Connessioni di rete

Introduzione

Questo articolo fornisce dettagli su diversi scenari di distribuzione quando si utilizza una sottoscrizione Azure gestita da Citrix.

Quando si crea un catalogo, si indica se e come gli utenti accedono a posizioni e risorse sulla propria rete aziendale locale dai desktop e dalle app di Citrix DaaS Standard per Azure (precedentemente Citrix Virtual Apps and Desktops Standard per Azure).

Quando si utilizza una sottoscrizione Azure gestita da Citrix, le scelte sono:

• Nessuna connettività
• Peering VNet di Azure
• Gateway VPN di Azure

Quando si utilizza una delle proprie sottoscrizioni Azure gestite dal cliente, non è necessario creare una connessione a Citrix DaaS per Azure. È sufficiente aggiungere la sottoscrizione Azure a Citrix DaaS per Azure.

Non è possibile modificare il tipo di connessione di un catalogo dopo la creazione del catalogo.

Requisiti per tutte le connessioni di rete

• Quando si crea una connessione, è necessario disporre di voci del server DNS valide.
• Quando si utilizza Secure DNS o un provider DNS di terze parti, è necessario aggiungere l’intervallo di indirizzi allocato per l’uso da parte di Citrix DaaS per Azure agli indirizzi IP del provider DNS nell’elenco consentiti. Tale intervallo di indirizzi viene specificato al momento della creazione di una connessione.
• Tutte le risorse del servizio che utilizzano la connessione (macchine aggiunte al dominio) devono essere in grado di raggiungere il server Network Time Protocol (NTP) per garantire la sincronizzazione dell’ora.

Nessuna connettività

Quando un catalogo è configurato con Nessuna connettività, gli utenti non possono accedere alle risorse sulle proprie reti locali o su altre reti. Questa è l’unica scelta quando si crea un catalogo utilizzando la creazione rapida.

Informazioni sulle connessioni di peering VNet di Azure

Il peering di rete virtuale connette senza problemi due reti virtuali di Azure (VNet): la propria e la VNet di Citrix DaaS per Azure. Il peering aiuta anche a consentire agli utenti di accedere a file e altri elementi dalle proprie reti locali.

Come mostrato nella seguente grafica, si crea una connessione utilizzando il peering VNet di Azure dalla sottoscrizione Azure gestita da Citrix alla VNet nella sottoscrizione Azure della propria azienda.

Ecco un’altra illustrazione del peering VNet.

Gli utenti possono accedere alle proprie risorse di rete locali (come i file server) unendosi al dominio locale quando si crea un catalogo. (Cioè, si unisce il dominio AD in cui risiedono le condivisioni file e altre risorse necessarie.) La sottoscrizione Azure si connette a tali risorse (nella grafica, utilizzando una VPN o Azure ExpressRoute). Al momento della creazione del catalogo, si forniscono il dominio, l’OU e le credenziali dell’account.

Importante:

• Informazioni sul peering VNet prima di utilizzarlo in Citrix DaaS per Azure.
• Creare una connessione di peering VNet prima di creare un catalogo che la utilizzi.

Route personalizzate del peering VNet di Azure

Le route personalizzate, o definite dall’utente, sovrascrivono le route di sistema predefinite di Azure per dirigere il traffico tra le macchine virtuali in un peering VNet, le reti locali e Internet. È possibile utilizzare route personalizzate se ci sono reti a cui le risorse di Citrix DaaS per Azure dovrebbero accedere ma non sono direttamente connesse tramite il peering VNet. Ad esempio, è possibile creare una route personalizzata che forza il traffico attraverso un’appliance di rete verso Internet o verso una sottorete di rete locale.

Per utilizzare le route personalizzate:

• È necessario disporre di un gateway VPN di Azure esistente o di un’appliance di rete nel proprio ambiente Citrix DaaS per Azure.
• Quando si aggiungono route personalizzate, è necessario aggiornare le tabelle di routing della propria azienda con le informazioni della VNet di destinazione di Citrix DaaS per Azure per garantire la connettività end-to-end.
• Le route personalizzate vengono visualizzate in Citrix DaaS per Azure nell’ordine in cui sono state inserite. Questo ordine di visualizzazione non influisce sull’ordine in cui Azure seleziona le route.

