XenApp and XenDesktop

Vue d’ensemble technique

XenApp et XenDesktop sont des solutions de virtualisation qui fournissent au personnel informatique un contrôle des machines virtuelles, des applications, des licences et de la sécurité tout en offrant un accès à n’importe quel appareil.

XenApp et XenDesktop permettent :

  • Aux utilisateurs d’exécuter des applications et des bureaux indépendamment du système d’exploitation et de l’interface de l’appareil.
  • Aux administrateurs de gérer le réseau et contrôler l’accès à partir d’appareils sélectionnés ou depuis tous les appareils.
  • Aux administrateurs de gérer l’ensemble d’un réseau à partir d’un centre de données unique.

XenApp et XenDesktop partagent une architecture unifiée appelée FlexCast Management Architecture (FMA). Les fonctionnalités clé de FMA comprennent la possibilité d’exécuter plusieurs versions de XenApp ou XenDesktop à partir d’un site unique et un provisioning intégré.

Composants principaux de XenApp et XenDesktop

Cet article est particulièrement utile si vous ne connaissez pas XenApp ou XenDesktop. Si vous disposez actuellement d’une batterie XenApp 6.x ou version antérieure, ou d’un site XenDesktop 5.6 ou version antérieure, consultez également l’article Modifications apportées dans la version 7.x.

Cette illustration affiche les composants principaux d’un déploiement typique, qui est appelé un site.

image localisée

Delivery Controller :

Delivery Controller est le composant de gestion centralisée d’un site XenApp ou XenDesktop. Chaque site possède un ou plusieurs Delivery Controller. Il est installé sur au moins un serveur dans le centre de données. Pour la fiabilité et la disponibilité du site, installez des Controller sur plusieurs serveurs. Si votre déploiement comprend des machines virtuelles hébergées sur un hyperviseur ou un service de cloud, les services Controller communiquent avec l’hyperviseur pour distribuer des applications et des bureaux, s’authentifier et gérer l’accès des utilisateurs, négocier des connexions entre les utilisateurs et leurs applications et bureaux virtuels, optimiser l’utilisation des connexions et équilibrer la charge de ces connexions.

Le service broker du Controller contrôle quels utilisateurs sont connectés et depuis quel endroit, quelles ressources de session les utilisateurs possèdent-ils et si les utilisateurs doivent se reconnecter aux applications existantes. Le service broker exécute des applets de commande PowerShell et communique avec l’agent broker situé sur les VDA via le port TCP 80. Il n’est pas possible d’utiliser le port TCP 443.

Monitor Service collecte les données historiques et les place dans la base de données de contrôle. Ce service utilise le port TCP 80 ou 443.

Les données provenant des services Controller sont stockées dans la base de données du site.

Le Controller gère l’état des bureaux, les démarre ou les arrête à la demande et en fonction de la configuration de l’administration. Dans certaines éditions, le Controller permet d’installer Profile Management pour gérer les paramètres de personnalisation des utilisateurs dans des environnements Windows physiques ou virtualisés.

Base de données :

Au moins une base de données Microsoft SQL Server est requise pour chaque site XenApp ou XenDesktop pour stocker toutes les informations de configuration et de session. Cette base de données stocke les données collectées et gérés par les services qui constituent le Controller. Installez la base de données dans votre centre de données et assurez-vous qu’elle possède une connexion permanente au Controller. Le site utilise également une base de données de journalisation de la configuration et une base de données de contrôle. Par défaut, ces bases de données sont installées dans le même emplacement que la base de données du site, mais vous pouvez modifier ce paramètre.

Virtual Delivery Agent (VDA) :

Le VDA est installé sur chaque machine physique ou virtuelle de votre site que vous mettez à disposition des utilisateurs. Ces machines fournissent des applications ou des postes de travail. Le VDA permet aux machines de s’enregistrer auprès du Controller, qui permet à la machine et aux ressources qu’elle héberge d’être mise à la disposition des utilisateurs. Les VDA établissent et gèrent la connexion entre la machine et l’appareil de l’utilisateur, vérifient qu’une licence Citrix est disponible pour l’utilisateur ou la session, et appliquent toute stratégie qui a été configurée pour la session.

