Gestion de l’environnement d’espace de travail

Introduction

Workspace Environment Management (WEM) utilise des technologies intelligentes de gestion des ressources et Profile Management pour fournir les meilleures performances possibles, ouvrir une session de bureau et temps de réponse des applications pour les déploiements Citrix Virtual Apps and Desktops (CVAD). WEM dispose de plusieurs fonctionnalités de sécurité qui renforcent la posture de sécurité du déploiement. Il s’agit d’une solution logicielle et sans pilote.

Architecture

Workspace Environment Management peut être installé sur site ou accessible en tant que service à partir de Citrix Cloud.

WEM répertorie les paramètres de profil aux utilisateurs et aux machines exécutant la session, il obtient les données de l’ Active Directoryde l’organisation.

Agent WEM - L’agent WEM est commun aux options de déploiement local et de service. Il est installé sur des hôtes de session Windows ou des machines physiques que WEM gère. L’agent WEM surveille l’hôte en temps réel et signale l’état de la machine. Il reçoit des instructions des services d’infrastructure WEM pour appliquer les paramètres de stratégie sur la machine et le configurer. Les agents conservent un cache local des paramètres pour être résilients aux situations où le serveur/service WEM est inaccessible.

Déploiement sur site

L’architecture de déploiement WEM sur site :

Workspace Environment Management Architecture locale

Les autres composants de l’architecture locale sont les suivants :

Console d’administration WEM — Déployée sur un ordinateur Windows OS unique ou multi-session, console utilisée pour gérer WEM. Il interagit avec le serveur d’infrastructure et permet aux administrateurs de contrôler les différentes fonctionnalités.

Serveur d’infrastructure WEM — Installé sur une machine Windows OS multi-session, les services facilitent la communication et la synchronisation entre les différents composants du déploiement WEM.

Base de données SQL Server — WEM nécessite une base de données SQL Server pour stocker ses paramètres. La base de données peut être hébergée dans un groupe de disponibilité SQL Server Always On si nécessaire.

Service WEM

Architecture de déploiement de services WEM :

Architecture du service Gestion de l'environnement de travail

Lorsque le service WEM hébergé Citrix Cloud est utilisé, les composants de contrôle et de base de données sont hébergés dans le cloud et gérés par Citrix. La console d’administration, les services d’infrastructure et la base de données (hébergée dans Azure SQL) font partie du service. La console d’administration est accessible par l’onglet Gérer lorsque vous accédez au service WEM à partir de la console Web Citrix Cloud.

Cloud Connector — Un Citrix Cloud Connector est le canal de communication à partir d’entités dans un emplacement de ressources avec les services Citrix Cloud. Pour la résilience, nous suggérons qu’au moins une paire de connecteurs cloud soit installée dans chaque emplacement de ressource. Le service WEM utilise Cloud Connector pour accéder au client Active Directory et authentifier les agents WEM dans l’emplacement des ressources.

Agent WEM - Il interagit avec les services WEM via HTTPS à l’aide du service Citrix Cloud Messaging. Les agents conservent un cache local des paramètres pour être résilients aux interruptions du réseau et aux pannes de service. Au moment de la rédaction de cet article, une seule instance de service peut prendre en charge 100 000 agents WEM. Vérifiez la page des limites le nombre actuel d’agents WEM pris en charge par instance de service WEM.

Migration de WEM sur site vers le service WEM

La migration implique l’exportation du contenu du serveur SQL local et le téléchargement vers le service. Une boîte à outils est exécutée pour migrer la base de données WEM locale existante vers le service WEM. La boîte à outils comprend un assistant pour générer un fichier SQL contenant le contenu de la base de données WEM locale. Un administrateur peut ensuite télécharger le fichier SQL dans la base de données Azure du service WEM. Pour plus d’informations, lisez Migrer vers le service WEM.

Fonctionnalités WEM

Après avoir compris l’architecture des offres locales et de services de WEM, examinons les fonctionnalités que WEM met à la disposition des organisations. Il existe trois ensembles de fonctionnalités principales :

  1. Gestion des ressources

  2. Profile Management

  3. Fonctions de sécurité

Gestion des ressources

Pour offrir la meilleure expérience aux utilisateurs, l’agent WEM surveille et analyse le comportement des utilisateurs et des applications au sein de la session, en temps réel. Il ajuste ensuite intelligemment la RAM, le processeur et les E/S dans l’environnement de l’espace de travail utilisateur.

