFront configurés pour l’authentification FAS, mais Citrix ADC n’est pas requis pour FAS lui-même

Les composants ci-dessus peuvent être intégrés dans un cloud public ou dans un centre de données local. Les serveurs FAS et StoreFront doivent être configurés en fonction de la documentation Citrix, tout comme pour une solution entièrement détenue par le client pour prendre en charge l’authentification FAS, y compris des éléments tels que l’application des paramètres de stratégie de groupe et la configuration des serveurs Microsoft Certificate Authority.

Référence : Citrix Docs : Citrix FAS

Composants Citrix Cloud

Delivery Controller

Le Delivery Controller est le composant de couche de contrôle central d’un déploiement qui est provisionné et géré par Citrix sur Citrix Cloud. Les services du Contrôleur communiquent via les connecteurs Cloud de chaque emplacement de ressource pour :

  • Distribuez des applications et des postes de travail.
  • Authentifier et gérer l’accès utilisateur.
  • Broker les connexions entre les utilisateurs et leurs bureaux et applications virtuels.
  • Optimiser les connexions utilisateur et équilibrer la charge de ces connexions.
  • Suivre les utilisateurs qui ont ouvert une session et où, les ressources de session dont ils disposent et si les utilisateurs doivent se reconnecter aux applications existantes.
  • Gérez l’état des postes de travail, en les démarrant et en les arrêtant en fonction de la demande et de la configuration administrative.

Base de données SQL

Les données des services Delivery Controller sont stockées dans une base de données de site Microsoft SQL Server sur Citrix Cloud. Un déploiement utilise également une base de données de journalisation de configuration, ainsi qu’une base de données de surveillance utilisée par Director. Les services SQL Server et les bases de données requises pour un déploiement sont gérés par Citrix, de sorte que les clients n’ont pas la visibilité de la configuration et de la gérabilité SQL.

Licence Citrix

La fonctionnalité de gestion des licences communique avec le contrôleur pour gérer les licences pour chaque session utilisateur et allouer les fichiers de licence. L’administrateur n’a pas besoin de configurer ou de gérer des licences, ce qui se fait automatiquement dans Citrix Cloud. L’onglet Utilisation des licences peut aider les administrateurs à surveiller l’utilisation des licences dans Citrix Cloud.

L’utilisation des licences dans Citrix Cloud permet aux administrateurs de rester au top de la consommation de licences pour les services cloud qu’ils ont achetés. À l’aide des rapports récapitulatifs et détaillés, ils peuvent :

  • Voir la disponibilité des licences et les affectations en un coup d’œil
  • Exploration vers le bas pour voir les détails de l’attribution de licences individuelles et les tendances d’utilisation
  • Exporter les données d’utilisation des licences vers CSV

Citrix Studio

Studio est la console de gestion pour configurer et gérer les connexions, créer des catalogues de machines et des groupes de mise à disposition. Studio peut être lancé via l’onglet Gérer de la console Citrix Cloud.

Stratégies Citrix

Les stratégies Citrix sont la méthode la plus efficace pour contrôler les paramètres de connexion, de session, de sécurité et de bande passante. Les stratégies Citrix permettent aux administrateurs de créer un ensemble de paramètres qui définissent la façon dont les sessions, la bande passante et la sécurité sont gérées pour un groupe d’utilisateurs, de périphériques ou de types de connexion.

Avec le service Virtual Apps and Desktops, les administrateurs ont la possibilité de configurer les stratégies Citrix via Citrix Studio ou via Active Directory Group Policy Management Console à l’aide de fichiers Citrix ADMX, qui fournissent des mécanismes de filtrage avancés pour sélectionner les paramètres requis pour optimiser les performances, la bande passante et la mise en œuvre de mesures de sécurité.

Toutes les stratégies locales Citrix sont créées et gérées dans la console Citrix Studio et stockées dans la base de données du site. Les stratégies de groupe sont créées et gérées à l’aide de la console de gestion des stratégies de groupe Microsoft (GPMC) et stockées dans Active Directory. Les stratégies locales Microsoft sont créées dans le système d’exploitation Windows et sont stockées dans le Registre.

Lors de la création de stratégies pour des groupes d’utilisateurs, de périphériques et de machines, certains membres peuvent avoir des exigences différentes et nécessiter des exceptions à certains paramètres de stratégie. Les exceptions sont faites au moyen de filtres dans Studio et dans la console de gestion des stratégies de stratégie de groupe qui déterminent qui ou quoi la stratégie affecte.

Ordre de priorité et ordre de traitement des stratégies

Les paramètres de stratégie de groupe sont traités dans l’ordre suivant :

  1. GPO local
  2. Objet de stratégie de groupe du site Virtual Apps and Desktops (stocké dans la base de données du site)
  3. GPO au niveau du site
  4. GPO au niveau du domaine
  5. Unités organisationnelles

Toutefois, en cas de conflit, les paramètres de stratégie traités en dernier peuvent remplacer ceux traités précédemment. Cela signifie que les paramètres de stratégie ont priorité dans l’ordre suivant :

  1. Unités organisationnelles
  2. GPO au niveau du domaine
  3. GPO au niveau du site
  4. Objet de stratégie de groupe du site Virtual Apps and Desktops (stocké dans la base de données du site)
  5. GPO local

Workflow de stratégie Citrix

Dans Studio, les paramètres de stratégie sont triés en catégories en fonction de la fonctionnalité ou de la fonctionnalité qu’ils affectent.

  • Paramètres de l’ordinateur : les paramètres de stratégie s’appliquant aux machines définissent le comportement des bureaux virtuels et sont appliqués au démarrage d’un bureau virtuel. Ces paramètres s’appliquent même lorsqu’il n’y a pas de session utilisateur active sur le bureau virtuel.

  • Paramètres utilisateur : paramètres de stratégie qui s’appliquent à l’utilisateur et définissent l’expérience utilisateur lors de la connexion à l’aide du protocole Citrix ICA. Les stratégies utilisateur sont appliquées lorsqu’un utilisateur se connecte ou se reconnecte à l’aide d’ICA. Les stratégies utilisateur ne sont pas appliquées si un utilisateur se connecte à l’aide de Microsoft RDP ou se connecte directement à la console.

Modèles de stratégie

Modèles de stratégie Citrix intégrés qui sont facilement disponibles avec des paramètres prédéfinis optimisés pour des environnements ou des conditions réseau spécifiques. Ces modèles peuvent être utilisés comme source pour créer des stratégies avec des paramètres prédéfinis pour les environnements clients.

Les modèles de stratégie suivants sont disponibles :

  • Expérience utilisateur très haute définition : ce modèle applique les paramètres par défaut qui maximisent l’expérience utilisateur. Utilisez ce modèle dans les scénarios où plusieurs stratégies sont traitées par ordre de priorité.
  • Évolutivité élevée du serveur : appliquez ce modèle pour économiser sur les ressources du serveur. Ce modèle équilibre entre l’expérience utilisateur et l’évolutivité du serveur. Il offre une bonne expérience utilisateur tout en augmentant le nombre d’utilisateurs que vous pouvez héberger sur un seul serveur. Ce modèle n’utilise pas de codec vidéo pour la compression des graphiques et empêche le rendu multimédia côté serveur.
  • Évolutivité élevée du serveur - Système d’exploitation hérité : Ce modèle d’évolutivité de serveur élevé s’applique uniquement aux VDA exécutant Windows Server 2008 R2 ou Windows 7 et versions antérieures. Ce modèle repose sur le mode graphique hérité qui est plus efficace pour ces systèmes d’exploitation.
  • Optimisé pour Citrix SD-WAN : appliquez ce modèle pour les utilisateurs travaillant à partir de succursales avec Citrix SD-WAN afin d’optimiser la livraison d’applications et de bureaux virtuels.
  • Optimisé pour le réseau étendu : ce modèle est destiné aux agents des tâches dans les succursales utilisant une connexion WAN partagée ou des emplacements distants avec des connexions à faible bande passante qui accèdent à des applications avec des interfaces utilisateur simples graphiquement avec peu de contenu multimédia. Ce modèle échange l’expérience de lecture vidéo et une certaine évolutivité du serveur pour optimiser l’efficacité de la bande passante.
  • Optimisé pour le système d’exploitation WAN hérité : ce modèle Optimisé pour WAN s’applique uniquement aux VDA exécutant Windows Server 2008 R2 ou Windows 7 et versions antérieures. Ce modèle repose sur le mode graphique hérité qui est plus efficace pour ces systèmes d’exploitation.
  • Sécurité et contrôle : utilisez ce modèle dans des environnements à faible tolérance au risque, afin de minimiser les fonctionnalités activées par défaut dans Citrix Virtual Apps and Desktops. Ce modèle inclut des paramètres qui désactiveront l’accès à l’impression, au presse-papiers, aux périphériques, au mappage de lecteur et à la redirection de port. L’application de ce modèle peut utiliser plus de bande passante et réduire la densité utilisateur par serveur.