Prima di utilizzare le route personalizzate, consultare l’articolo Microsoft Routing del traffico di rete virtuale per informazioni sull’utilizzo delle route personalizzate, sui tipi di hop successivo e su come Azure seleziona le route per il traffico in uscita.

È possibile aggiungere route personalizzate quando si crea una connessione di peering VNet di Azure o a quelle esistenti nel proprio ambiente Citrix DaaS per Azure. Quando si è pronti per utilizzare le route personalizzate con il peering VNet, fare riferimento alle seguenti sezioni di questo articolo:

• Per le route personalizzate con nuovi peering VNet di Azure: Creare una connessione di peering VNet di Azure
• Per le route personalizzate con peering VNet di Azure esistenti: Gestire le route personalizzate per le connessioni di peering VNet di Azure esistenti

Requisiti e preparazione del peering VNet di Azure

• Credenziali per un proprietario della sottoscrizione di Azure Resource Manager. Deve essere un account Azure Active Directory. Citrix DaaS per Azure non supporta altri tipi di account, come live.com o account Azure AD esterni (guest) (in un tenant diverso).
• Una sottoscrizione Azure, un gruppo di risorse e una rete virtuale (VNet).
• Configurare le route di rete di Azure in modo che i VDA nella sottoscrizione Azure gestita da Citrix possano comunicare con le proprie posizioni di rete.
• Aprire i gruppi di sicurezza di rete di Azure dalla propria VNet all’intervallo IP specificato.

• Active Directory: Per gli scenari con join al dominio, si consiglia di disporre di una qualche forma di servizi Active Directory in esecuzione nella VNet con peering. Ciò sfrutta le caratteristiche di bassa latenza della tecnologia di peering VNet di Azure.

  Ad esempio, la configurazione potrebbe includere Azure Active Directory Domain Services (AADDS), una VM del controller di dominio nella VNet o Azure AD Connect al proprio Active Directory locale.

  Dopo aver abilitato AADDS, non è possibile spostare il dominio gestito in una VNet diversa senza eliminare il dominio gestito. Pertanto, è importante selezionare la VNet corretta per abilitare il proprio dominio gestito. Prima di procedere, consultare l’articolo Microsoft Considerazioni sulla rete per i servizi di dominio Azure AD.

• Intervallo IP VNet: Quando si crea la connessione, è necessario fornire uno spazio di indirizzi CIDR disponibile (indirizzo IP e prefisso di rete) che sia unico tra le risorse di rete e le VNet di Azure connesse. Questo è l’intervallo IP assegnato alle VM all’interno della VNet con peering di Citrix DaaS per Azure.

  Assicurarsi di specificare un intervallo IP che non si sovrapponga a nessun indirizzo utilizzato nelle proprie reti Azure e locali.

  • Ad esempio, se la propria VNet di Azure ha uno spazio di indirizzi di 10.0.0.0 /16, creare la connessione di peering VNet in Citrix DaaS per Azure come qualcosa del tipo 192.168.0.0 /24.

  • In questo esempio, la creazione di una connessione di peering con un intervallo IP 10.0.0.0 /24 sarebbe considerata un intervallo di indirizzi sovrapposto.

  Se gli indirizzi si sovrappongono, la connessione di peering VNet potrebbe non essere creata correttamente. Inoltre, non funziona correttamente per le attività di amministrazione del sito.

Per informazioni sul peering VNet, consultare i seguenti articoli Microsoft.

• Peering di rete virtuale
• Gateway VPN di Azure
• Creare una connessione da sito a sito nel portale di Azure
• Domande frequenti sul gateway VPN (cercare “overlap”)

Creare una connessione di peering VNet di Azure

1. Dal dashboard Distribuzione rapida > Microsoft Azure in Citrix DaaS per Azure, espandere Connessioni di rete a destra. Se sono già state configurate connessioni, queste sono elencate.

