Conexões de rede

Introdução

Este artigo fornece detalhes sobre vários cenários de implantação ao usar uma assinatura do Citrix Managed Azure.

Ao criar um catálogo, você indica se e como os usuários acessam locais e recursos em sua rede local corporativa a partir de seus desktops e aplicativos Citrix DaaS Standard for Azure (anteriormente Citrix Virtual Apps and Desktops Standard for Azure).

Ao usar uma assinatura do Citrix Managed Azure, as opções são:

Ao usar uma de suas próprias assinaturas do Azure gerenciadas pelo cliente, não há necessidade de criar uma conexão com o Citrix DaaS for Azure. Você acabou de adicionar a assinatura do Azure ao Citrix DaaS for Azure.

Você não pode alterar o tipo de conexão de um catálogo após a criação do catálogo.

Requisitos para todas as conexões de rede

  • Ao criar uma conexão, você deve ter entradas de servidor DNS válidas.
  • Ao usar o Secure DNS ou um provedor de DNS de terceiros, você deve adicionar o intervalo de endereços alocado para uso pelo Citrix DaaS for Azure aos endereços IP do provedor de DNS na lista de permissões. Esse intervalo de endereços é especificado quando você cria uma conexão.
  • Todos os recursos de serviço que usam a conexão (máquinas ingressadas no domínio) devem ser capazes de acessar seu servidor NTP (Network Time Protocol), para garantir a sincronização de horário.

Sem conectividade

Quando um catálogo é configurado com Sem conectividade, os usuários não podem acessar recursos em suas redes locais ou em outras redes. Essa é a única opção ao criar um catálogo usando a criação rápida.

Sem conectividade com outras redes

Sobre as conexões de emparelhamento do Azure VNet

O peering de rede virtual conecta perfeitamente duas redes virtuais do Azure (VNETs): a sua e o Citrix DaaS para Azure VNet. O emparelhamento também ajuda a permitir que os usuários acessem arquivos e outros itens de suas redes locais.

Conforme mostrado no gráfico a seguir, você cria uma conexão usando o emparelhamento VNet do Azure da assinatura do Citrix Managed Azure para o VNet na assinatura do Azure da sua empresa.

Cenário de implantação com a rede local do cliente

Aqui está outra ilustração do emparelhamento VNet.

Diagrama de emparelhamento VNet

Os usuários podem acessar seus recursos de rede locais (como servidores de arquivos) ingressando no domínio local quando você cria um catálogo. (Ou seja, você ingressará no domínio do AD onde residem os compartilhamentos de arquivos e outros recursos necessários.) Sua assinatura do Azure se conecta a esses recursos (nos gráficos, usando uma VPN ou o Azure ExpressRoute). Ao criar o catálogo, você fornece o domínio, a UO e as credenciais da conta.

Importante:

  • Saiba mais sobre o emparelhamento de VNet antes de usá-lo no Citrix DaaS para Azure.
  • Crie uma conexão de emparelhamento VNet antes de criar um catálogo que a use.

Rotas personalizadas de peering do Azure VNet

As rotas personalizadas ou definidas pelo usuário substituem as rotas de sistema padrão do Azure para direcionar o tráfego entre máquinas virtuais em um emparelhamento VNet, redes locais e a Internet. Você pode usar rotas personalizadas se houver redes que os recursos do Citrix DaaS para Azure devem acessar, mas não estão diretamente conectadas por meio do emparelhamento VNet. Por exemplo, você pode criar uma rota personalizada que force o tráfego por meio de um dispositivo de rede para a Internet ou para uma sub-rede de rede local.

Para usar rotas personalizadas:

  • Você deve ter um gateway de rede virtual do Azure existente ou um dispositivo de rede, como o Citrix SD-WAN, em seu ambiente Citrix DaaS para Azure.
  • Ao adicionar rotas personalizadas, você deve atualizar as tabelas de rotas da sua empresa com as informações de VNet de destino do Citrix DaaS para Azure para garantir a conectividade de ponta a ponta.
  • As rotas personalizadas são exibidas no Citrix DaaS for Azure na ordem em que são inseridas. Essa ordem de exibição não afeta a ordem na qual o Azure seleciona as rotas.

Antes de usar rotas personalizadas, consulte o artigo da Microsoft Roteamento de tráfego de rede virtual para saber mais sobre como usar rotas personalizadas, tipos de próximo salto e como o Azure seleciona rotas para tráfego de saída.

