Fiche technique : Workspace Environment Management

Introduction

Workspace Environment Management (WEM) utilise des technologies intelligentes de gestion des ressources et Profile Management pour fournir les meilleures performances possibles, ouvrir une session de bureau et temps de réponse des applications pour les déploiements Citrix Virtual Apps and Desktops (CVAD).
WEM dispose de plusieurs fonctionnalités de sécurité qui renforcent la posture de sécurité du déploiement. Il s’agit d’une solution logicielle et sans pilote.

Architecture

Workspace Environment Management peut être installé sur site ou accessible en tant que service à partir de Citrix Cloud.

WEM répertorie les paramètres de profil aux utilisateurs et aux machines exécutant la session, il obtient les données de l’ Active Directoryde l’organisation.

Agent WEM - L’agent WEM est commun aux options de déploiement local et de service.
Il est installé sur des hôtes de session Windows ou des machines physiques que WEM gère. L’agent WEM surveille l’hôte en temps réel et signale l’état de la machine.
Il reçoit des instructions des services d’infrastructure WEM pour appliquer les paramètres de stratégie sur la machine et le configurer. Les agents conservent un cache local des paramètres pour être résilients aux situations où le serveur/service WEM est inaccessible.

Déploiement sur site

L’architecture de déploiement WEM sur site :

Architecture sur site de Workspace Environment Management

Les autres composants de l’architecture locale sont les suivants :

Console d’administration WEM — Déployée sur un ordinateur Windows OS unique ou multi-session, console utilisée pour gérer WEM. Il interagit avec le serveur d’infrastructure et permet aux administrateurs de contrôler les différentes fonctionnalités.

Serveur d’infrastructure WEM — Installé sur une machine Windows OS multi-session, les services facilitent la communication et la synchronisation entre les différents composants du déploiement WEM.

Base de données SQL Server — WEM nécessite une base de données SQL Server pour stocker ses paramètres. La base de données peut être hébergée dans un groupe de disponibilité SQL Server Always On si nécessaire.

Service WEM

Architecture de déploiement de services WEM :

Architecture du service Workspace Environment Management

Lorsque le service WEM hébergé Citrix Cloud est utilisé, les composants de contrôle et de base de données sont hébergés dans le cloud et gérés par Citrix.
La console d’administration, les services d’infrastructure et la base de données (hébergée dans Azure SQL) font partie du service. La console d’administration est accessible par l’onglet Gérer lorsque vous accédez au service WEM à partir de la console Web Citrix Cloud.

Cloud Connectors: un Citrix Cloud Connector est le canal de communication entre les entités d’un emplacement de ressources et les services Citrix Cloud.
Pour des raisons de résilience, nous suggérons d’installer au moins une paire de Cloud Connector dans chaque emplacement de ressources. Le service WEM utilise les Cloud Connectors pour accéder à l’Active Directory du client et authentifier les agents WEM dans l’emplacement des ressources.

Agent WEM - Il interagit avec les services WEM via HTTPS à l’aide du service Citrix Cloud Messaging.
Les agents conservent un cache local des paramètres pour être résilients aux interruptions du réseau et aux pannes de service. Au moment de la rédaction de cet article, une seule instance de service peut prendre en charge 100 000 agents WEM. Consultez la page Limites pour obtenir le nombre actuel d’agents WEM pris en charge par instance de service WEM.

Migration de WEM sur site vers le service WEM

La migration implique l’exportation du contenu du serveur SQL local et le téléchargement vers le service. Une boîte à outils est exécutée pour migrer la base de données WEM locale existante vers le service WEM. La boîte à outils comprend un assistant pour générer un fichier SQL contenant le contenu de la base de données WEM locale. Un administrateur peut ensuite télécharger le fichier SQL dans la base de données Azure du service WEM. Pour plus d’informations, consultez Migrer vers le service WEM.

Fonctionnalités WEM

Après avoir compris l’architecture des offres locales et de services de WEM, examinons les fonctionnalités que WEM met à la disposition des organisations. Il existe trois ensembles de fonctionnalités principales :

  1. Gestion des ressources

  2. Profile Management

  3. Fonctions de sécurité

Gestion des ressources

Pour offrir la meilleure expérience aux utilisateurs, l’agent WEM surveille et analyse le comportement des utilisateurs et des applications au sein de la session, en temps réel. Il ajuste ensuite intelligemment la RAM, le processeur et les E/S dans l’environnement de l’espace de travail utilisateur.