   

2. Fare clic su Aggiungi connessione.

3. Fare clic in un punto qualsiasi della casella Aggiungi peering VNet di Azure.

   

4. Fare clic su Autentica account Azure.

   

5. Citrix DaaS per Azure reindirizza automaticamente alla pagina di accesso di Azure per autenticare le sottoscrizioni Azure. Dopo aver effettuato l’accesso ad Azure (con le credenziali dell’account proprietario della sottoscrizione) e aver accettato i termini, si viene reindirizzati alla finestra di dialogo dei dettagli di creazione della connessione.

   

6. Digitare un nome per il peer VNet di Azure.
7. Selezionare la sottoscrizione Azure, il gruppo di risorse e la VNet per il peering.
8. Indicare se la VNet selezionata utilizza un gateway di rete virtuale di Azure. Per informazioni, consultare l’articolo Microsoft Gateway VPN di Azure.

9. Se si è risposto Sì nel passaggio precedente (la VNet selezionata utilizza un gateway di rete virtuale di Azure), indicare se si desidera abilitare la propagazione delle route del gateway di rete virtuale. Quando abilitato, Azure apprende (aggiunge) automaticamente tutte le route tramite il gateway.

   È possibile modificare questa impostazione in seguito nella pagina Dettagli della connessione. Tuttavia, la modifica può causare modifiche al modello di route e interruzioni del traffico VDA. Inoltre, se la si disabilita in seguito, è necessario aggiungere manualmente le route alle reti che i VDA utilizzeranno.

10. Digitare un indirizzo IP e selezionare una maschera di rete. Viene visualizzato l’intervallo di indirizzi da utilizzare, oltre al numero di indirizzi supportati dall’intervallo. Assicurarsi che l’intervallo IP non si sovrapponga a nessun indirizzo utilizzato nelle proprie reti Azure e locali.

-  Ad esempio, se la propria VNet di Azure ha uno spazio di indirizzi di 10.0.0.0 /16, creare la connessione di peering VNet in Citrix Virtual Apps and Desktops Standard come qualcosa del tipo 192.168.0.0 /24.
-  In questo esempio, la creazione di una connessione di peering VNet con un intervallo IP 10.0.0.0 /24 sarebbe considerata un intervallo di indirizzi sovrapposto.

Se gli indirizzi si sovrappongono, la connessione di peering VNet potrebbe non essere creata correttamente. Inoltre, non funzionerà correttamente per le attività di amministrazione del sito.

1. Indicare se si desidera aggiungere route personalizzate alla connessione di peering VNet. Se si seleziona Sì, inserire le seguenti informazioni:
   1. Digitare un nome descrittivo per la route personalizzata.
   2. Inserire l’indirizzo IP di destinazione e il prefisso di rete. Il prefisso di rete deve essere compreso tra 16 e 24.

   3. Selezionare un tipo di hop successivo per dove si desidera che il traffico venga instradato. Se si seleziona Appliance virtuale, inserire l’indirizzo IP interno dell’appliance.

      

      Per maggiori informazioni sui tipi di hop successivo, consultare Route personalizzate nell’articolo Microsoft Routing del traffico di rete virtuale.

   4. Fare clic su Aggiungi route per creare un’altra route personalizzata per la connessione.
2. Fare clic su Aggiungi peering VNet.

Dopo la creazione della connessione, questa viene elencata in Connessioni di rete > Peer VNet di Azure sul lato destro del dashboard Distribuzione rapida > Microsoft Azure. Quando si crea un catalogo, questa connessione è inclusa nell’elenco delle connessioni di rete disponibili.

Visualizzare i dettagli della connessione di peering VNet di Azure

1. Dal dashboard Distribuzione rapida > Microsoft Azure in Citrix DaaS per Azure, espandere Connessioni di rete a destra.
2. Selezionare la connessione di peering VNet di Azure che si desidera visualizzare.

I dettagli includono:

• Il numero di cataloghi, macchine, immagini e bastion che utilizzano questa connessione.
• La regione, lo spazio di rete allocato e le VNet con peering.
• Le route attualmente configurate per la connessione di peering VNet.