Você pode adicionar rotas personalizadas ao criar uma conexão emparelhada do Azure VNet ou a rotas existentes em seu ambiente Citrix DaaS para Azure. Quando você estiver pronto para usar rotas personalizadas com seu emparelhamento VNet, consulte as seções a seguir neste artigo:

Requisitos e preparação de emparelhamento do Azure VNet

  • Credenciais de um proprietário de assinatura do Azure Resource Manager. Essa deve ser uma conta do Azure Active Directory. O Citrix DaaS para Azure não oferece suporte a outros tipos de conta, como live.com ou contas externas do Azure AD (em um locatário diferente).
  • Uma assinatura do Azure, um grupo de recursos e uma rede virtual (VNet).
  • Configure as rotas de rede do Azure para que os VDAs na assinatura do Citrix Managed Azure possam se comunicar com seus locais de rede.
  • Abra os grupos de segurança de rede do Azure da sua VNet para o intervalo de IP especificado.
  • Active Directory: em cenários de ingresso em domínios, recomendamos que você tenha alguma forma de serviços do Active Directory em execução na VNet emparelhada. Isso aproveita as características de baixa latência da tecnologia de emparelhamento VNet do Azure.

    Por exemplo, a configuração pode incluir os Serviços de Domínio do Azure Active Directory (AADDS), uma VM de controlador de domínio na VNet ou o Azure AD Connect ao Active Directory local.

    Depois de habilitar o AADDS, você não poderá mover seu domínio gerenciado para uma VNet diferente sem excluir o domínio gerenciado. Portanto, é importante selecionar a VNet correta para habilitar seu domínio gerenciado. Antes de continuar, leia o artigo da Microsoft Networking considerations for Azure AD Domain Services.

  • Intervalo de IP VNet: Ao criar a conexão, você deve fornecer um espaço de endereço CIDR disponível (endereço IP e prefixo de rede) exclusivo entre os recursos de rede e as VNets do Azure que estão sendo conectadas. Esse é o intervalo de IP atribuído às VMs dentro do Citrix DaaS for Azure peering VNet.

    Certifique-se de especificar um intervalo de IP que não se sobreponha a nenhum endereço usado nas redes Azure e no local.

    • Por exemplo, se sua VNet do Azure tiver um espaço de endereço de 10.0.0.0 /16, crie a conexão emparelhada VNet no Citrix DaaS para Azure como algo como 192.168.0.0 /24.

    • Neste exemplo, criar uma conexão de emparelhamento com um intervalo de IP 10.0.0.0 /24 seria considerado um intervalo de endereços sobreposto.

    Se os endereços se sobrepuserem, poderá não ser possível criar a conexão de emparelhamento VNet. Também não funciona corretamente para tarefas de administração do site.

Para saber mais sobre o emparelhamento de VNet, consulte os seguintes artigos da Microsoft.

Criar uma conexão emparelhada do Azure VNet

  1. No painel Gerenciar > Implantação Rápida do Azure no Citrix DaaS para Azure, expanda Conexões de Rede à direita. Se você já tiver configurado conexões, elas estão listadas.

    Lista de conexões

  2. Clique em Adicionar conexão.
  3. Clique em qualquer lugar na caixa Adicionar emparelhamento de VNet do Azure.

    Adicionar conexão de emparelhamento VNet

  4. Clique em Autenticar conta do Azure.

    Autenticar sua assinatura do Azure

  5. O Citrix DaaS for Azure leva você automaticamente para a página de login do Azure para autenticar suas assinaturas do Azure. Depois de entrar no Azure (com as credenciais da conta de administrador global) e aceitar os termos, você retornará à caixa de diálogo de detalhes da criação da conexão.

    Campos de criação de conexão de peering VNet

  6. Digite um nome para o par VNet do Azure.
  7. Selecione a assinatura do Azure, o grupo de recursos e o VNet to peer.
  8. Indique se a VNet selecionada usa um Gateway de Rede Virtual do Azure. Para obter informações, consulte o artigo da Microsoft Azure VPN Gateway.
  9. Se você respondeu Sim na etapa anterior (a VNet selecionada usa um gateway de rede virtual do Azure), indique se deseja habilitar a propagação de rota do gateway de rede virtual. Quando habilitado, o Azure aprende automaticamente (adiciona) todas as rotas por meio do gateway.