StoreFront / Espace de travail

Citrix StoreFront est une interface permettant aux utilisateurs d’accéder à Citrix Virtual Apps and Desktops depuis le bureau ou à distance avec plusieurs appareils. Il servira de magasin d’applications libre-service d’entreprise pour les utilisateurs et permet aux administrateurs de fournir aux utilisateurs un accès centralisé en libre-service à leurs postes de travail et applications virtuels. StoreFront de Citrix permet aux utilisateurs d’accéder à l’authentification unique, ce qui leur permet d’accéder facilement aux applications et aux bureaux virtuels.

Il assure également le suivi des abonnements aux applications, des noms de raccourcis et d’autres données des utilisateurs afin de garantir une expérience cohérente sur plusieurs appareils. Avec Citrix Cloud Virtual Apps and Desktops Services, le déploiement StoreFront est flexible pour permettre aux clients de répondre aux exigences de leur organisation et de leurs cas d’utilisation.

  1. StoreFront / Espace de travail hébergé dans le cloud : le service Virtual Apps and Desktops dans Citrix Cloud héberge un service StoreFront / Workspace pour chaque client. L’avantage de StoreFront hébergé dans le cloud est qu’il n’y a aucun effort à déployer et qu’il est maintenu à perpétuité par Citrix. Le client recevra une URL basée sur le cloud pour accéder aux applications et aux postes de travail.

  2. StoreFront local : les clients peuvent également utiliser un StoreFront local existant pour agréger des applications et des postes de travail dans Citrix Cloud. Ce cas d’utilisation offre une plus grande sécurité, notamment la prise en charge de l’authentification à deux facteurs et empêche les utilisateurs de saisir leur mot de passe dans le service cloud. L’avantage de l’utilisation d’un StoreFront existant est que Citrix Cloud Connector fournit le chiffrement des mots de passe utilisateur. Les informations d’identification sont chiffrées par le connecteur à l’aide d’AES-256 avec une clé ponctuelle générée aléatoirement. Cette clé est renvoyée directement à Citrix Workspace App et n’est jamais envoyée dans le cloud. Citrix Workspace App la fournit ensuite au VDA pendant le lancement de la session pour déchiffrer les informations d’identification et fournir une expérience d’authentification unique dans Windows. Il permet également aux clients de personnaliser leurs noms de domaine et URL. Pour utiliser la fonctionnalité Local Host Cache sur site StoreFront est une exigence.

  3. Combinaison de StoreFront sur site et StoreFront hébergé dans le cloud

Workspace Configuration

La plate-forme Citrix Workspace est un composant fondamental de Citrix Cloud qui énumère et fournit toutes les ressources d’espace de travail numérique à l’utilisateur Citrix Workspace avec la meilleure expérience possible. La configuration de l’espace de travail permet aux administrateurs de :

  • Modifiez et personnalisez facilement l’URL de l’espace de travail pour qu’elle soit spécifique à l’entreprise et modifiez les options de connectivité externe pour chaque service
  • Sélectionnez la meilleure option d’authentification pour la connexion utilisateur
  • Personnalisez le look et la sensation
  • Gérer les services disponibles aux utilisateurs
  • Agrégation de sites à partir de déploiements traditionnels d’applications et de postes de travail sur site

Référence : Citrix Docs : Configuration de l’espace de travail

Service Citrix Cloud Gateway

Citrix Gateway offre aux utilisateurs un accès distant sécurisé aux applications Citrix Virtual Apps and Desktops sur toute une gamme d’appareils, notamment les ordinateurs portables, les ordinateurs de bureau, les clients légers, les tablettes et les smartphones. Citrix Gateway Service permet un accès à distance sécurisé aux applications Citrix Virtual Apps and Desktops, sans avoir à déployer Citrix Gateway dans la zone DMZ ou à reconfigurer le pare-feu local appartenant au client.

La totalité des frais généraux d’infrastructure liés à l’utilisation de Citrix Gateway se déplace vers le cloud et est hébergée par Citrix. Après avoir activé le service, les utilisateurs peuvent accéder à leurs VDA depuis l’extérieur de leur réseau. Citrix Gateway Service est activé pour une utilisation avec le trafic HDX dans le cadre du service Virtual Apps and Desktops uniquement. Les autres fonctionnalités Citrix Gateway n’sont pas activées.

  • Le Citrix Cloud Connector situé dans un emplacement de ressource communique avec les services cloud gérés par Citrix via Internet. Ce canal de communication ne prend pas en charge l’authentification auprès des proxy sortants
  • Tout le trafic réseau est protégé par SSL, mais pour fournir la fonctionnalité Citrix Gateway, le trafic HDX est présent en mémoire sous une forme non chiffrée
  • Pour utiliser Citrix Gateway Service, le client doit utiliser StoreFront hébergé dans Citrix Cloud
  • Smart Access ne fonctionne pas pour les sessions connectées via le service Citrix Gateway.

CVAD-Image-10

Citrix Gateway Service est idéalement adapté pour traiter les cas d’utilisation suivants :

  1. Clients souhaitant actualiser la passerelle locale pour prendre en charge le déploiement local des environnements Citrix Virtual Apps and Desktops. Les clients utilisant un proxy ICA de base peuvent désormais utiliser Citrix Gateway Service pour un proxy ICA de base vers des applications virtuelles et des bureaux locaux.
  2. Clients souhaitant s’abonner au service Citrix Cloud Virtual Apps and Desktops. Les clients peuvent désormais utiliser Citrix Gateway Service for SSO pour le service Citrix Virtual Apps and Desktops avec les applications et bureaux locaux, toutes les applications Web et SaaS.
  3. Clients souhaitant consolider leurs solutions de gestion des accès. Les clients qui utilisent Citrix Gateway pour leurs solutions/services Citrix Apps et Desktops, et utilisent un service cloud tiers pour SSO vers SaaS et applications Web, peuvent désormais utiliser Citrix Gateway Service for SSO pour toutes les applications. Ils n’ont pas besoin de disposer de deux solutions de gestion des accès différentes, réduisant ainsi les coûts, offrant une meilleure expérience utilisateur final et appliquant des politiques de contrôle d’accès cohérentes dans toutes les applications.

Fonctionnalités du service Citrix Gateway

  • Simplicité : réduction de la complexité du déploiement et de la gestion de l’ADC
  • Toujours à jour : Simplifiez la gestion de Citrix Gateway avec un produit toujours à jour
  • Sécurité et haute disponibilité : améliorer la sécurité et la disponibilité du service Applications et ordinateurs de bureau
  • Vitesse : permet de déployer et de gérer Citrix Gateway plus rapidement et plus facilement
  • Commodité : les services de passerelle sont regroupés et vendus ensemble pour simplifier la gestion des cas d’utilisation auxquels les services informatiques sont le plus souvent confrontés.

Référence : Citrix Docs : Citrix Gateway Service

Director

Director est une console de surveillance et de dépannage pour Citrix Virtual Apps and Desktops Service. Le tableau de bord de Director fournit un emplacement centralisé pour surveiller l’état de santé et l’utilisation d’un site en temps réel et historique. La fonctionnalité Director est disponible sous l’onglet Moniteur de la console Citrix Virtual Apps and Desktops Service.

Les administrateurs et le personnel du service d’assistance peuvent utiliser Director comme outil Web en temps réel pour surveiller, dépanner et effectuer des tâches de support pour les abonnés. Il aide l’administrateur à obtenir les détails des sessions utilisateur et des sessions en cours d’utilisation, les performances d’ouverture de session, les connexions utilisateur et les machines, y compris les échecs, l’évaluation de charge, les tendances historiques et de surveiller les hôtes d’infrastructure.