Gestire le route personalizzate per le connessioni di peering VNet di Azure esistenti

È possibile aggiungere nuove route personalizzate a una connessione esistente o modificare le route personalizzate esistenti, inclusa la disabilitazione o l’eliminazione delle route personalizzate.

Importante:

La modifica, la disabilitazione o l’eliminazione delle route personalizzate modifica il flusso di traffico della connessione e potrebbe interrompere le sessioni utente attive.

Per aggiungere una route personalizzata:

1. Dai dettagli della connessione di peering VNet, selezionare Route e quindi fare clic su Aggiungi route.
2. Inserire un nome descrittivo, l’indirizzo IP di destinazione e il prefisso, e il tipo di hop successivo che si desidera utilizzare. Se si seleziona Appliance virtuale come tipo di hop successivo, inserire l’indirizzo IP interno dell’appliance.
3. Indicare se si desidera abilitare la route personalizzata. Per impostazione predefinita, la route personalizzata è abilitata.
4. Fare clic su Aggiungi route.

Per modificare o disabilitare una route personalizzata:

1. Dai dettagli della connessione di peering VNet, selezionare Route e quindi individuare la route personalizzata che si desidera gestire.

2. Dal menu con i puntini di sospensione, selezionare Modifica.

   

3. Apportare le modifiche necessarie all’indirizzo IP di destinazione e al prefisso o al tipo di hop successivo, se necessario.
4. Per abilitare o disabilitare una route personalizzata, in Abilitare questa route?, selezionare Sì o No.
5. Fare clic su Salva.

Per eliminare una route personalizzata:

1. Dalla scheda Route della connessione di peering VNet, individuare la route personalizzata che si desidera gestire.
2. Dal menu con i puntini di sospensione, selezionare Elimina.
3. Selezionare L’eliminazione di una route potrebbe interrompere le sessioni attive per riconoscere l’impatto dell’eliminazione della route personalizzata.
4. Fare clic su Elimina route.

Eliminare una connessione di peering VNet di Azure

Prima di poter eliminare un peer VNet di Azure, rimuovere tutti i cataloghi ad esso associati. Vedere Eliminare un catalogo.

1. Dal dashboard Distribuzione rapida > Microsoft Azure in Citrix DaaS per Azure, espandere Connessioni di rete a destra.
2. Selezionare la connessione che si desidera eliminare.
3. Dai dettagli della connessione, fare clic su Elimina connessione.

Gateway VPN di Azure

La funzionalità VPN di Azure è disponibile in anteprima tecnica.

Informazioni sulle connessioni del gateway VPN di Azure

Una connessione del gateway VPN di Azure fornisce un collegamento di comunicazione tra i VDA Azure gestiti da Citrix (desktop e app) e le risorse della propria azienda, come reti locali o risorse in altre posizioni cloud. Questo è simile alla configurazione e alla connessione a un ufficio remoto.

La connettività sicura utilizza i protocolli standard del settore Internet Protocol Security (IPsec) e Internet Key Exchange (IKE).

Durante il processo di creazione della connessione:

• Si forniscono le informazioni che Citrix utilizza per creare il gateway e la connessione.

• Citrix crea un gateway VPN di Azure basato su route da sito a sito. Il gateway VPN forma un tunnel diretto Internet Protocol Security (IPsec) tra la sottoscrizione Azure gestita da Citrix e il dispositivo host della propria VPN.

• Dopo che Citrix ha creato il gateway VPN di Azure e la connessione, si aggiornano la configurazione della VPN, le regole del firewall e le tabelle di routing. Per questo processo, si utilizza un indirizzo IP pubblico fornito da Citrix e una chiave precondivisa (PSK) fornita per la creazione della connessione.

Un esempio di connessione è illustrato in Creare una connessione del gateway VPN di Azure.

Non è necessaria una propria sottoscrizione Azure per creare questo tipo di connessione.

È anche possibile utilizzare facoltativamente route personalizzate con questo tipo di connessione.