    Você pode alterar essa configuração posteriormente na página Details da conexão. No entanto, alterá-lo pode causar alterações no padrão de rota e interrupções no tráfego VDA. Além disso, se você desativá-lo mais tarde, deverá adicionar manualmente rotas às redes que os VDAs usarão.

  10. Digite um endereço IP e selecione uma máscara de rede. O intervalo de endereços a ser usado é exibido, além de quantos endereços o intervalo suporta. Certifique-se de que o intervalo de IP não se sobreponha a nenhum endereço que você usa nas redes Azure e no local.

    • Por exemplo, se o Azure VNet tiver um espaço de endereço de 10.0.0.0 /16, crie a conexão de emparelhamento VNet no Citrix Virtual Apps and Desktops Standard como algo como 192.168.0.0 /24.
    • Neste exemplo, criar uma conexão de emparelhamento VNet com um intervalo de IP 10.0.0.0 /24 seria considerado um intervalo de endereços sobreposto.

    Se os endereços se sobrepõem, a conexão de emparelhamento VNet pode não ser criada com êxito. Também não funciona corretamente para tarefas de administração do site.

  11. Indique se você deseja adicionar rotas personalizadas à conexão de emparelhamento VNet. Se selecionar Yes, insira as seguintes informações:
    1. Digite um nome amigável para a rota personalizada.
    2. Insira o endereço IP de destino e o prefixo da rede. O prefixo da rede deve estar entre 16 e 24.
    3. Selecione um tipo de próximo salto para onde você deseja que o tráfego seja roteado. Se você selecionar Virtual appliance, digite o endereço IP interno do equipamento.

      Campos de criação de rota personalizados

      Para obter mais informações sobre os próximos tipos de salto, consulte Rotas personalizadas no artigo da Microsoft Roteamento de tráfego de rede virtual.

    4. Clique em Adicionar rota para criar outra rota personalizada para a conexão.
  12. Clique em Adicionar emparelhamento VNet.

Depois que a conexão é criada, ela é listada em Conexões de Rede > Pares VNet do Azure no lado direito do painel Gerenciar > Implantação Rápida do Azure . Quando você cria um catálogo, essa conexão é incluída na lista de conexões de rede disponíveis.

Veja os detalhes da conexão de peering do Azure VNet

Detalhes da conexão de peering VNet

  1. No painel Gerenciar > Implantação Rápida do Azure no Citrix DaaS para Azure, expanda Conexões de Rede à direita.
  2. Selecione a conexão emparelhada do Azure VNet que você deseja exibir.

Os detalhes incluem:

  • O número de catálogos, máquinas, imagens e bastions que usam essa conexão.
  • A região, o espaço de rede alocado e as VNets emparelhadas.
  • As rotas atualmente configuradas para a conexão de emparelhamento VNet.

Gerenciar rotas personalizadas para conexões de mesmo nível existentes do Azure VNet

Você pode adicionar novas rotas personalizadas a uma conexão existente ou modificar rotas personalizadas existentes, inclusive a desativação ou exclusão de rotas personalizadas.

Importante:

A modificação, desativação ou exclusão de rotas personalizadas altera o fluxo de tráfego da conexão e pode interromper qualquer sessão de usuário que possa estar ativa.

Para adicionar uma rota personalizada:

  1. Nos detalhes da conexão de emparelhamento VNet, selecione Rotas e clique em Adicionar Rota.
  2. Digite um nome amigável, o endereço IP de destino e o prefixo e o próximo tipo de salto que você deseja usar. Se você selecionar Virtual Appliance como o tipo de salto seguinte, digite o endereço IP interno do equipamento.
  3. Indique se você deseja ativar a rota personalizada. Por padrão, a rota personalizada está ativada.
  4. Clique em Adicionar rota.

Para modificar ou desativar uma rota personalizada:

  1. Nos detalhes da conexão de emparelhamento VNet, selecione Rotas e, em seguida, localize a rota personalizada que você deseja gerenciar.
  2. No menu de reticências, selecione Editar.

    Guia Routes na página de detalhes do peering VNet

  3. Faça as alterações necessárias no endereço IP e prefixo de destino ou no tipo de próximo salto, conforme necessário.
  4. Para habilitar ou desabilitar uma rota personalizada, em Habilitar esta rota?, selecione Sim ou Não.
  5. Clique em Save.

Para excluir uma rota personalizada:

  1. Nos detalhes da conexão de emparelhamento VNet, selecione Rotas e, em seguida, localize a rota personalizada que você deseja gerenciar.
  2. No menu de reticências, selecione Excluir.
  3. Selecione Excluir uma rota pode interromper as sessões ativas para reconhecer o impacto da exclusão da rota personalizada.
  4. Clique em Excluir rota.