Référence : Citrix Docs : Citrix Director

Administration déléguée

L’administration déléguée dans Citrix Cloud permet de configurer les autorisations d’accès avec différents ensembles de rôles permettant aux administrateurs de gérer et de surveiller leur environnement Citrix.

L’administration déléguée utilise trois concepts pour l’accès personnalisé

Administrateurs : un administrateur représente une personne identifiée par sa connexion Citrix Cloud, qui est généralement une adresse de messagerie. Chaque administrateur est associé à une ou plusieurs paires de rôles et d’étendue.

Rôles : un rôle représente une fonction de travail et possède des autorisations associées. Ces autorisations permettent certaines tâches uniques au service. Le service offre plusieurs rôles d’accès personnalisés intégrés. Les administrateurs ne peuvent pas créer d’autres rôles d’accès personnalisés et ne peuvent pas modifier les autorisations dans ces rôles d’accès personnalisés intégrés ou supprimer ces rôles. Ils peuvent modifier les rôles d’un administrateur. Un rôle est toujours associé à une portée.

Portées : une étendue représente une collection d’objets. Les étendues sont utilisées pour regrouper des objets d’une manière qui est pertinente pour votre organisation. Les objets peuvent être dans plus d’une portée. Il y a une portée intégrée : All, qui contient tous les objets. Les administrateurs Citrix Cloud et Help Desk sont toujours associés à la portée Tous.

Référence : Citrix Docs : Administration déléguée

Connexion hôte

Une connexion hôte permet la communication entre les composants Citrix Cloud dans le plan de contrôle et avec un hyperviseur ou un service cloud dans un emplacement de ressource. Les spécifications de connexion incluent :

  • L’adresse de l’hyperviseur ou du service cloud et les informations d’identification permettant d’accéder à ces ressources
  • Outils utilisés pour créer des machines virtuelles
  • Méthode de stockage utilisée pour provisionner des machines virtuelles
  • Segments réseau pour machines virtuelles

Référence : Citrix Docs : hébergement de connexions

Catalogue de machines

Un catalogue de machines est une collection ou un regroupement de VDA qui ont le même type de système d’exploitation Serveur ou Bureau. Un catalogue de machines contenant des machines avec OS de serveur peut contenir des machines Windows ou Linux, pas les deux.

Une machine virtuelle créée sur l’hyperviseur ou sur le service cloud nommée en tant qu’image principale est également appelée modèle. Cette machine virtuelle aura toutes les applications utilisateur et autres outils de sécurité installés. Enfin, Citrix Virtual Desktop Agent est installé qui permettra aux outils Citrix de créer plusieurs machines virtuelles à partir de cette image principale via Citrix Studio.

Une fois le modèle ou l’image principale prêt, créez un catalogue de machines à l’aide d’un outil Citrix (MCS ou Citrix Provisioning) ou d’autres outils appartenant au client. Avec les outils Citrix, le processus de création de catalogues de machines virtuelles provisionnent des machines virtuelles identiques à partir de cette image. S’il existe d’autres outils pour provisionner des machines virtuelles ou des machines physiques, le processus de création de catalogue ajoute ces machines au catalogue.

Studio guide l’administrateur pour créer le premier catalogue de machines. Après le premier catalogue, Studio guide l’administrateur pour créer le premier groupe de mise à disposition pour provisionner les postes de travail et les applications pour les utilisateurs. Les administrateurs peuvent également utiliser la console Citrix Cloud pour ajouter des abonnements dans la bibliothèque.

Groupe de mise à disposition

Un groupe de mise à disposition est une collection de machines sélectionnées dans un ou plusieurs catalogues de machines. Le groupe de mise à disposition peut spécifier quels utilisateurs peuvent accéder à ces ordinateurs de bureau et quelles applications sont disponibles pour ces utilisateurs. Les administrateurs peuvent également spécifier ces utilisateurs et applications via la console Citrix Cloud.

La création d’un groupe de mise à disposition est l’étape suivante de la configuration du déploiement Citrix après la création du premier catalogue de machines. Le groupe de mise à disposition dispose de fonctionnalités et de paramètres supplémentaires qui peuvent être configurés après sa création.

Citrix App Layering

Le portail Citrix Cloud fournit une console de gestion permettant aux clients de gérer les machines virtuelles Enterprise Layer Manager locales de Citrix App Layering.

Citrix App Layering est une solution de gestion d’applications et de système d’exploitation Windows conçue pour les clouds privés locaux et publics. La technologie sous-jacente de Citrix App Layering, appelée superposition, permet à tous les composants d’une machine virtuelle d’être affectés, corrigés et mis à jour indépendamment. Cela inclut le système d’exploitation Windows, les applications, les paramètres et les données de l’utilisateur. Cette innovation de base repose sur un système de gestion qui englobe la résolution des conflits d’applications, la création d’images, l’attribution d’applications et les technologies d’intégration qui peuvent être utilisées pour n’importe quelle plateforme de virtualisation.

Citrix App Layering utilise une appliance virtuelle unique pour gérer les couches, puis les transmet à d’autres plates-formes pour la distribution d’images et d’applications.

Citrix App Layering réduit radicalement les frais généraux associés à la gestion des applications et des images Windows. Quel que soit l’hyperviseur ou le service de provisioning utilisé par le client, le service App Layering permet de :

  • Installer votre système d’exploitation, vos outils de plate-forme et vos applications dans des couches distinctes.
  • Sélectionner la combinaison de couches dont vous avez besoin pour chacune de vos images dans un modèle d’image, puis utilisez le modèle d’image pour provisionner des systèmes pour des groupes d’utilisateurs.
  • Assigner élastiquement des couches d’application spécifiques pour la livraison à la demande aux utilisateurs lorsqu’ils se connectent.

Cela réduit le nombre d’images à maintenir. La solution App Layering fonctionne à la fois pour les postes de travail et les serveurs hôtes de session. Les types de couche dans ce contexte sont la couche OS, la couche Platform Layer, la couche App et la couche utilisateur.

Service Workspace Environment Management

Le service WEM (Workspace Environment Management) fournit des technologies intelligentes de gestion des ressources et de gestion des profils pour fournir les meilleures performances possibles, l’ouverture de session et les temps de réponse des applications pour les déploiements d’applications virtuelles et de bureaux Windows. C’est une solution logicielle et sans pilote.

  • Gestion des ressources : pour offrir la meilleure expérience aux utilisateurs, Workspace Environment Management surveille et analyse le comportement des utilisateurs et des applications en temps réel, puis ajuste intelligemment la RAM, le processeur et les E/S dans l’environnement de l’espace de travail utilisateur.

  • Gestion des profils : pour fournir les meilleures performances d’ouverture de session possibles, WEM remplace les objets de stratégie de groupe Windows couramment utilisés, les scripts d’ouverture de session et les préférences par un agent déployé sur chaque agent de bureau virtuel, machine virtuelle ou serveur. L’agent est multithread et n’applique les modifications aux environnements utilisateur que lorsque cela est nécessaire, ce qui garantit que les utilisateurs ont toujours accès à leur bureau et à leurs applications aussi rapidement que possible.

  • Configuration simplifiée : le service Workspace Environment Management élimine la plupart des tâches d’installation d’administration requises par la version locale de WEM. Les administrateurs peuvent accéder à la console d’administration Web via le portail Citrix Cloud pour affiner les tâches WEM dans l’infrastructure.

CVAD-Image-11

Gestion des profils

Citrix Profile Management garantit que les paramètres personnels de l’utilisateur sont appliqués au poste de travail virtuel et aux applications de l’utilisateur, indépendamment de l’emplacement et du périphérique de point d’arrivée.

Citrix Profile Management est activé via un service d’optimisation de profils qui fournit un moyen simple et fiable de gérer ces paramètres dans les environnements Windows afin d’assurer une expérience cohérente en conservant un profil unique qui suit l’utilisateur. Il consolide et optimise automatiquement les profils utilisateur afin de minimiser les besoins en matière de gestion et de stockage et nécessite une administration, un support et une infrastructure minimes, tout en offrant aux utilisateurs une ouverture de session et une déconnexion améliorées.

Citrix Profile Management corrige les lacunes des profils utilisateur dans les environnements où les ouvertures de session simultanées de domaine par le même utilisateur introduisent des problèmes de complexité et de cohérence dans le profil. Par exemple, si un utilisateur démarre des sessions sur deux ressources virtuelles différentes en fonction d’un profil itinérant, le profil de la session qui termine la dernière remplace le profil de la première session. Ce problème, connu sous le nom de « last write wins », supprime tous les paramètres de personnalisation que l’utilisateur effectue dans la première session.