Optimisation RAM

Lorsqu’un nouveau processus est lancé, il prend plus de RAM qu’il n’en a besoin pour son fonctionnement normal. Mais en général, le processus ne renonce pas à ces ressources une fois qu’elles lui ont été allouées.
WEM détecte en temps réel quels processus sont au centre de l’attention de l’utilisateur. Une partie de l’ensemble de travail RAM d’applications qui ne sont pas en cours de mise au point peut ensuite être récupérées.
On observe que même si ces applications reviennent au focus, elles ont généralement besoin d’un sous-ensemble plus petit de la quantité de RAM qui a été récupérée à partir d’eux.
Ces actions optimisent la consommation de RAM dans le cloud et augmentent l’évolutivité d’un serveur unique.

Le graphique suivant montre la quantité de mémoire consommée par un ensemble de sessions, avec et sans WEM.

Optimisation de la RAM WEM

Regardez la vidéo Tech Insight sur l’optimisation de la RAM ici.

Optimisation du processeur

Un processus détecté comme monopolisant les ressources du processeur affecte négativement non seulement la session dans laquelle il s’exécute, mais ralentit également les autres sessions exécutées sur la même machine et a même un impact sur les temps de connexion des autres utilisateurs.

L’optimisation du processeur avec WEM implique une surveillance en temps réel des processus exécutés sur chaque machine virtuelle. Lorsqu’un processus est détecté comme un blocage des ressources CPU (pour une durée définie), WEM réduit automatiquement la priorité du processus.
Cette action permet à d’autres processus d’utiliser le processeur et allège la charge du serveur. Lorsque le processus est retourné à une faible consommation CPU heures supplémentaires, sa priorité est réinitialisée à la normale.

Optimisation du processeur WEM

Regardez la vidéo Tech Insight sur l’optimisation du processeur ici.

Pour valider l’effet de l’optimisation CPU par WEM, dans un scénario voisin bruyant, des tests d’échelle basés sur Login VSI ont été effectués.
Pour simuler un voisin bruyant, un utilisateur ne faisant pas partie de l’exécution du test du travailleur de connaissances LogInvSi est ajouté à la configuration du test.
La session de cet utilisateur est configurée pour lancer un processus qui consomme 3 cœurs de processeur, soit une moyenne de 50 % à 70 % du processeur total, en fonction du nombre de cœurs de la machine virtuelle Azure.

Les machines virtuelles multisessions Windows 10 2004 ont été testées avec CVAD 2006 installé et le Citrix Optimizer appliqué et l’agent WEM sur HDX. Pour référencer les résultats du test, le même test a été exécuté avec Microsoft RDP que le protocole de connexion et les machines virtuelles avaient des optimisations Out of the Box de Microsoft.

Comme le montre le tableau suivant, l’inclusion de WEM supprime l’effet de la consommation par le processeur d’un voisin bruyant. L’inclusion WEM augmente le VSImax (nombre d’utilisateurs pouvant être pris en charge sur la machine) de 20 % à 43 %. Il en résulte un nombre plus élevé d’utilisateurs pouvant s’exécuter sur une seule machine virtuelle, même dans le scénario de contrainte.

Répartition de l’échelle avec le scénario Noisy Neighbor :

Taille Azure Ligne de base Citrix HDX % d’amélioration de l’évolutivité WEM
D4V3 7.3 11.3 43.0%
D3V2 12 16 28.6%
D4V2 28 34.5 20.8%

Comme le WEM réduit les pics de puissance du processeur, une autre conclusion importante à tirer des résultats est que le temps de réponse de l’utilisateur est bien meilleur. Les sessions Citrix Virtual Apps and Desktops ont un temps de réponse inférieur de près de 1000 ms par rapport à la ligne de base (à l’instant où VSIMax est atteint) pour le même nombre d’utilisateurs.

De même, la latence observée au cours de la session est inférieure de 25 à 50 % sur les deux machines avec 4 processeurs virtuels. Ces deux résultats indiquent une expérience utilisateur beaucoup plus fluide et plus fluide lorsque WEM est dans l’image.

Graphique d'amélioration de la latence WEM

Optimisation de l’ouverture de session

Pour offrir les meilleures performances d’ouverture de session possible, le service WEM remplace les objets objet de stratégie de groupe Windows, les scripts d’ouverture de session et les préférences couramment utilisés par un agent, qui est déployé sur chaque machine virtuelle ou serveur.
L’agent est multithread et applique les modifications aux environnements utilisateur uniquement lorsque cela est nécessaire, ce qui garantit que les utilisateurs ont toujours accès à leur bureau le plus rapidement possible. Les processus fastidieux sont gérés de manière désynchronisée par rapport au processus d’ouverture de session initial.

Optimisation du processus d'ouverture de session WEM

Regardez la vidéo Tech Insight sur l’optimisation de l’ouverture de session ici.

Profile Management

Fournit une interface de gestion pour Citrix Profile Management. Sous les paramètres Citrix Profile Management (dans Stratégies et profils), la console prend en charge la configuration de tous les paramètres pour la version actuelle de Citrix Profile Management.