Excluir uma conexão de emparelhamento Azure VNet

Antes de excluir um peer VNet do Azure, remova todos os catálogos associados a ele. Consulte Delete a catalog.

  1. No painel Gerenciar > Implantação Rápida do Azure no Citrix DaaS para Azure, expanda Conexões de Rede à direita.
  2. Selecione a conexão que você deseja excluir.
  3. Nos detalhes da conexão, clique em Excluir conexão.

Sobre as conexões SD-WAN

Importante:

O Citrix SD-WAN foi preterido e todo o conteúdo relacionado será removido da documentação em uma versão futura. Recomendamos que você mude para soluções de rede alternativas para garantir acesso ininterrupto aos serviços Citrix.

O Citrix SD-WAN otimiza todas as conexões de rede necessárias para o Citrix Virtual Apps and Desktops Standard for Azure. Trabalhando em conjunto com as tecnologias HDX, o Citrix SD-WAN fornece qualidade de serviço e confiabilidade de conexão para tráfego padrão ICA e Citrix Virtual Apps and Desktops fora de banda. O Citrix SD-WAN oferece suporte às seguintes conexões de rede:

  • Conexão ICA multi-stream entre usuários e seus desktops virtuais
  • Acesso à Internet da área de trabalho virtual para sites, aplicativos SaaS e outras propriedades de nuvem
  • Acesso da área de trabalho virtual de volta aos recursos locais, como Active Directory, servidores de arquivos e servidores de banco de dados
  • Tráfego interativo/em tempo real transportado pelo RTP do mecanismo de mídia no aplicativo Workspace para serviços de Unified Communications hospedados na nuvem, como o Microsoft Teams
  • Busca do lado do cliente de vídeos de sites como YouTube e Vimeo

Conforme mostrado no gráfico a seguir, você cria uma conexão SD-WAN a partir da assinatura do Citrix Managed Azure para seus sites. Durante a criação da conexão, os dispositivos SD-WAN VPX são criados na assinatura do Citrix Managed Azure. Do ponto de vista da SD-WAN, esse local é tratado como uma ramificação.

Conexões SD-WAN

Requisitos e preparação da conexão SD-WAN

  • Se os requisitos a seguir não forem atendidos, a opção de conexão de rede SD-WAN não estará disponível.

    • Direitos do Citrix Cloud: Citrix Virtual Apps and Desktops Standard para Azure e SD-WAN Orchestrator.
    • Uma implantação de SD-WAN instalada e configurada. A implantação deve incluir um Master Control Node (MCN), seja na nuvem ou no local, e ser gerenciada com o SD-WAN Orchestrator.
  • Intervalo de IP VNet: forneça um espaço de endereço CIDR disponível (endereço IP e prefixo de rede) exclusivo entre os recursos de rede que estão sendo conectados. Esse é o intervalo de IP atribuído às VMs no Citrix Virtual Apps and Desktops Standard VNet.

    Certifique-se de especificar um intervalo de IP que não se sobreponha a nenhum endereço usado na nuvem e nas redes locais.

    • Por exemplo, se sua rede tiver um espaço de endereço de 10.0.0.0 /16, crie a conexão no Citrix Virtual Apps and Desktops Standard como algo como 192.168.0.0 /24.
    • Neste exemplo, criar uma conexão com um intervalo de IP 10.0.0.0 /24 seria considerado um intervalo de endereços sobreposto.

    Se os endereços se sobrepuserem, poderá não ser possível criar a conexão. Ele também não funciona corretamente para tarefas de administração do site.

  • O processo de configuração de conexão inclui tarefas que você (o administrador do Citrix DaaS for Azure) e o administrador do SD-WAN Orchestrator devem concluir. Além disso, para concluir suas tarefas, você precisa de informações fornecidas pelo administrador do SD-WAN Orchestrator.

    Recomendamos que você revise a orientação neste documento, além da documentação da SD-WAN, antes de criar uma conexão de fato.

Criar uma conexão SD-WAN

Importante:

Para obter detalhes sobre a configuração da SD-WAN, consulte Configuração da SD-WAN para integração do Citrix Virtual Apps and Desktops Standard for Azure.