Lors de l’ouverture de session, les entrées de registre et les fichiers des utilisateurs sont copiés à partir du magasin d’utilisateurs. S’il existe un profil mis en cache localement, les deux ensembles sont synchronisés. Tous les paramètres pour toutes les applications et les silos sont ainsi disponibles pendant la session. Et il n’est plus nécessaire de maintenir un profil utilisateur distinct pour chaque silo. Les profils utilisateur en continu Citrix peuvent améliorer davantage les temps d’ouverture de session.

Profile Management optimise les profils de manière simple et fiable. Lors des étapes intermédiaires et lors de la fermeture de session, les modifications du Registre, ainsi que les fichiers et dossiers dans le profil, sont enregistrés dans le magasin de l’utilisateur pour chaque utilisateur. Si, comme cela est courant, un fichier existe, il est écrasé s’il a un horodatage antérieur.

Certains paramètres et données utilisateur peuvent être redirigés par redirection de dossier. Toutefois, si la redirection de dossier n’est pas utilisée, ces paramètres sont stockés dans le profil utilisateur.

Planification d’un déploiement Citrix Cloud

Le service CVADS (Virtual Apps and Desktops Service) Citrix Cloud peut être déployé de plusieurs façons en fonction des besoins de l’organisation et des cas d’utilisation. Citrix Cloud offre une flexibilité et permet aux clients de choisir le modèle de déploiement en fonction de leurs besoins. Voici quelques architectures de référence conceptuelles qui peuvent aider les clients à répondre à leurs besoins et à leurs cas d’utilisation :

  • CVADS avec les charges de travail Citrix Cloud/sur site
  • CVADS et service de passerelle avec charges de travail Citrix locales
  • CVADS avec les charges de travail de passerelle locale, Storefront et Citrix

CVADS avec les charges de travail Citrix Cloud/sur site

Dans ce scénario de déploiement, une entreprise souhaite permettre à ses utilisateurs internes d’accéder à leurs ressources (applications et données) à l’aide de Citrix Cloud avec des charges de travail Citrix locales. Étant donné que les applications ne sont pas compatibles avec le cloud, elles sont hébergées dans leur centre de données local et gérées par leurs administrateurs internes. Ces applications doivent être activées via Citrix pour les utilisateurs. La société ne dispose pas de spécialistes informatiques pour déployer les composants de gestion Citrix, ils ont donc décidé d’utiliser Citrix Cloud.

Dans le cadre d’une future expansion, la société prévoit également d’étendre ses charges de travail sur site au cloud public afin de décharger les composants Web à forte intensité de ressources et d’adapter les charges de travail Citrix dans le cloud. L’entreprise a décidé d’adopter ce modèle de déploiement car il peut offrir une plus grande disponibilité pour la continuité d’activité et la reprise après sinistre à condition d’étendre ses charges de travail Citrix à n’importe quel cloud privé ou public. En cas de sinistre et si les utilisateurs ne peuvent pas accéder aux ressources à partir de centres de données locaux, ils peuvent rapidement activer les ressources et fournir un accès à partir de charges de travail Citrix hébergées dans le cloud.

L’architecture conceptuelle de ce déploiement est illustrée ci-dessous, examinons le cadre de conception de chaque couche de ce déploiement pour comprendre comment il fournit une solution complète pour l’entreprise.

CVAD-Image-12

Couche utilisateur : utilisateurs de l’entreprise qui doivent accéder à l’environnement Citrix. L’entreprise a permis à ses appareils d’entreprise d’accéder aux ressources Citrix. Workspace App est disponible pour Windows, Mac, Android et IOS. L’équipe informatique interne a installé la dernière application Workspace sur les appareils de l’entreprise. La société a activé la stratégie de redirection des imprimantes et des périphériques permettant aux utilisateurs d’accéder aux imprimantes et lecteurs de leur entreprise pour la gestion des données.

L’entreprise a identifié ses utilisateurs et a distingué les différents types de charge de travail en fonction de l’utilisation de l’application.

Type d’utilisateurs Utilisation de l’application CPU Mémoire E/S par seconde Ressource
Utilisateurs de la tâche 2 à 7 1 processeur virtuel 1 GO 6 Applications virtuelles
Utilisateurs Office 5 à 8 1 processeur virtuel 1.5 GO 8 Applications virtuelles
Utilisateurs des connaissances 6 à 10 2 vCPU 2 GO 10-20 Bureau groupé
Utilisateurs puissants 8 à 12 2 vCPU 3-4 GO 15-25 Bureau dédié

Lors de la ségrégation des utilisateurs, l’administrateur Citrix a créé le catalogue de machines et les groupes de mise à disposition respectifs dans Citrix Studio pour chaque type de charge globale.

Couche d’accès : Citrix StoreFront / Workspace Service est le frontend ou le point d’entrée permettant aux utilisateurs Citrix d’accéder à l’environnement Citrix. Citrix Cloud a provisionné StoreFront / Workspace pour accéder à l’environnement Citrix de l’entreprise et les utilisateurs reçoivent l’URL Workspace (https://company.cloud.com) de Citrix Cloud. L’onglet Configuration de l’espace de travail permettait aux administrateurs de l’entreprise de modifier l’URL de l’espace de travail et la personnalisation de Workspace / StoreFront Page.

L’installation du Cloud Connector permet d’étendre le domaine Active Directory client à Citrix Cloud pour l’authentification. La configuration d’authentification dans Configuration de l’espace de travail permet à l’administrateur de sélectionner la source d’authentification permettant aux utilisateurs de se connecter et d’accéder aux ressources Citrix. L’administrateur a sélectionné Active Directory local pour authentifier les abonnés Citrix sur Citrix Cloud. Les utilisateurs qui accèdent à l’URL Citrix Cloudhttps://company.cloud.com sont invités à entrer les informations d’identification de domaine qui seront ensuite validées par rapport à leur domaine Active Directory local via Cloud Connector.

Une fois les informations d’identification validées, les utilisateurs sont ensuite présentés avec la page de l’espace de travail où ils peuvent accéder aux applications, aux postes de travail et au contenu assignés. Lorsque l’utilisateur lance une application ou un bureau, il reçoit un fichier ICA qui lancera l’application Workspace et la connexion ICA (port TCP 1494/2598) est établie à partir du système utilisateur vers le VDA attribué par le contrôleur pour cette connexion.

CVAD-Image-13

Couche de contrôle : les delivery controller, la base de données SQL, Studio, Director et Licensing sont les composants principaux de la couche de contrôle qui sont provisionnés sur Citrix Cloud par Citrix lors de l’activation du service Virtual Apps and Desktops. L’administrateur Cloud se connecte au portail Citrix Cloud et sélectionne le service Virtual Apps and Desktops pour gérer les composants. Lorsque les administrateurs sélectionnent le bouton « gérer » sur Citrix Cloud, il lancera la console Studio pour qu’ils administrent l’environnement.

Citrix Studio a aidé les administrateurs à configurer la connexion d’hébergement, le catalogue de machines, les groupes de mise à disposition, les applications et les stratégies pour les utilisateurs Citrix. Admin, sélectionnez l’onglet Moniteur de la page Citrix Cloud Virtual Apps and Desktop Service pour ouvrir Citrix Director. Cela aide les administrateurs de l’entreprise à surveiller l’environnement Citrix complet à partir de Citrix Cloud.

CVAD-Image-14

Couche de ressources : la couche de ressources est l’endroit où toutes les charges de travail Citrix résident dans ce déploiement et elle est appelée un emplacement de ressource dans Citrix Cloud. Comme point de départ pour l’intégration des charges de travail Citrix locales avec Citrix Cloud, l’administrateur a installé 2x machines virtuelles Windows Server 2016 sur leur hyperviseur et installé Citrix Cloud Connector sur cette machine virtuelle pour se connecter à Citrix Cloud.

L’installation de Cloud Connector a créé l’emplacement des ressources sur Citrix Cloud et a également ajouté le domaine Company.com en tant que domaine d’authentification dans Citrix Cloud pour les utilisateurs.