Le VDA communique des informations de session au service Broker dans le Controller via l’agent Broker dans le VDA. L’agent broker héberge de multiples plug-ins et collecte des données en temps réel. Il communique avec le Controller sur le port TCP 80.

Le mot « VDA » est souvent utilisé pour faire référence à l’agent ainsi qu’à la machine sur laquelle il est installé.

Les VDA sont disponibles pour les systèmes d’exploitation de serveur et de bureau Windows. Les VDA pour les systèmes d’exploitation de serveur Windows Server autorisent plusieurs utilisateurs à se connecter au serveur à un moment donné. Les VDA pour les systèmes d’exploitation de bureau Windows ne permettent qu’à un seul utilisateur de se connecter au bureau à la fois. Les VDA Linux sont également disponibles.

Citrix StoreFront :

StoreFront authentifie les utilisateurs sur les sites hébergeant les ressources et gère les magasins de bureaux et d’applications auxquels les utilisateurs accèdent. Il peut héberger votre magasin d’applications d’entreprise qui fournit aux utilisateurs un accès en libre-service aux bureaux et aux applications que vous mettez à leur disposition. Il assure également le suivi des abonnements aux applications des utilisateurs, des noms de raccourcis et d’autres données. Cela permet de garantir que les utilisateurs ont une expérience cohérente sur plusieurs appareils.

Citrix Receiver :

Installé sur les machines utilisateur et autres points de terminaison, tels que les bureaux virtuels, Citrix Receiver offre aux utilisateurs un accès en libre-service, rapide et sécurisé aux documents, applications et bureaux à partir de tout appareil utilisateur, y compris les smartphones, tablettes et PC. Citrix Receiver offre également un accès à la demande aux applications Windows, Web et SaaS (Software as a Service). Pour les périphériques qui ne peuvent pas installer le logiciel Citrix Receiver, Citrix Receiver pour HTML5 offre une connexion via un navigateur Web compatible HTML5.

Citrix Studio :

Studio est la console de gestion qui vous permet de configurer et de gérer votre déploiement XenApp et XenDesktop. Cette console élimine le besoin de consoles de gestion distinctes pour gérer la mise à disposition des applications et des postes de travail. Studio offre des assistants pour vous guider dans le processus de configuration de votre environnement, créer vos charges de travail pour héberger les applications et bureaux, et attribuer des applications et des bureaux aux utilisateurs. Vous pouvez également utiliser Studio pour allouer et suivre les licences Citrix pour votre site.

Studio obtient les informations qu’il affiche à partir du Broker Service dans le Controller, communiquant via le port TCP 80.

Pour plus d’informations, cliquez sur ce graphique :

Aperçu de Citrix Studio

Citrix Director :

Director est un outil Web qui permet aux équipes d’assistance informatique de surveiller un environnement, de résoudre les problèmes avant qu’ils ne deviennent critiques et de réaliser des tâches d’assistance pour les utilisateurs finaux. Vous pouvez utiliser un déploiement de Director pour vous connecter à et contrôler plusieurs sites XenApp ou XenDesktop.

Director affiche les éléments suivants :

Données de session en temps réel du Broker Service dans le Controller. Cela inclut les données que le service Broker obtient du Broker Agent dans le VDA.

Données de site historiques provenant de Monitor Service dans le Controller.

Données de trafic HDX (également appelé trafic ICA) capturé par HDX Insight depuis NetScaler, si votre déploiement comprend un boîtier NetScaler et votre édition XenApp ou XenDesktop comprend HDX Insight.

Vous pouvez également afficher et interagir avec les sessions d’un utilisateur via Director, à l’aide de l’Assistance à distance Windows.

Serveur de licences Citrix :

Le serveur de licences gère les licences de vos produits Citrix. Il communique avec le Controller pour gérer les licences pour chaque session utilisateur et avec Studio pour allouer les fichiers de licences. Vous devez créer au moins un serveur de licences pour stocker et gérer vos fichiers de licences.

Hyperviseur ou service de cloud :

L’hyperviseur ou le service de cloud héberge les machines virtuelles de votre site. Il peut s’agir des machines virtuelles que vous utilisez pour héberger les applications et les bureaux, ainsi que les machines virtuelles que vous utilisez pour héberger les composants de XenApp et XenDesktop. Un hyperviseur est installé sur un ordinateur hôte entièrement dédié à l’exécution de l’hyperviseur et l’hébergement des machines virtuelles.