Route personalizzate del gateway VPN di Azure

Le route personalizzate, o definite dall’utente, sovrascrivono le route di sistema predefinite per dirigere il traffico tra le macchine virtuali nelle proprie reti e Internet. È possibile utilizzare route personalizzate se ci sono reti a cui le risorse di Citrix Virtual Apps and Desktops Standard dovrebbero accedere ma non sono direttamente connesse tramite un gateway VPN di Azure. Ad esempio, è possibile creare una route personalizzata che forza il traffico attraverso un’appliance di rete verso Internet o verso una sottorete di rete locale.

Quando si aggiungono route personalizzate a una connessione, tali route si applicano a tutte le macchine che utilizzano tale connessione.

Per utilizzare le route personalizzate:

• È necessario disporre di un gateway di rete virtuale esistente o di un’appliance di rete nel proprio ambiente Citrix Virtual Apps and Desktops Standard.
• Quando si aggiungono route personalizzate, è necessario aggiornare le tabelle di routing della propria azienda con le informazioni VPN di destinazione per garantire la connettività end-to-end.
• Le route personalizzate vengono visualizzate nella scheda Connessione > Route nell’ordine in cui sono state inserite. Questo ordine di visualizzazione non influisce sull’ordine in cui le route vengono selezionate.

Prima di utilizzare le route personalizzate, consultare l’articolo Microsoft Routing del traffico di rete virtuale per informazioni sull’utilizzo delle route personalizzate, sui tipi di hop successivo e su come Azure seleziona le route per il traffico in uscita.

È possibile aggiungere route personalizzate quando si crea una connessione del gateway VPN di Azure o a connessioni esistenti nel proprio ambiente di servizio.

Requisiti e preparazione della connessione del gateway VPN di Azure

• Per informazioni sul gateway VPN di Azure, consultare l’articolo Microsoft Che cos’è il gateway VPN?

• Rivedere i requisiti per tutte le connessioni di rete.

• È necessario disporre di una VPN configurata. La rete virtuale deve essere in grado di inviare e ricevere traffico tramite il gateway VPN. Una rete virtuale non può essere associata a più di un gateway di rete virtuale.

• È necessario disporre di un dispositivo IPsec con un indirizzo IP pubblico. Per informazioni sui dispositivi VPN convalidati, consultare l’articolo Microsoft Informazioni sui dispositivi VPN.

• Rivedere la procedura Creare una connessione del gateway VPN di Azure prima di avviarla effettivamente, in modo da poter raccogliere le informazioni necessarie. Ad esempio, saranno necessari gli indirizzi consentiti nella propria rete, gli intervalli IP per i VDA e il gateway, il throughput e il livello di prestazioni desiderati e gli indirizzi dei server DNS.

Creare una connessione del gateway VPN di Azure

Assicurarsi di rivedere questa procedura prima di avviarla effettivamente.

Il seguente diagramma mostra un esempio di configurazione di una connessione del gateway VPN di Azure. Generalmente, Citrix gestisce le risorse sul lato sinistro del diagramma e si gestiscono le risorse sul lato destro. Alcune descrizioni nella seguente procedura includono riferimenti agli esempi del diagramma.

1. Dal dashboard Gestisci in Citrix DaaS per Azure, espandere Connessioni di rete a destra.

2. Fare clic su Aggiungi connessione.

3. Fare clic in un punto qualsiasi della casella Gateway VPN di Azure.

4. Rivedere le informazioni nella pagina Aggiungi connessione VPN, quindi fare clic su Avvia configurazione VPN.

5. Nella pagina Aggiungi una connessione, fornire le seguenti informazioni.

   • Nome: Un nome per la connessione. (Nel diagramma, il nome è TestVPNGW1.)

   • Indirizzo IP VPN: Il proprio indirizzo IP pubblico.

     Nel diagramma, l’indirizzo è 40.71.184.214.

   • Reti consentite: Uno o più intervalli di indirizzi a cui il servizio Citrix è autorizzato ad accedere sulla propria rete. Di solito, questo intervallo di indirizzi contiene le risorse a cui gli utenti devono accedere, come i file server.