Avec l’aide de Citrix Studio et à l’aide des modèles d’image maître créés à l’aide d’App Layering, l’administrateur a déployé 20 serveurs d’applications virtuelles avec Windows Server 2016 à l’aide de Citrix Provisioning Services (PVS) pour les travailleurs des tâches, 50 bureaux virtuels avec Windows 10 à l’aide de Machine Creation Services (MCS) pour les connaissances et 10 serveurs virtuels avec RedHat Linux utilisant Machine Creation Services pour les utilisateurs de bureau sur l’hyperviseur.

Les agents de bureau virtuel installés avec ces machines virtuelles sont enregistrés auprès de Cloud Connector, ce qui signifie que les administrateurs ont créé le catalogue de machines et les groupes de mise à disposition des postes de travail et des applications pour les utilisateurs. Les stratégies Citrix sont créées et affectées à l’aide de Studio pour les groupes de mise à disposition afin d’optimiser et de sécuriser les connexions HDX.

CVAD-Image-15

Couche de plate-forme : le client a acheté le matériel serveur requis pour la charge de travail Citrix en fonction de ses besoins et de ses décisions de conception. L’administrateur Citrix a installé l’hyperviseur pour héberger les charges de travail Citrix. L’administrateur réseau a activé les règles de pare-feu pour le nouvel environnement sur les périphériques d’entreprise. L’administrateur de stockage a aidé à configurer et à affecter le stockage adéquat au nouvel environnement Citrix.

Couche Opérations : les composants nécessaires à la gestion des charges de travail Citrix dans l’emplacement des ressources sont couverts par la couche Opérations. L’administrateur informatique a déployé un cluster de serveurs de fichiers pour stocker les profils utilisateur à partir des charges de travail Citrix. En outre, ils ont déployé le serveur d’accès client aux services Bureau à distance (par utilisateur/appareil) pour émettre les licences RDS pour les serveurs d’applications virtuelles dans l’emplacement des ressources.

Étant donné que l’entreprise prévoit à l’avenir de déplacer quelques-unes de ses charges de travail vers le cloud public, elle a décidé de déployer Citrix App Layering Manager dans l’emplacement Resource. Avec le service App Layering, ils ont créé la couche OS, la couche Platform et les couches d’application conformément aux exigences de l’entreprise. En combinant ces couches, l’administrateur a créé les modèles d’image principale pour provisionner les charges de travail Citrix pour les utilisateurs. Pour optimiser l’environnement Citrix Windows, ils ont choisi de déployer le service Workspace Environment Manager dans l’emplacement de ressource.

À l’aide de Workspace Environment Management, l’administrateur a configuré les paramètres de profil utilisateur à l’aide de la solution Citrix User Profile Management. Tous les profils utilisateur et les données de redirection de dossier des utilisateurs sont configurés pour être stockés dans le cluster de serveur de fichiers hébergé dans l’emplacement de ressource. Pour optimiser l’expérience utilisateur Citrix, l’administrateur a également appliqué les paramètres d’optimisation du processeur, de la mémoire et de l’ouverture de session via la console WEM.

CVAD-Image-16

CVADS et service de passerelle avec charges de travail Citrix locales

Un client Citrix existant qui dispose d’un environnement XenApp hérité (sur site) pour ses utilisateurs internes et cet environnement doit être mis à niveau lorsque le produit atteint la fin de vie. Dans le cadre du plan de mise à niveau, le client souhaite créer un nouvel environnement Citrix parallèle avec la dernière version des composants Citrix et souhaite également étendre l’accès à l’environnement Citrix aux utilisateurs externes (Internet) qui incluent XenApp existant, puisque l’installation existante ne possède pas de passerelle ADC/ADC configurée.

Le client souhaitait agréger les ressources Citrix des anciens et des nouveaux environnements au sein de ce nouveau déploiement.

Le client a décidé d’utiliser Citrix Cloud Virtual Apps and Desktop Service pour le plan de contrôle et pour les nouvelles charges de travail Citrix, a voulu déployer ces ressources dans un site/centre de données différent compte tenu de la croissance future. Le client prévoyait d’utiliser les ressources actuelles du centre de données pour une plus grande disponibilité et le site de reprise après sinistre pour le nouveau site une fois que le nouvel environnement de cloud hybride sera en production avec la migration des utilisateurs. Le client a choisi d’utiliser Citrix Gateway Service sur Citrix Cloud pour permettre l’accès externe aux utilisateurs Citrix. Le client prévoit également d’implémenter l’authentification à deux facteurs pour sécuriser l’environnement.

Le client poursuit ce modèle de déploiement car il les aide à permettre l’accès externe aux utilisateurs et permet aux clients de planifier et d’atténuer les situations de reprise après sinistre.

L’ architecture conceptuelle de ce déploiement est illustrée ci-dessous. Passons en revue le cadre de conception de chaque couche de ce déploiement pour comprendre comment Citrix Cloud permet la solution complète pour le client.

CVAD-Image-17

Couche utilisateur : les utilisateurs au sein des réseaux d’entreprise (internes) et sur Internet (externes) doivent accéder à la fois au nouveau cloud hybride Citrix et à l’ancien environnement Citrix hérité. L’équipe informatique a activé les règles de pare-feu sur leurs périphériques réseau pour accéder aux nouvelles ressources d’environnement Citrix à partir de leurs périphériques d’entreprise. L’équipe informatique interne a installé la dernière application Workspace sur les appareils de l’entreprise et mis à niveau l’ancien Citrix Receiver le cas échéant.

Les utilisateurs externes qui accèdent à l’environnement Citrix Cloud sur Internet utilisent leurs appareils personnels avec des appareils d’entreprise, c’est pourquoi la société a recommandé d’installer la dernière application Workspace sur leurs appareils personnels. Les utilisateurs externes peuvent également utiliser la version HTML5 de Workspace où ils ne peuvent pas installer l’application Workspace sur les périphériques.

Les types d’utilisateurs et leurs charges de travail sont identifiés à partir de l’environnement Citrix existant.

Type d’utilisateurs Utilisation de l’application CPU Mémoire E/S par seconde Ressource
Utilisateurs de la tâche 2 à 7 1 processeur virtuel 1 GO 6 Applications virtuelles
Utilisateurs Office 5 à 8 1 processeur virtuel 1.5 GO 8 Applications virtuelles

L’administrateur Citrix a commencé à répliquer le catalogue de machines et les groupes de mise à disposition similaires à l’environnement existant qui pointent vers Citrix Cloud Connectors. En outre, le client souhaite créer des catalogues de machines supplémentaires et des groupes de mise à disposition pour les utilisateurs de connaissances et de puissance, conformément aux nouvelles exigences.

Type d’utilisateurs Utilisation de l’application CPU Mémoire E/S par seconde Ressource
Utilisateurs des connaissances 6 à 10 2 vCPU 2 GO 10-20 Bureau groupé
Utilisateurs puissants 8 à 12 2 vCPU 3-4 GO 15-25 Bureau dédié

Couche d’accès : Dans la configuration de l’espace de travail Citrix Cloud, l’administrateur a activé Citrix Gateway Service qui a activé l’accès externe. Citrix Gateway est le point d’entrée frontal pour tous les utilisateurs d’accéder à l’environnement Citrix. Cela aide les administrateurs réseau d’entreprise à activer l’accès HTTPS approuvé globalement vers Citrix Cloud à partir de périphériques d’entreprise.

Citrix Cloud a provisionné StoreFront / Workspace pour accéder à l’environnement Citrix de l’entreprise et les utilisateurs reçoivent l’URL Workspace (https://customer.cloud.com) de Citrix Cloud. L’onglet Configuration de l’espace de travail permet aux administrateurs de l’entreprise de modifier l’URL de l’espace de travail et la personnalisation de Workspace / StoreFront Page.

L’installation de Cloud Connector permet l’extension du domaine Active Directory du client vers Citrix Cloud pour l’authentification. La configuration d’authentification dans Configuration de l’espace de travail permet à l’administrateur de sélectionner la source d’authentification pour que les utilisateurs puissent se connecter et accéder aux ressources Citrix. L’administrateur a sélectionné Active Directory local pour authentifier les abonnés Citrix sur Citrix Cloud.