Fonctions de sécurité

WEM comprend plusieurs fonctionnalités qui renforcent la posture de sécurité et réduisent la surface de menace du déploiement.

Sécurité des applications

Le composant de sécurité des applications de WEM est un front-end pour Microsoft AppLocker.

Console de sécurité des applications WEM

La définition de stratégies de sécurité des applications (AppLocker) avec Workspace Environment Management suit le même processus qu’avec les objets de stratégie de groupe. Les administrateurs créent des règles exécutables, du programme d’installation Windows, des scripts, des packages et des règles DLL. Pour chaque règle, les mêmes options sont disponibles pour baser la règle sur un éditeur, un chemin d’accès ou un hachage de fichier. Cependant, contrairement à AppLocker, WEM permet à l’administrateur de sélectionner plusieurs règles et de modifier les utilisateurs assignés, facilitant ainsi la prise en charge de centaines de stratégies de sécurité d’applications.

Le moteur de politiques WEM garantit que les politiques AppLocker sont appliquées de manière plus cohérente à toutes les sessions gérées par rapport à l’approche basée sur GPO avec AppLocker.

Élévation des privilèges

Dans de nombreuses occasions, les utilisateurs ont besoin de privilèges d’administrateur pour pouvoir installer ou exécuter des applications. Comme la plupart des organisations adoptent le principe du minimum de privilège, les utilisateurs finaux ne bénéficient généralement pas de droits d’administrateur.

Lorsqu’ils sont nécessaires, l’administrateur doit soit se connecter au système (physiquement ou via un accès à distance), soit fournir à l’utilisateur un mot de passe administrateur temporaire. Cette pratique est fastidieuse pour l’administrateur ou aboutit à la création de solutions de contournement à la politique de sécurité.

Console d'élévation de privilèges WEM

Cette fonctionnalité permet à l’administrateur d’élever temporairement le privilège de l’utilisateur au niveau des privilèges d’administrateur local et peut ainsi installer ou exécuter l’application requise.
Les applications figurant sur la liste approuvée peuvent être installées avec cette fonctionnalité alors que les applications de la liste bloquée ne peuvent pas être installées. Toutes les opérations sont enregistrées.
Chaque règle est basée sur le chemin d’accès, l’éditeur ou le hachage de l’exécutable.

Lorsqu’une nouvelle règle est ajoutée, trois options sont disponibles : Appliquer aux processus enfants, si vous souhaitez que les processus enfants héritent de l’élévation de privilèges ou non.

Les options Heure de début et de fin permettent de limiter l’altitude à une certaine période.

Options de déploiement

Il existe trois types de configurations pour déployer WEM. Utilisez le type qui convient le mieux à l’environnement réel.

Domaine unique dans une seule forêt

Cette configuration peut être utilisée dans un environnement qui a un seul domaine dans une seule forêt.
Normalement, ce domaine unique contient toutes les ressources et les objets utilisateur. L’administrateur n’a donc qu’à déployer un seul ensemble de Cloud Connector pour permettre à tous vos appareils de se connecter au service WEM.

Plusieurs domaines dans une seule forêt

Cette configuration peut être utilisée dans des environnements où plusieurs domaines dans une même forêt existent.
Comme les domaines de la forêt peuvent communiquer entre eux, l’administrateur n’a qu’à déployer un ensemble de Cloud Connector pour permettre à tous vos appareils de se connecter au service WEM.

Utilisateurs et ressources dans des forêts distinctes (avec confiance)

Dans cette configuration, les utilisateurs et les ressources résident dans différentes forêts de domaines à des fins de gestion. Il existe une approbation entre les deux forêts qui permet aux utilisateurs de se connecter aux ressources d’une autre forêt.
Dans ce déploiement, l’administrateur doit déployer Cloud Connector dans chaque forêt de domaine pour terminer le déploiement WEM.

Considérations liées à la configuration

Le service WEM est conçu pour les déploiements d’entreprise à grande échelle. Côté serveur, le service WEM surveille le flux de communication entre les composants frontaux et back-end et évolue de manière dynamique en fonction des données en transit. Lors de l’évaluation du service WEM en termes de dimensionnement et d’évolutivité, la taille de la machine et le nombre de connecteurs Cloud sont importants.
Pour garantir une haute disponibilité, nous recommandons d’utiliser au moins deux Cloud Connector dans chaque emplacement de ressources, sur la base des options de déploiement décrites précédemment.

Pour plus d’informations sur le dimensionnement des Cloud Connector, consultez Citrix Cloud Connector.

Pour en savoir plus, consultez la documentation produit WEM.

Pour obtenir les dernières mises à jour concernant WEM, consultez la page Nouveautés.