XenApp et XenDesktop prennent en charge un grand nombre d’hyperviseurs et de services de cloud.

Bien que de nombreux déploiements XenApp et XenDesktop requièrent un hyperviseur, vous n’en avez pas besoin pour fournir un accès PC distant. De même, un hyperviseur n’est pas requis lorsque vous utilisez Provisioning Services (PVS) pour provisionner des machines virtuelles.

Pour plus d’informations sur :

Composants supplémentaires

Les composants supplémentaires suivants, non affichés dans le diagramme ci-dessus, peuvent également être inclus dans les déploiements XenApp ou XenDesktop. Pour de plus amples informations, consultez leur documentation respective.

Provisioning Services (PVS) :

PVS est un composant facultatif, disponible dans certaines éditions. Il offre une alternative à MCS pour le provisioning des machines virtuelles. Alors que MCS permet de créer des copies d’une image principale, PVS livre l’image principale en streaming vers la machine utilisateur. PVS ne nécessite pas d’hyperviseur pour effectuer cette opération, vous pouvez donc l’utiliser pour héberger des machines physiques. PVS communique avec le Controller afin de fournir aux utilisateurs des ressources.

NetScaler Gateway :

Lorsque les utilisateurs se connectent en dehors du pare-feu d’entreprise, XenApp et XenDesktop peuvent utiliser la technologie Citrix NetScaler Gateway (anciennement Access Gateway) pour sécuriser les connexions avec le protocole TLS. Le boîtier virtuel NetScaler Gateway ou NetScaler VPX est un boîtier SSL VPN déployé dans la zone démilitarisée (DMZ) pour fournir un point d’accès sécurisé unique via le pare-feu de l’entreprise.

NetScaler SD-WAN :

Dans les déploiements dans lesquels des bureaux virtuels sont mis à disposition auprès des utilisateurs dans des emplacements distants, des succursales par exemple, la technologie Citrix NetScaler SD-WAN peut être utilisée pour optimiser les performances. (Cette technologie était auparavant Citrix CloudBridge, Branch Repeater ou WANScaler.) Les répéteurs accélèrent les performances sur les réseaux étendus. Avec les répéteurs, les utilisateurs des succursales bénéficient des performances d’un réseau local sur le réseau étendu. NetScaler SD-WAN permet de définir des priorités dans l’expérience des utilisateurs. Par exemple pour éviter une dégradation des performances au niveau de la succursale en cas d’envoi de fichiers volumineux ou de tâches d’impression importantes sur le réseau. L’optimisation WAN HDX assure une compression avec système de jetons et déduplication des données, réduisant les besoins en bande passante tout en améliorant les performances.

Comment fonctionnent les déploiements typiques

Un site est composé de machines avec des rôles dédiés qui permettent de garantir une certaine évolutivité, une haute disponibilité, la capacité de basculement, et fournir une solution qui est sécurisé par nature. Un site comprend des serveurs et des machines de bureau installés sur un VDA, ainsi que le Delivery Controller, qui gère l’accès.

image localisée

Le VDA permet aux utilisateurs de se connecter à des bureaux et des applications. Il est installé sur des machines de serveur ou de bureaux dans le centre de données pour la plupart des méthodes de mise à disposition, mais il peut également être installé sur des ordinateurs physiques pour Remote PC Access.

Le Controller est constitué de services Windows indépendants qui permettent de gérer les ressources, les applications et les bureaux, et optimiser et équilibrer les connexions utilisateur. Chaque site possède un ou plusieurs Delivery Controller. Étant donné que les sessions sont affectées par la latence, de la bande passante et de fiabilité du réseau, tous les Controller devraient idéalement se trouver sur le même réseau local.

Les utilisateurs n’accèdent jamais directement au Controller. Le VDA est utilisé en tant que intermédiaire entre les utilisateurs et le Controller. Lorsque les utilisateurs se connectent au site à l’aide de StoreFront, leurs informations d’identification sont transmises au service Broker sur le Controller. Le service Broker obtient ensuite leurs profils et les ressources disponibles en fonction des stratégies définies.