L’utilisateur qui accède à l’URL Citrix Cloudhttps://customer.cloud.com est invité à entrer les informations d’identification de domaine qui seront ensuite validées par rapport à son Active Directory local via Cloud Connector. Une fois validé, l’utilisateur est alors présenté avec la page de l’espace de travail où il peut accéder aux applications et postes de travail qui sont affectés.

Lorsqu’un utilisateur lance une application ou un bureau, l’utilisateur est présenté avec un fichier ICA qui sera lancé via l’application Workspace et la connexion ICA (SSL) est établie à partir du système utilisateur vers Citrix Gateway, puis la connexion est transmise Cloud Connector puis (sur le port 1494/2598) aux VDA qui sont affectés par le contrôleur pour cette connexion. En cas de connexion réussie, la session HDX (2598) est lancée et présentée à l’utilisateur.

CVAD-Image-18

Agrégation de sites pour les environnements Citrix hérités

Pour agréger les ressources des environnements Citrix hérités, l’administrateur a installé deux Cloud Connector dans l’environnement hérité et permet à l’administrateur Cloud de configurer l’agrégation de site sur la configuration de l’espace de travail Citrix Cloud. L’administrateur a fourni les détails de l’environnement hérité dans l’onglet Sites de la configuration de l’espace de travail et activé les sites Integrations de service — Virtual Apps and Desktops sur oremises autorisés à agréger les ressources Citrix à partir de l’environnement Citrix hérité via Citrix Cloud.

L’utilisateur accédant à l’URL Citrix Cloudhttps://customer.cloud.com a demandé d’entrer les informations d’identification de domaine qui sont validées par rapport à son Active Directory local via Cloud Connector. Une fois validée, l’utilisateur est ensuite présenté avec la page de l’espace de travail avec les applications et les postes de travail des environnements anciens et nouveaux.

Lorsqu’un utilisateur lance une application à partir de l’environnement hérité, il est présenté à l’utilisateur un fichier ICA qui sera ensuite lancé via Workspace App. Workspace App initie la connexion ICA à partir du système utilisateur vers Citrix Gateway, puis vers le Cloud Connector, puis vers le VDA affecté à cette connexion. Une fois la connexion réussie, la session HDX est lancée et présentée à l’utilisateur.

CVAD-Image-19

Couche de contrôle : pour les nouveaux delivery controller de l’environnement de cloud hybride, SQL Database, Studio, Director et Licensing sont les composants principaux de la couche Control qui sont provisionnés sur Citrix Cloud par Citrix lors de l’activation du service Virtual Apps and Desktop. L’administrateur se connecte au portail Citrix Cloud et sélectionne le service Virtual Apps and Desktops pour gérer les composants. Lorsque l’administrateur sélectionne le bouton « Gérer » sur la page Virtual Apps and Desktop, il lance ensuite Citrix Studio pour qu’il administre l’environnement.

À l’aide de Citrix Studio, l’administrateur a configuré la connexion d’hébergement, le catalogue de machines, les groupes de mise à disposition, les applications et les stratégies pour les utilisateurs Citrix.

L’administrateur sélectionne l’onglet Moniteur de la page Citrix Cloud Virtual Apps and Desktop Service pour ouvrir Citrix Director. Cela aide les administrateurs du Cloud à surveiller l’environnement Citrix complet à partir de Citrix Cloud.

Il n’y a aucune modification dans l’environnement Citrix hérité. L’administrateur a installé deux nouveaux connecteurs Citrix Cloud pour établir la communication cloud pour l’agrégation de sites et accéder aux ressources via Citrix Cloud.

CVAD-Image-20

Couche de ressources : la couche de ressources est l’endroit où toutes les charges de travail Citrix résident dans ce déploiement et elle est appelée un emplacement de ressource dans Citrix Cloud.

Comme point de départ pour l’intégration des nouvelles charges de travail Citrix hybrides avec Citrix Cloud, l’administrateur a installé 2 ordinateurs virtuels Windows Server 2016 sur leur hyperviseur, puis Citrix Cloud Connectors sont installés sur la machine virtuelle pour se connecter à Citrix Cloud.

L’installation de Cloud Connector a créé l’emplacement des ressources sur Citrix Cloud et a également ajouté le domaine customer.com en tant que domaine d’authentification dans Citrix Cloud pour les utilisateurs. Deux emplacements de ressources sont créés sur Citrix Cloud. Une pour une nouvelle solution de cloud hybride et la seconde pour l’environnement Citrix hérité.

Avec l’aide de Citrix Studio et à l’aide des modèles d’image maître créés à l’aide d’App Layering, l’administrateur a déployé 50 serveurs d’applications virtuelles avec Windows Server 2016 à l’aide de Citrix Provisioning (PVS) pour les travailleurs des tâches, 100 bureaux virtuels avec Windows 10 à l’aide de Machine Creation Services (MCS) pour les travailleurs, et 50 postes de travail virtuels avec RedHat Linux à l’aide de Machine Creation Services pour les utilisateurs Linux sur l’hyperviseur.

Les agents de bureau virtuel installés avec ces machines virtuelles sont enregistrés auprès de Cloud Connector, de sorte que l’administrateur a créé un catalogue de machines et des groupes de mise à disposition pour provisionner les postes de travail et les applications pour les utilisateurs. Les stratégies Citrix sont créées et affectées à l’aide de Studio pour les groupes de mise à disposition afin d’optimiser et de sécuriser les connexions HDX.

CVAD-Image-21

Couche de plate-forme : le client a acheté le matériel serveur requis pour la charge de travail Citrix en fonction de ses besoins et de ses décisions de conception. L’administrateur Citrix a installé l’hyperviseur pour héberger les charges de travail Citrix. L’administrateur réseau a activé les règles de pare-feu pour le nouvel environnement sur les périphériques d’entreprise. L’administrateur de stockage a aidé à configurer et à affecter le stockage adéquat au nouvel environnement Citrix.

Couche Opérations : les outils ou composants requis pour gérer les charges de travail Citrix dans l’emplacement des ressources sont couverts par la couche Opérations. L’administrateur informatique a déployé un cluster de serveurs de fichiers pour stocker les profils utilisateur à partir des charges de travail Citrix.

À l’aide du service Citrix Workspace Environment Manager, l’administrateur Citrix a appliqué les stratégies Profile Management aux agents WEM. Le client a choisi d’utiliser le dernier Citrix User Profile Manager sur les VDA pour mapper les profils de l’utilisateur au cluster de serveur de fichiers. L’administrateur informatique a créé des partages de fichiers dédiés pour les profils utilisateur et la redirection de dossiers. Les stratégies de gestion des profils optimisent les charges de travail Citrix pour une connexion rapide et une fermeture de session.

L’administrateur Citrix a également appliqué des stratégies de gestion des ressources pour optimiser l’utilisation du processeur et de la mémoire sur les agents VDA. À l’aide de Workspace Environment Manager, l’administrateur du cloud a appliqué des stratégies de sécurité des applications et de gestion des processus pour contrôler l’activité de l’utilisateur final.

Le client a activé le serveur de licences d’accès client aux services Bureau à distance (RDS) pour émettre les licences RDS pour les charges de travail des applications virtuelles dans l’emplacement de ressource.

Pour gérer plusieurs images maîtres et actualiser chaque image principale avec des correctifs de système d’exploitation et d’applications, le client a décidé de déployer Citrix App Layering Manager dans l’emplacement des ressources et d’activer le plan de gestion via Citrix Cloud. Avec le service App Layering, les administrateurs ont créé des couches de système d’exploitation, des couches de plate-forme et des couches d’application conformément à la charge de travail requise. En combinant ces couches, l’administrateur a créé les modèles d’image principale pour provisionner les charges de travail Citrix.

CVAD-Image-22

Reprise après sinistre

Le client a migré son environnement Citrix hérité vers le nouvel environnement de nuage hybride selon une approche progressive et a réussi la migration dans les délais définis.

Conformément à la stratégie de conception, les ressources matérielles utilisées pour les environnements hérités ont été actualisées afin de créer le site de reprise après sinistre pour l’environnement de production. L’administrateur Citrix a installé l’hyperviseur sur le matériel pour créer des charges de travail Citrix.

Tous les composants utilisés dans un environnement de production sont répliqués sur le site de reprise après sinistre pour garantir la disponibilité des services en cas de sinistre.

Citrix App Layering a aidé à déployer les charges de travail en répliquant sans effort les modèles maîtres créés dans l’environnement de production sur le site de reprise après sinistre. Le service Citrix Workspace Environment Manager a aidé à configurer et à appliquer les paramètres de profil dans le site de reprise après sinistre.