Optimisation RAM

Lorsqu’un nouveau processus est lancé, il prend plus de RAM qu’il n’en a besoin pour son fonctionnement normal. Mais en général, le processus ne renonce pas à ces ressources une fois qu’elles lui ont été allouées. WEM détecte en temps réel quels processus sont au centre de l’utilisateur. Une partie de l’ensemble de travail RAM d’applications qui ne sont pas en cours de mise au point peut ensuite être récupérées. On observe que même si ces applications reviennent au focus, elles ont généralement besoin d’un sous-ensemble plus petit de la quantité de RAM qui a été récupérée à partir d’eux. Ces actions optimisent la consommation de RAM dans le cloud et augmentent l’évolutivité d’un serveur unique.

Le graphique suivant montre la quantité de mémoire consommée par un ensemble de sessions, avec et sans WEM.

Optimisation de la RAM WEM

Regardez la vidéo Tech Insight sur l’optimisation de la RAM ici.

Optimisation du processeur

Si un processus est détecté comme un blocage des ressources CPU, cela peut affecter négativement non seulement la session dans laquelle il s’exécute, mais aussi ralentir d’autres sessions exécutées sur la même machine et même avoir un impact sur les heures de connexion pour les autres utilisateurs.

L’optimisation du processeur avec WEM implique une surveillance en temps réel du processus en cours d’exécution sur chaque machine virtuelle. Lorsqu’un processus est détecté comme un blocage des ressources CPU (pour une durée définie), WEM réduit automatiquement la priorité du processus. Cette action permet à d’autres processus d’utiliser le processeur et réduit la charge du serveur. Lorsque le processus est retourné à une faible consommation CPU heures supplémentaires, sa priorité est réinitialisée à la normale.

Optimisation du processeur WEM

Regardez la vidéo Tech Insight sur l’optimisation du processeur ici.

Pour valider l’effet de l’optimisation CPU par WEM, dans un scénario voisin bruyant, des tests d’échelle basés sur Login VSI ont été effectués. Pour simuler un voisin bruyant, un utilisateur ne faisant pas partie de l’exécution du test du travailleur de connaissances LogInvSi est ajouté à la configuration du test. La session de cet utilisateur est configurée pour lancer un processus qui consomme 3 cœurs CPU pour une moyenne de 50 à 70 % de l’UC total, en fonction du nombre de cœurs dans la machine virtuelle Azure.

Les machines virtuelles multisessions Windows 10 2004 ont été testées avec CVAD 2006 installé et Citrix Optimizer appliqué et l’agent WEM sur HDX. Pour référencer les résultats du test, le même test a été exécuté avec Microsoft RDP que le protocole de connexion et les machines virtuelles avaient des optimisations Out of the Box de Microsoft.

Comme on peut le voir dans le tableau suivant, l’inclusion de WEM, supprime l’effet de la consommation de CPU voisin bruyant. L’inclusion WEM augmente le VSImax (nombre d’utilisateurs pouvant être pris en charge sur la machine) de 20 % à 43 %. Il en résulte un nombre plus élevé d’utilisateurs pouvant s’exécuter sur une seule machine virtuelle, même dans le scénario de contrainte.

Répartition de l’échelle avec le scénario Noisy Neighbor :

Taille Azure Ligne de base Citrix HDX  % d’amélioration de l’évolutivité WEM
D4V3 7.3 11.3 43.0%
D3V2 12 16 28.6%
D4V2 28 34.5 20.8%

Comme WEM réduit les pics CPU, une autre inférence importante des résultats est que le temps de réponse pour l’utilisateur est beaucoup meilleur. Les sessions Citrix Virtual Apps and Desktops ont un temps de réponse inférieur de près de 1000 ms par rapport à la ligne de base (à l’instant où VSIMax est atteint) pour le même nombre d’utilisateurs.

De même, la latence observée au cours de la session est inférieure de 25 à 50 % sur les deux machines avec 4 processeurs virtuels. Ces deux résultats indiquent une expérience utilisateur beaucoup plus fluide et plus fluide lorsque WEM est dans l’image.

Graphique d'amélioration de la latence WEM

Optimisation de l’ouverture de session

Pour offrir les meilleures performances d’ouverture de session possible, le service WEM remplace les objets objet de stratégie de groupe Windows, les scripts d’ouverture de session et les préférences couramment utilisés par un agent, qui est déployé sur chaque machine virtuelle ou serveur. L’agent est multithread et applique les modifications aux environnements utilisateur uniquement lorsque cela est nécessaire, ce qui garantit que les utilisateurs ont toujours accès à leur bureau le plus rapidement possible. Les processus fastidieux sont gérés hors synchronisation avec le processus d’ouverture de session initial.

Optimisation du processus d'ouverture de session WEM

Regardez la vidéo Tech Insight sur l’optimisation de l’ouverture de session ici.

Profile Management

Fournit une interface de gestion pour Citrix Profile Management. Sous les paramètres Citrix Profile Management (dans Stratégies et profils), la console prend en charge la configuration de tous les paramètres pour la version actuelle de Citrix Profile Management.