Comment sont traitées les connexions utilisateur

Pour démarrer une session, l’utilisateur se connecte, soit via Citrix Receiver installé sur la machine utilisateur, soit par le biais d’un site StoreFront Citrix Receiver pour Web.

L’utilisateur sélectionne les bureaux virtuels ou physiques ou l’application virtuelle nécessaire(s).

Les informations d’identification de l’utilisateur passent par le biais de cette piste pour accéder au Controller, qui détermine quelles ressources sont nécessaires à la communication avec un service Broker. Citrix recommande aux administrateurs de placer un certificat SSL sur StoreFront pour chiffrer les informations d’identification provenant de Citrix Receiver.

image localisée

Le Service Broker détermine la nature des bureaux et des applications que l’utilisateur est autorisé à accéder.

Une fois les informations d’identification vérifiées, les informations sur les applications ou les bureaux disponibles sont envoyées à l’utilisateur au travers de la piste StoreFront-Citrix Receiver. Lorsque l’utilisateur sélectionne des applications ou des bureaux depuis cette liste, ces informations retournent à la piste vers le Delivery Controller. Le Controller détermine ensuite le VDA approprié pour héberger les applications ou le bureau spécifiques.

Le Controller envoie un message au VDA avec les informations d’identification de l’utilisateur et envoie toutes les données à propos de l’utilisateur et de la connexion au VDA. Le VDA accepte la connexion et renvoie les informations vers les mêmes pistes jusqu’au Citrix Receiver. Un ensemble de paramètres requis est collecté sur StoreFront. Ces paramètres sont ensuite envoyés à Citrix Receiver, soit dans le cadre de la conversation de protocole entre Receiver et StoreFront, ou convertis en fichier ICA (Independent Computing Architecture) et téléchargés. Tant que le site a été correctement configuré, les informations d’identification sont chiffrées dans ce processus.

Le fichier ICA est copié vers la machine de l’utilisateur et établit une connexion directe entre le périphérique et la pile ICA en cours d’exécution sur le VDA. Cette connexion ignore l’infrastructure de gestion (Citrix Receiver, StoreFront et Controller).

La connexion entre Citrix Receiver et le VDA utilise Citrix Gateway Protocol (CGP). Si une connexion est interrompue, la fonction de fiabilité de session permet à l’utilisateur de se reconnecter au VDA plutôt que d’avoir à redémarrer via l’infrastructure de gestion. La fiabilité de session peut être activée ou désactivée à l’aide de stratégies Citrix.

Une fois que le client est connecté au VDA, le VDA notifie le Controller que l’utilisateur est connecté. Le Controller envoie ces informations à la base de données du site et commence à enregistrer les données dans la base de données de surveillance.

Comment fonctionne l’accès aux données

Chaque session génère des données auxquelles le service informatique peut accéder au travers de Studio ou Director. Studio permet aux administrateurs d’accéder à des données en temps réel à partir de l’agent Broker afin de gérer les sites. Director accède aux mêmes données en temps réel et aux données historiques stockées dans la base de données de surveillance. Director accède également aux données HDX de NetScaler Gateway pour le support et le dépannage du service d’assistance.

image localisée

Dans le Controller, le service Broker signale des données de session pour chaque session sur la machine fournissant des données en temps réel. Le service de surveillance (Monitor) suit également les données en temps réel et les stocke en tant que données d’historique dans la base de données de surveillance.

Studio communique uniquement avec le service Broker ; il accède uniquement aux données en temps réel. Director communique avec le service Broker (via un plug-in dans l’agent Broker) pour accéder à la base de données du site.

Director peut également accéder à NetScaler Gateway pour obtenir des informations sur les données HDX.

Mise à disposition de bureaux et d’applications : catalogues de machines, groupes de mise à disposition et groupes d’applications

Vous configurez les machines qui mettront à disposition les applications et les bureaux avec des catalogues de machines. Ensuite, vous créez des groupes de mise à disposition qui spécifient les applications et bureaux qui seront disponibles (à l’aide de certaines ou de toutes les machines des catalogues), et les utilisateurs qui peuvent y accéder.