     Per aggiungere più di un intervallo, fare clic su Aggiungi altri indirizzi IP e inserire un valore. Ripetere se necessario.

     Nel diagramma, l’intervallo di indirizzi è 192.168.3.0/24.

   • Chiave precondivisa: Un valore utilizzato da entrambi gli estremi della VPN per l’autenticazione (simile a una password). Si decide quale sia questo valore. Assicurarsi di annotare il valore. Sarà necessario in seguito quando si configurerà la VPN con le informazioni di connessione.

   • Prestazioni e throughput: Il livello di larghezza di banda da utilizzare quando gli utenti accedono alle risorse sulla propria rete.

     Non tutte le scelte supportano necessariamente il Border Gateway Protocol (BGP). In questi casi, i campi Impostazioni BCP non sono disponibili.

   • Regione: Regione di Azure in cui Citrix distribuisce le macchine che forniscono desktop e app (VDA), quando si creano cataloghi che utilizzano questa connessione. Non è possibile modificare questa selezione dopo aver creato la connessione. Se si decide in seguito di utilizzare una regione diversa, è necessario creare o utilizzare un’altra connessione che specifichi la regione desiderata.

     Nel diagramma, la regione è EastUS.

   • Modalità attivo-attivo (alta disponibilità): Se vengono creati due gateway VPN per l’alta disponibilità. Quando questa modalità è abilitata, solo un gateway è attivo alla volta. Informazioni sul gateway VPN di Azure attivo-attivo nel documento Microsoft Connettività cross-premises ad alta disponibilità.

   • Impostazioni BGP: (Disponibile solo se le Prestazioni e throughput selezionate supportano BGP.) Se utilizzare il Border Gateway Protocol (BGP). Informazioni sul BGP nel documento Microsoft: Informazioni sul BGP con il gateway VPN di Azure. Se si abilita il BGP, fornire le seguenti informazioni:

     • Numero di sistema autonomo (ASN): Ai gateway di rete virtuale di Azure viene assegnato un ASN predefinito di 65515. Una connessione abilitata per BGP tra due gateway di rete richiede che i loro ASN siano diversi. Se necessario, è possibile modificare l’ASN ora o dopo la creazione del gateway.

     • Indirizzo IP di peering BGP: Azure supporta l’IP BGP nell’intervallo da 169.254.21.x a 169.254.22.x.

   • Sottorete VDA: L’intervallo di indirizzi in cui risiederanno i VDA Citrix (macchine che forniscono desktop e app) e i Cloud Connector quando si crea un catalogo che utilizza questa connessione. Dopo aver inserito un indirizzo IP e selezionato una maschera di rete, viene visualizzato l’intervallo di indirizzi, oltre al numero di indirizzi supportati dall’intervallo.

     Sebbene questo intervallo di indirizzi sia mantenuto nella sottoscrizione Azure gestita da Citrix, funziona come se fosse un’estensione della propria rete.

     • L’intervallo IP non deve sovrapporsi a nessun indirizzo utilizzato nelle proprie reti locali o in altre reti cloud. Se gli indirizzi si sovrappongono, la connessione potrebbe non essere creata correttamente. Inoltre, un indirizzo sovrapposto non funzionerà correttamente per le attività di amministrazione del sito.

     • L’intervallo della sottorete VDA deve essere diverso dall’indirizzo della sottorete del gateway.

     • Non è possibile modificare questo valore dopo aver creato la connessione. Per utilizzare un valore diverso, creare un’altra connessione.

     Nel diagramma, la sottorete VDA è 10.11.0.0/16.

   • Sottorete gateway: L’intervallo di indirizzi in cui risiederà il gateway VPN di Azure quando si crea un catalogo che utilizza questa connessione.

     • L’intervallo IP non deve sovrapporsi a nessun indirizzo utilizzato nelle proprie reti locali o in altre reti cloud. Se gli indirizzi si sovrappongono, la connessione potrebbe non essere creata correttamente. Inoltre, un indirizzo sovrapposto non funzionerà correttamente per le attività di amministrazione del sito.