Fonctions de sécurité

WEM comprend plusieurs fonctionnalités qui renforcent la posture de sécurité et réduisent la surface de menace du déploiement.

Sécurité des applications

Le composant de sécurité des applications de WEM est un front-end pour Microsoft AppLocker.

Console de sécurité des applications WEM

La définition de stratégies de sécurité des applications (AppLocker) avec Workspace Environment Management suit le même processus qu’avec les objets de stratégie de groupe. Les administrateurs créent des règles exécutables, du programme d’installation Windows, des scripts, des packages et des règles DLL. Pour chaque règle, les mêmes options sont disponibles pour baser la règle sur un éditeur, un chemin d’accès ou un hachage de fichier. Cependant, contrairement à AppLocker, WEM permet à l’administrateur de sélectionner plusieurs règles et de modifier les utilisateurs assignés, facilitant ainsi la prise en charge de centaines de stratégies de sécurité d’applications.

Le moteur de stratégie WEM garantit que les stratégies AppLocker sont appliquées de manière plus cohérente à toutes les sessions gérées par rapport à l’approche basée sur l’objet de stratégie de groupe avec AppLocker.

Élévation des privilèges

Dans de nombreuses occasions, les utilisateurs ont besoin de privilèges d’administrateur pour pouvoir installer ou exécuter des applications. Comme la plupart des organisations adoptent le principe du minimum de privilège, les utilisateurs finaux ne bénéficient généralement pas de droits d’administrateur.

Dans les scénarios où ils sont requis, l’administrateur doit soit se connecter au système (physiquement ou via un accès distant), soit fournir à l’utilisateur un mot de passe administrateur temporaire. Cette pratique est fastidieuse pour l’administrateur ou finit par créer des solutions de contournement à la stratégie de sécurité.

Console d'élévation de privilèges WEM

Cette fonctionnalité permet à l’administrateur d’élever temporairement le privilège de l’utilisateur en privilèges d’administrateur local et peut ainsi installer ou exécuter l’application requise. Les applications figurant sur la liste approuvée peuvent être installées avec cette fonctionnalité alors que les applications de la liste bloquée ne peuvent pas être installées et les opérations sont enregistrées. Chaque règle est basée sur le chemin d’accès, l’éditeur ou le hachage de l’exécutable.

Lorsqu’une nouvelle règle est ajoutée, trois options sont disponibles : Appliquer aux processus enfants, si vous souhaitez que les processus enfants héritent de l’élévation de privilèges ou non.

Les options Heure de début et de fin permettent de limiter l’altitude à une certaine période.

Options de déploiement

Il existe trois types de configurations pour déployer WEM. Utilisez le type qui convient le mieux à l’environnement réel.

Domaine unique dans une seule forêt

Cette configuration peut être utilisée dans un environnement qui a un seul domaine dans une seule forêt. Normalement, ce domaine unique contient toutes les ressources et les objets utilisateur. Ainsi, dans cette configuration, l’administrateur n’a besoin de déployer qu’un seul ensemble de Cloud Connector pour permettre à tous vos appareils de se connecter au service WEM.

Plusieurs domaines dans une seule forêt

Cette configuration peut être utilisée dans des environnements où plusieurs domaines dans une même forêt existent. Comme les domaines de la forêt peuvent communiquer entre eux, dans cette configuration, l’administrateur n’a besoin de déployer qu’un seul ensemble de Cloud Connector pour permettre à tous vos appareils de se connecter au service WEM.

Utilisateurs et ressources dans des forêts distinctes (avec confiance)

Dans cette configuration, les utilisateurs et les ressources résident dans différentes forêts de domaines à des fins de gestion. Il existe une approbation entre les deux forêts qui permet aux utilisateurs de se connecter aux ressources d’une autre forêt. Dans ce déploiement, l’administrateur doit déployer Cloud Connector dans chaque forêt de domaine pour terminer le déploiement WEM.

Considérations liées à la configuration

Le service WEM est conçu pour les déploiements d’entreprise à grande échelle. Côté serveur, le service WEM surveille le flux de communication entre les composants frontaux et back-end et évolue de manière dynamique en fonction des données en transit. Lors de l’évaluation du service WEM pour le dimensionnement et l’évolutivité, la taille de la machine et le nombre de connecteurs Cloud sont importants. Pour garantir une haute disponibilité, nous recommandons au moins deux Cloud Connector dans chaque emplacement de ressource et en fonction des options de déploiement décrites précédemment.

Pour plus d’informations sur la taille de Cloud Connector, reportez-vous à la section Citrix Cloud Connector.

Pour en savoir plus, visitez le site Web Documentation du produit WEM.

Pour obtenir les dernières mises à jour sur WEM, consultez la page Nouveautés.