L’administrateur informatique a configuré la réplication de stockage pour répliquer les profils utilisateur et les données stockées sur le cluster de serveurs de fichiers de production vers des serveurs de fichiers de site après sinistre.

L’administrateur du cloud a créé un nouvel emplacement de ressource nommé DR-Site en installant les deux Cloud Connector dans le site de reprise après sinistre. Ils ont également configuré la connexion d’hébergement, le catalogue de machines et le groupe de mise à disposition qui ressemble à l’environnement de production.

Une fois l’environnement prêt, le client souhaite tester l’environnement DR avec une simulation de sinistre planifiée dans l’environnement de production. Au cours de la fenêtre planifiée, l’environnement de production Cloud Connectors a été arrêté et il n’y a aucune communication entre le site de production et Citrix Cloud.

L’administrateur du cloud a configuré les préférences de zone pour les abonnés dans les offres de bibliothèque (applications et postes de travail), ce qui a permis aux utilisateurs finaux de voir les postes de travail et les applications à partir de « Site DR » sur la page de StoreFront/Workspace.

Lorsqu’un utilisateur lance une application ou un bureau, l’utilisateur est présenté avec un fichier ICA qui sera lancé via l’application Workspace et la connexion ICA (SSL) est établie à partir du système utilisateur vers Citrix Gateway, puis la connexion est transmise au DR Site Cloud Connector puis (sur le port 1494/2598) à les VDA qui sont affectés par le contrôleur pour cette connexion à partir du site DR. En cas de connexion réussie, la session HDX (2598) est lancée et présentée à l’utilisateur.

CVAD-Image-23

La configuration du profil utilisateur de Citrix WEM a aidé les utilisateurs à accéder à leurs données à partir du serveur de fichiers DR pour effectuer leur activité quotidienne.

CVADS avec les charges de travail de passerelle locale, StoreFront et Citrix

Dans ce scénario, un grand client d’entreprise souhaite déployer un environnement Citrix Virtual Apps and Desktops Service pour leurs utilisateurs d’entreprise qui sont répartis dans différentes régions du monde entier. Cet environnement Citrix est axé sur l’accès aux applications Web internes et à d’autres ressources. Le client doit également activer des postes de travail groupés et dédiés pour ses développeurs web. Le client souhaite placer l’environnement Citrix (VDA) près de la proximité de l’utilisateur dans sa région afin de fournir la meilleure expérience utilisateur. Ils ont décidé de diviser les charges de travail Citrix et de les héberger dans leur centre de données existant dans trois régions USA, Europe et Asie avec Citrix Cloud pour gérer leur plan de contrôle.

L’équipe de sécurité des informations prétend implémenter l’authentification basée sur SAML ou multi-facteurs avec sa solution tierce existante pour sécuriser les exigences d’authentification et d’audit. Étant donné qu’il s’agit d’une entreprise, les utilisateurs voyagent à travers les régions et doivent accéder à l’environnement Citrix à partir d’une autre région. Le client souhaite avoir une URL unique pour chaque région pour accéder à son environnement. Dans le cadre de la planification de la reprise après sinistre, le client souhaite allouer 20 % de matériel supplémentaire et réserver ces charges de travail Citrix pour permettre aux utilisateurs d’autres régions d’accéder à des applications Web uniquement internes lors d’un sinistre.

Le client a décidé d’utiliser ce modèle de déploiement pour répondre aux exigences de sécurité et offrir la meilleure expérience utilisateur. Avec les charges de travail Citrix, le client a placé deux Cloud Connector, deux serveurs StoreFront et deux passerelles Citrix ADC dans les trois emplacements de ressources. L’architecture conceptuelle de ce déploiement illustrée ci-dessous, le cadre de conception de chaque couche de ce déploiement expliquera comment Citrix Cloud permet la meilleure solution pour le client.

CVAD-Image-24

Couche utilisateur : le client a décidé de ces URL pour chaque région que les utilisateurs puissent accéder à l’environnement Citrix.

  • https://amrapps.company.com — Utilisateurs des États-Unis
  • https://eurapps.company.com — Utilisateurs de l’Europe
  • https://apjapps.company.com — Utilisateurs de l’Asie

Les utilisateurs internes (au sein de l’entreprise) et externes (sur Internet) qui auront accès à l’environnement Citrix le font à l’aide de ces URL publiques. L’équipe informatique a activé les règles de pare-feu sur leurs périphériques réseau pour accéder aux nouvelles ressources d’environnement Citrix à partir de leurs périphériques d’entreprise. Le service informatique a installé la dernière application Workspace sur les appareils d’entreprise et mis à niveau l’ancien Citrix Receiver le cas échéant.

Les utilisateurs externes peuvent également utiliser leurs appareils personnels avec des appareils d’entreprise, il est donc recommandé d’installer la dernière application Workspace sur les appareils personnels des utilisateurs. Les utilisateurs externes peuvent également utiliser la version HTML5 de Citrix Workspace à l’aide des derniers navigateurs Web où ils ne peuvent pas installer l’application Workspace sur les appareils.

L’entreprise a identifié les types de ses utilisateurs et les a séparés en tant que types de charge de travail différents en fonction de l’utilisation de l’application.

Type d’utilisateurs Utilisation de l’application CPU Mémoire E/S par seconde Ressource
Utilisateurs de la tâche 2 à 7 1 processeur virtuel 1 GO 6 Applications virtuelles
Utilisateurs Office 5 à 8 1 processeur virtuel 1.5 GO 8 Applications virtuelles
Utilisateurs des connaissances 6 à 10 2 vCPU 2 GO 10-20 Bureau groupé
Utilisateurs puissants 8 à 12 2 vCPU 3-4 GO 15-25 Bureau dédié

Lors de la ségrégation des utilisateurs, l’administrateur Citrix a créé le catalogue de machines et les groupes de mise à disposition respectifs dans Citrix Studio pour chaque type de charge globale sur chaque abonnement de région de cloud.

L’administrateur du cloud a appliqué les stratégies Citrix pour la redirection d’imprimantes et de périphériques afin d’accéder aux imprimantes et lecteurs de l’entreprise pour la gestion des données.

Couche d’accès :

CVAD-Image-25

Passerelle locale :

Sur chaque centre de données dans les régions respectives, le client a déployé une paire HA d’ADC Citrix Gateway et deux serveurs StoreFront dans un groupe pour permettre aux utilisateurs d’accéder à l’environnement Citrix. Pour activer l’accès Citrix via Citrix Gateway ADC, le client a obtenu un certificat SSL (SAN) auprès de l’autorité de certification publique tierce avec les trois noms de domaine DNS entièrement qualifiés amrapps.company.com, eurapps.company.com et apjapps.company.com.

L’administrateur Citrix ADC a configuré les ADC Citrix Gateway avec des certificats SSL sur chaque région. Cela aide les administrateurs réseau d’entreprise à activer l’accès entrant HTTPS (443) approuvé globalement à l’environnement Citrix à partir du monde extérieur sur chaque centre de données de région avec une adresse IP publique dédiée pour chaque URL.

Pour satisfaire à l’exigence d’authentification multi-facteurs pour l’accès à l’environnement Citrix, le client a choisi d’utiliser la solution Azure MFA (NPS-Plugin) existante. Chaque centre de données dispose de deux serveurs NPS-MFA pour garantir une haute disponibilité du service. L’administrateur ADC a configuré la stratégie d’authentification avec Azure MFA (LDAP en tant que principal, Azure MFA en tant que secondaire) ainsi que les stratégies de session (pointant vers StoreFront Stores sur site) dans Citrix Gateway sur chaque région.

StoreFront local :

L’administrateur Citrix a déployé deux serveurs StoreFront pour s’intégrer à Citrix Gateway ADC dans chaque centre de données. Ils ont créé un magasin nommé « VAD » dans StoreFront pour configurer les paramètres supplémentaires qui permettent à l’administrateur de configurer les paramètres d’authentification et le delivery controller pour l’énumération des ressources. L’administrateur a ajouté deux connecteurs cloud en tant que delivery controller pour chaque site dans la configuration du magasin.