Catalogues de machines :

Les catalogues de machines sont des collections de machines physiques ou virtuelles que vous gérez comme une seule entité. Ces machines, et les applications ou les bureaux virtuels sur celles-ci, sont les ressources que vous mettez à la disposition des utilisateurs. Toutes les machines d’un catalogue ont le même système d’exploitation et VDA installé. Elles possèdent également les mêmes applications ou bureaux virtuels.

En général, vous pouvez créer une image principale et l’utiliser pour créer les mêmes machines virtuelles dans le catalogue. Pour les VM, vous pouvez spécifier la méthode de provisioning pour les machines de ce catalogue : outils Citrix (PVS ou MCS) ou autres outils. Vous pouvez également utiliser vos propres images existantes. Dans ce cas, vous devez gérer les machines cibles individuellement ou collectivement à l’aide d’outils de distribution logiciel électronique tiers (ESD).

Les types de machines valides sont les suivants :

  • Machines avec OS de serveur : machines virtuelles ou physiques basées sur un système d’exploitation serveur. Utilisé pour mettre à disposition des applications publiées XenApp (appelées applications hébergées sur un serveur) et les bureaux publiés XenApp (appelés bureaux hébergés sur un serveur). Ces machines autorisent plusieurs utilisateurs à se connecter à un moment donné.
  • Machines avec OS de bureau : machines virtuelles ou physiques basées sur un système d’exploitation bureau. Utilisé pour fournir des postes de travail VDI (pouvant être personnalisés), des applications hébergées sur machine virtuelle (applications sur des systèmes d’exploitation de bureau) et des postes de travail physiques hébergés. Un seul utilisateur à la fois peut se connecter à chacun de ces bureaux.
  • Remote PC Access : permet aux utilisateurs distants d’accéder à leurs ordinateurs de bureau physiques à partir de n’importe quel périphérique exécutant Citrix Receiver. Les ordinateurs de bureau sont gérés via le déploiement XenDesktop et nécessitent que les machines utilisateur soient spécifiées dans une liste blanche.

Pour de plus amples informations, consultez l’article Créer des catalogues de machines.

Groupes de mise à disposition :

Les groupes de mise à disposition spécifient quels utilisateurs ont accès à quelles applications et/ou quels bureaux sur quelles machines. Les groupes de mise à disposition contiennent les machines de vos catalogues de machines et les utilisateurs Active Directory qui ont accès à votre site. Vous pouvez attribuer des utilisateurs à vos groupes de mise à disposition en fonction de leur groupe Active Directory, car les groupes Active Directory et les groupes de mise à disposition représentent des modes de regroupement des utilisateurs ayant les mêmes spécifications.

Chaque groupe de mise à disposition peut contenir des machines provenant de plusieurs catalogues de machines et chaque catalogue peut contribuer des machines à plus d’un groupe de mise à disposition. Toutefois, une machine individuelle peut appartenir à un seul groupe de mise à disposition à la fois.

Vous définissez les ressources auxquelles les utilisateurs dans le groupe de mise à disposition peuvent accéder. Par exemple, pour mettre à disposition des applications différentes pour différents utilisateurs, vous pouvez installer toutes les applications sur l’image principale pour un catalogue et créer suffisamment de machines dans ce catalogue à répartir sur plusieurs groupes de mise à disposition. Vous pouvez ensuite configurer chaque groupe de mise à disposition pour fournir un sous-ensemble différent d’applications installées sur les machines.

Pour plus d’informations, consultez la section Créer des groupes de mise à disposition.

Groupes d’applications :

Comparativement à l’utilisation d’un plus grand nombre de groupes de mise à disposition, les groupes d’applications permettent de gérer les applications et de contrôler les ressources : Avec les restrictions de balise, vous pouvez utiliser des machines existantes pour plusieurs tâches de publication, éliminant ainsi les coûts associés avec le déploiement et la gestion de machines supplémentaires. L’utilisation d’une restriction de balise équivaut à diviser (ou partitionner) des machines dans un groupe de mise à disposition. Les groupes d’applications peuvent également être utiles pour isoler et dépanner un sous-ensemble de machines dans un groupe de mise à disposition.

Pour de plus amples informations, consultez l’article Créer des groupes d’applications.