  1. No painel Gerenciar > Implantação Rápida do Azure no Citrix DaaS para Azure, expanda Conexões de Rede à direita.
  2. Clique em Adicionar conexão.
  3. Na página Adicionar uma conexão de rede, clique em qualquer lugar na caixa SD-WAN.
  4. A próxima página resume o que está por vir. Quando terminar de ler, clique em Iniciar configuração da SD-WAN.
  5. Na página Configurar SD-WAN, insira as informações fornecidas pelo administrador do SD-WAN Orchestrator.

    • Deployment mode: se você selecionar High availability, dois dispositivos VPX serão criados (recomendado para ambientes de produção). Se você selecionar Standalone, será criado um equipamento. Você não pode alterar essa configuração posteriormente. Para mudar para o modo de implantação, você terá que excluir e recriar o branch e todos os catálogos associados.
    • Name: digite um nome para o site da SD-WAN.
    • Throughput and number of offices: essas informações são fornecidas pelo administrador do SD-WAN Orchestrator.
    • Region: a região onde os dispositivos VPX serão criados.
    • VDA subnet and SD-WAN subnet: essas informações são fornecidas pelo administrador do SD-WAN Orchestrator. Consulte Requisitos de conexão SD-WAN e preparação para obter informações sobre como evitar conflitos.
  6. Quando terminar, clique em Criar ramificação.
  7. A próxima página resume o que procurar no painel Gerenciar > Implantação Rápida do Azure . Quando terminar de ler, clique em Entendi.
  8. No painel Gerenciar > Implantação Rápida do Azure, a nova entrada SD-WAN em Conexões de Rede mostra o andamento do processo de configuração. Quando a entrada ficar laranja com a mensagem Aguardando ativação pelo administrador da SD-WAN, notifique o administrador do SD-WAN Orchestrator.
  9. Para tarefas de administrador do SD-WAN Orchestrator, consulte a documentação do produtoSD-WAN Orchestrator.
  10. Quando o administrador do SD-WAN Orchestrator terminar, a entrada SD-WAN em Conexões de rede fica verde, com a mensagem Você pode criar catálogos usando essa conexão.

Exibir detalhes da conexão SD-WAN

  1. No painel Gerenciar > Implantação Rápida do Azure no Citrix DaaS para Azure, expanda Conexões de Rede à direita.
  2. Selecione SD-WAN se essa não for a única seleção.
  3. Clique na conexão que você deseja exibir.

A tela inclui:

  • Details tab: Informações que você especificou ao configurar a conexão.
  • Branch Connectivity tab: nome, conectividade de nuvem, disponibilidade, camada de largura de banda, função e local para cada filial e MCN.

Excluir uma conexão SD-WAN

Antes de excluir uma conexão SD-WAN, remova todos os catálogos associados a ela. Consulte Delete a catalog.

  1. No painel Gerenciar > Implantação Rápida do Azure no Citrix DaaS para Azure, expanda Conexões de Rede à direita.
  2. Selecione SD-WAN se essa não for a única seleção.
  3. Clique na conexão que você deseja excluir para expandir seus detalhes.
  4. Na guia Detalhes, clique em Excluir conexão.
  5. Confirme a exclusão.

Prévia técnica do Azure VPN

O recurso de VPN do Azure está disponível para visualização técnica.

Sobre as conexões de gateway VPN do Azure

Uma conexão de gateway VPN do Azure fornece um link de comunicação entre seus VDAs (desktops e aplicativos) do Azure gerenciados pela Citrix e os recursos da sua empresa, como redes locais ou recursos em outros locais de nuvem. Isso é semelhante à configuração e à conexão com uma filial remota.

A conectividade segura usa os protocolos padrão do setor Internet Protocol Security (IPsec) e Internet Key Exchange (IKE).

Durante o processo de criação da conexão:

  • Você fornece informações que a Citrix usa para criar o gateway e a conexão.

  • A Citrix cria um gateway de VPN do Azure baseado em rota site a site. O gateway VPN forma um túnel IPsec (Internet Protocol Security) direto entre a assinatura do Azure gerenciada pela Citrix e o dispositivo host da VPN.

  • Depois que a Citrix cria o gateway e a conexão VPN do Azure, você atualiza a configuração, as regras de firewall e as tabelas de rotas da sua VPN. Para esse processo, você usa um endereço IP público fornecido pela Citrix e uma chave pré-compartilhada (PSK) fornecida para criar a conexão.

Um exemplo de conexão é ilustrado em Criar uma conexão de gateway VPN do Azure.