L’utilisateur accédant à l’URL Citrixhttps://amrapps.company.com est invité à entrer les informations d’identification de domaine qui seront ensuite validées par rapport à ses serveurs NPS-MFA. Une fois validé, l’utilisateur est invité à entrer le deuxième facteur qui est selon la configuration sur MFA pour chaque utilisateur.

Une fois l’authentification réussie, StoreFront local communique avec Citrix Cloud Connector pour l’énumération des ressources. Le Cloud Connector communiquera avec les Delivery Controller hébergés dans le cloud, puis énumère les ressources. Une fois l’énumération terminée, l’utilisateur est présenté avec la page StoreFront où il peut accéder aux applications et postes de travail qui sont affectés.

Lorsqu’un utilisateur lance une application ou un bureau, il est présenté avec un fichier ICA qui sera lancé via l’application Workspace et la connexion ICA (SSL) est établie à partir du système utilisateur vers Citrix Gateway local, puis (sur le port 1494/2598) au VDA attribué par le contrôleur pour cette connexion. En cas de connexion réussie, la session HDX (2598) est lancée et présentée à l’utilisateur.

Le flux de travail reste le même pour les autres régions, car chaque région FQDN Citrix pointe vers le centre de données respectif sur la région respective.

Couche de contrôle : les delivery controller, SQL Database, Studio et Licensing sont les composants principaux de la couche de contrôle qui sont provisionnés sur Citrix Cloud pour le client par Citrix. L’administrateur peut se connecter au portail Citrix Cloud et sélectionner Virtual Apps and Desktops Service pour gérer les composants. Lorsque l’administrateur sélectionne le bouton « gérer » sur Citrix Cloud, il lancera Studio pour qu’il administre l’environnement.

Citrix Studio aide les administrateurs à configurer la connexion d’hébergement, le catalogue de machines, les groupes de mise à disposition, les applications et les stratégies pour chaque centre de données de région.

Chaque centre de données dispose d’une connexion d’hébergement dédiée pour communiquer avec les hyperviseurs pour provisionner et gérer les machines virtuelles. L’administrateur a créé des catalogues de machines et des groupes de mise à disposition distincts pour chaque région. L’administrateur a pu permettre aux abonnés des groupes de distribution respectifs, permettant ainsi aux utilisateurs d’accéder à leurs applications et postes de travail.

L’administrateur sélectionne l’onglet Moniteur sur la page du portail Citrix Cloud de Virtual Apps and Desktop Service pour ouvrir Citrix Director. Cela aide les administrateurs de l’entreprise à surveiller l’environnement Citrix complet à partir de Citrix Cloud.

CVAD-Image-26

Couche de ressources : la couche de ressources est l’endroit où toutes les charges de travail Citrix résident dans ce déploiement et elle est appelée un emplacement de ressource dans Citrix Cloud.

Comme point de départ pour l’intégration des charges de travail Citrix hybrides avec Citrix Cloud, l’administrateur a installé 2x machines virtuelles Windows Server 2016 sur leur hyperviseur dans chaque centre de données, puis Citrix Cloud Connectors sont installés sur les deux machines virtuelles pour se connecter à Citrix Cloud.

L’installation de Cloud Connector a créé l’emplacement des ressources sur Citrix Cloud et a également ajouté le domaine customer.com en tant que domaine d’authentification dans Citrix Cloud pour les utilisateurs.

Avec l’aide de Citrix Studio et à l’aide des modèles d’image maître créés à l’aide d’App Layering, l’administrateur a déployé des serveurs d’applications virtuelles avec Windows Server 2016 à l’aide de Citrix Provisioning (PVS) pour les travailleurs des tâches, des bureaux virtuels avec Windows 10 à l’aide de Machine Creation Services (MCS) pour les travailleurs, et des postes de travail virtuels avec RedHat Linux à l’aide de Machine Creation Services pour les utilisateurs Linux sur l’hyperviseur.

Les agents de bureau virtuel installés avec ces machines virtuelles sont enregistrés auprès de Cloud Connectors et l’administrateur a créé un catalogue de machines et des groupes de mise à disposition pour provisionner (bibliothèque) les postes de travail et les applications pour les utilisateurs spécifiques à une région à l’aide d’un groupe de sécurité AD (abonnés). Les stratégies Citrix sont créées et affectées à l’aide de Studio pour les groupes de mise à disposition afin d’optimiser et de sécuriser les connexions HDX.

CVAD-Image-27

Couche de plate-forme : le client a acquis le matériel serveur requis pour héberger les charges de travail Citrix en fonction de ses besoins et de ses décisions de conception. Au cours de l’étape de la décision de conception, le client a alloué 20 % de ressources supplémentaires pour répondre et gérer les situations de reprise après sinistre dans n’importe quelle autre région. L’administrateur Citrix a installé l’hyperviseur pour héberger les charges de travail Citrix. L’administrateur réseau a activé les règles de pare-feu requises pour le nouvel environnement. L’administrateur de stockage a aidé à configurer et à affecter le stockage adéquat au nouvel environnement Citrix.

Couche Opérations : les outils ou composants requis pour gérer les charges de travail Citrix dans l’emplacement des ressources sont couverts par la couche Opérations. L’administrateur informatique a déployé un cluster de serveurs de fichiers sur chaque centre de données pour stocker les profils utilisateur à partir des charges de travail Citrix.

À l’aide du service Citrix Workspace Environment Manager, l’administrateur Citrix a appliqué les stratégies Profile Management aux agents WEM. Le client a choisi d’utiliser Citrix User Profile Manager le plus récent sur les VDA pour mapper les profils de l’utilisateur au cluster de serveur de fichiers. L’administrateur informatique a créé des partages de fichiers dédiés et des partages NFS pour les profils utilisateur et la redirection de dossiers. Les politiques de gestion des profils optimisent les charges de travail Citrix pour une connexion et une fermeture de session rapides.

L’administrateur Citrix a également appliqué des stratégies de gestion des ressources pour optimiser l’utilisation du processeur et de la mémoire sur les agents VDA. À l’aide de Workspace Environment Manager, l’administrateur du cloud a appliqué des stratégies de sécurité des applications et de gestion des processus pour contrôler l’activité de l’utilisateur final.

Le client a activé le serveur de licences d’accès au client des services Bureau à distance (RDS) pour émettre les licences RDS pour les charges de travail des applications virtuelles dans un emplacement de ressource.

Pour gérer plusieurs images maîtres pour chaque région et actualiser chaque image principale avec des correctifs d’exploitation et d’applications, le client a décidé de déployer Citrix App Layering Manager dans l’emplacement de ressource et d’activer le plan de gestion via Citrix Cloud. Avec le service App Layering, les administrateurs ont créé des couches de système d’exploitation, des couches de plate-forme et des couches d’application conformément à la charge de travail requise. En combinant ces couches, l’administrateur a créé les modèles d’image principale pour provisionner les charges de travail Citrix. Cela a simplifié le processus de création et de gestion des images maîtres pour les trois régions.

CVAD-Image-28

Récupération aprèssinistre : Lors d’un sinistre dans une région, l’administrateur du cloud doit autoriser l’accès aux autres abonnés de la région pour accéder aux applications et aux postes de travail. Les charges de travail réservées seront utilisées pendant le sinistre dans la région. L’accès ne sera activé que pour les ressources identifiées pour gérer la situation en cas de catastrophe.

Les utilisateurs identifiés seront éduqués par un message électronique qui les aide avec la nouvelle URL et les étapes expliquant comment accéder aux ressources requises pendant la catastrophe.

CVAD-Image-29

Sources

L’objectif de cette architecture de référence est de vous aider à planifier votre propre implémentation. Pour faciliter cette tâche, nous aimerions vous fournir des diagrammes source que vous pouvez adapter dans vos propres conceptions détaillées et guides de mise en œuvre : diagrammes source.

Références

Processus d’inscription Citrix Cloud

Emplacement des ressources

Gestion des identités et des accès

Offres de bibliothèque et affectation des utilisateurs

Connecteur Cloud Connector Exigences en matière de connectivité Internet

Citrix Cloud — Zones

Cache hôte local

Déploiement sécurisé Cloud Connector

Directives de dimensionnement pour Cloud Connector et LHC

Workspace Configuration

FAS Citrix

Citrix Gateway Service

Citrix Director

Administration déléguée

Agent de mise à disposition virtuelle

Hébergement Connexions

Contributeurs

Auteur : Vivekananthan Devaraj