     • L’intervallo della sottorete del gateway deve essere diverso dall’indirizzo della sottorete VDA.

     • Non è possibile modificare questo valore dopo aver creato la connessione. Per utilizzare un valore diverso, creare un’altra connessione.

     Nel diagramma, la sottorete del gateway è 10.12.0.9/16.

   • Route: Indicare se si desidera aggiungere route personalizzate alla connessione. Se si desidera aggiungere route personalizzate, fornire le seguenti informazioni:

     • Digitare un nome descrittivo per la route personalizzata.

     • Inserire l’indirizzo IP di destinazione e il prefisso di rete. Il prefisso di rete deve essere compreso tra 16 e 24.

     • Selezionare un tipo di hop successivo per dove si desidera che il traffico venga instradato. Se si seleziona Appliance virtuale, inserire l’indirizzo IP interno dell’appliance. Per maggiori informazioni sui tipi di hop successivo, consultare Route personalizzate nell’articolo Microsoft Routing del traffico di rete virtuale.

   Per aggiungere più di una route, fare clic su Aggiungi route e inserire le informazioni richieste.

   • Server DNS: Inserire gli indirizzi per i propri server DNS e indicare il server preferito. Sebbene sia possibile modificare le voci del server DNS in seguito, tenere presente che la modifica può potenzialmente causare problemi di connettività per le macchine nei cataloghi che utilizzano questa connessione.

     Per aggiungere più di due indirizzi di server DNS, fare clic su Aggiungi DNS alternativo e quindi inserire le informazioni richieste.

6. Fare clic su Crea connessione VPN.

Dopo che Citrix ha creato la connessione, questa viene elencata in Connessioni di rete > Gateway VPN di Azure nel dashboard Gestisci in Citrix DaaS per Azure. La scheda di connessione contiene un indirizzo IP pubblico. (Nel diagramma, l’indirizzo è 131.1.1.1.)

• Utilizzare questo indirizzo (e la chiave precondivisa specificata al momento della creazione della connessione) per configurare la propria VPN e i firewall. Se si è dimenticata la chiave precondivisa, è possibile modificarla nella pagina Dettagli della connessione. Sarà necessaria la nuova chiave per configurare la propria estremità del gateway VPN.

  Ad esempio, consentire eccezioni nel proprio firewall per gli intervalli di indirizzi IP della sottorete VDA e del gateway configurati.

• Aggiornare le tabelle di routing della propria azienda con le informazioni di connessione del gateway VPN di Azure per garantire la connettività end-to-end.

  Nel diagramma, sono necessarie nuove route per il traffico che va da 192.168.3.0/24 a 10.11.0.0/16 e 10.12.0.9/16 (le sottoreti VDA e gateway).

• Se sono state configurate route personalizzate, apportare anche gli aggiornamenti appropriati per esse.

Quando entrambi gli estremi della connessione sono configurati correttamente, la voce della connessione in Connessioni di rete > Gateway VPN di Azure indica Pronto all’uso.

Visualizzare una connessione del gateway VPN di Azure

1. Dal dashboard Gestisci in Citrix DaaS per Azure, espandere Connessioni di rete a destra.

2. Selezionare la connessione che si desidera visualizzare.

   Visualizza:

• La scheda Dettagli mostra il numero di cataloghi, macchine, immagini e bastion che utilizzano questa connessione. Contiene anche la maggior parte delle informazioni configurate per questa connessione.

• La scheda Route elenca le informazioni sulle route personalizzate per la connessione.

Gestire le route personalizzate per una connessione del gateway VPN di Azure

In una connessione del gateway VPN di Azure esistente, è possibile aggiungere, modificare, disabilitare ed eliminare route personalizzate.

Per informazioni sull’aggiunta di route personalizzate quando si crea una connessione, consultare Creare una connessione del gateway VPN di Azure.

Importante:

La modifica, la disabilitazione o l’eliminazione delle route personalizzate modifica il flusso di traffico della connessione e potrebbe interrompere le sessioni utente attive.

1. Dal dashboard Gestisci in Citrix DaaS per Azure, espandere Connessioni di rete a destra.

2. Selezionare la connessione che si desidera visualizzare.

   • Per aggiungere una route personalizzata:

     1. Dalla scheda Route della connessione, fare clic su Aggiungi route.

     2. Inserire un nome descrittivo, l’indirizzo IP di destinazione e il prefisso, e il tipo di hop successivo che si desidera utilizzare. Se si seleziona Appliance virtuale come tipo di hop successivo, inserire l’indirizzo IP interno dell’appliance.

     3. Indicare se si desidera abilitare la route personalizzata. Per impostazione predefinita, la route personalizzata è abilitata.

     4. Fare clic su Aggiungi route.

   • Per modificare o abilitare/disabilitare una route personalizzata:

     1. Dalla scheda Route della connessione, individuare la route personalizzata che si desidera gestire.

     2. Dal menu con i puntini di sospensione, selezionare Modifica.

     3. Modificare l’indirizzo IP di destinazione e il prefisso, o il tipo di hop successivo, se necessario.

     4. Indicare se si desidera abilitare la route.

     5. Fare clic su Salva.

   • Per eliminare una route personalizzata:

     1. Dalla scheda Route della connessione, individuare la route personalizzata che si desidera gestire.

     2. Dal menu con i puntini di sospensione, selezionare Elimina.

     3. Selezionare L’eliminazione di una route potrebbe interrompere le sessioni attive per riconoscere l’impatto dell’eliminazione della route personalizzata.

     4. Fare clic su Elimina route.

Reimpostare o eliminare una connessione del gateway VPN di Azure

Importante:

• Il ripristino di una connessione comporta la perdita della connessione corrente e la necessità per entrambi gli estremi di ristabilirela. Un ripristino interrompe le sessioni utente attive.

• Prima di poter eliminare una connessione, eliminare tutti i cataloghi che la utilizzano. Vedere Eliminare un catalogo.

1. Dal dashboard Gestisci in Citrix DaaS per Azure, espandere Connessioni di rete a destra.

2. Selezionare la connessione che si desidera reimpostare o eliminare.

3. Dalla scheda Dettagli della connessione:

   • Per reimpostare la connessione, fare clic su Reimposta connessione.

   • Per eliminare la connessione, fare clic su Elimina connessione.

4. Se richiesto, confermare l’azione.

Creare un indirizzo IP pubblico statico

Se si desidera che tutti i VDA delle macchine su una connessione utilizzino un singolo indirizzo IP pubblico statico in uscita (gateway) verso Internet, abilitare un gateway NAT. È possibile abilitare un gateway NAT per le connessioni a cataloghi con join al dominio o senza join al dominio.

Per abilitare un gateway NAT per una connessione:

1. Dal dashboard Distribuzione rapida > Microsoft Azure in Citrix DaaS per Azure, espandere Connessioni di rete a destra.
2. In Connessioni di rete, selezionare una connessione in GESTITE DA CITRIX o PEERING VNET DI AZURE.
3. Nella scheda dei dettagli della connessione, fare clic su Abilita gateway NAT.
4. Nella pagina Abilita gateway NAT, spostare il cursore su Sì e configurare un tempo di inattività.
5. Fare clic su Conferma modifiche.

Quando si abilita un gateway NAT:

• Azure assegna automaticamente un indirizzo IP pubblico statico al gateway. (Non è possibile specificare questo indirizzo.) Tutti i VDA in tutti i cataloghi che utilizzano questa connessione utilizzeranno tale indirizzo per la connettività in uscita.

• È possibile specificare un valore di timeout di inattività. Tale valore indica il numero di minuti in cui una connessione in uscita aperta tramite il gateway NAT può rimanere inattiva prima che la connessione venga chiusa.

• È necessario consentire l’indirizzo IP pubblico statico nel proprio firewall.

È possibile tornare alla scheda dei dettagli della connessione per abilitare o disabilitare il gateway NAT e modificare il valore di timeout.