Você não precisa de sua própria assinatura do Azure para criar esse tipo de conexão.

Opcionalmente, você também pode usar rotas personalizadas com esse tipo de conexão.

Rotas personalizadas do gateway VPN do Azure

As rotas personalizadas ou definidas pelo usuário substituem as rotas padrão do sistema para direcionar o tráfego entre máquinas virtuais em suas redes e a Internet. Você pode usar rotas personalizadas se houver redes às quais se espera que os recursos do Citrix Virtual Apps and Desktops Standard acessem, mas não estejam diretamente conectadas por meio de um gateway VPN do Azure. Por exemplo, você pode criar uma rota personalizada que force o tráfego por meio de um dispositivo de rede para a Internet ou para uma sub-rede de rede local.

Quando você adiciona rotas personalizadas a uma conexão, essas rotas se aplicam a todas as máquinas que usam essa conexão.

Para usar rotas personalizadas:

  • Você deve ter um gateway de rede virtual existente ou um dispositivo de rede, como o Citrix SD-WAN, em seu ambiente Citrix Virtual Apps and Desktops Standard.
  • Ao adicionar rotas personalizadas, você deve atualizar as tabelas de rotas da sua empresa com as informações da VPN de destino para garantir a conectividade de ponta a ponta.
  • As rotas personalizadas são exibidas na guia Conexão > Rotas na ordem em que são inseridas. Essa ordem de exibição não afeta a ordem em que as rotas são selecionadas.

Antes de usar rotas personalizadas, consulte o artigo da Microsoft Roteamento de tráfego de rede virtual para saber mais sobre como usar rotas personalizadas, tipos de próximo salto e como o Azure seleciona rotas para tráfego de saída.

Você pode adicionar rotas personalizadas ao criar uma conexão de gateway VPN do Azure ou a conexões existentes em seu ambiente de serviço.

Requisitos e preparação da conexão do gateway VPN do Azure

  • Para saber mais sobre o Gateway VPN do Azure, consulte o artigo da Microsoft O que é o VPN Gateway?

  • Analise os requisitos para todas as conexões de rede.

  • Você deve ter uma VPN configurada. A rede virtual deve ser capaz de enviar e receber tráfego por meio do gateway VPN. Uma rede virtual não pode ser associada a mais de um gateway de rede virtual.

  • Você deve ter um dispositivo IPsec que tenha um endereço IP público. Para saber mais sobre dispositivos VPN validados, consulte o artigo da Microsoft Sobre dispositivos VPN.

  • Revise o procedimento Criar uma conexão do Gateway VPN do Azure antes de iniciá-lo, para que você possa coletar as informações de que precisa. Por exemplo, você precisará de endereços permitidos em sua rede, intervalos de IP para os VDAs e gateway, taxa de transferência e nível de desempenho desejados e endereços de servidor DNS.

Crie uma conexão de gateway VPN do Azure

Certifique-se de revisar esse procedimento antes de iniciá-lo.

O diagrama a seguir mostra um exemplo de configuração de uma conexão de gateway VPN do Azure. Geralmente, a Citrix gerencia os recursos no lado esquerdo do diagrama e você gerencia os recursos no lado direito. Algumas descrições no procedimento a seguir incluem referências aos exemplos do diagrama.

Azure VPN Gateway - diagrama de conexão

  1. No painel Gerenciar no Citrix DaaS for Azure, expanda Conexões de rede à direita.

  2. Clique em Adicionar conexão.

  3. Clique em qualquer lugar na caixa Gateway de VPN do Azure .

  4. Revise as informações na página Adicionar conexão VPN e clique em Iniciar configuração de VPN.

  5. Na página Adicionar uma conexão, forneça as seguintes informações.

    • Nome: Um nome para a conexão. (No diagrama, o nome é TestVPNGW1.)

    • Endereço IP da VPN: Seu endereço IP voltado para o público.

      No diagrama, o endereço é 40.71.184.214.

    • Redes permitidas: um ou mais intervalos de endereços que o serviço Citrix tem permissão para acessar em sua rede. Normalmente, esse intervalo de endereços contém os recursos que os usuários precisam acessar, como servidores de arquivos.

      Para adicionar mais de um intervalo, clique em Adicionar mais endereços IP e insira um valor. Repita conforme necessário.

      No diagrama, o intervalo de endereços é 192.168.3.0/24.

    • Chave pré-compartilhada: um valor usado por ambas as extremidades da VPN para autenticação (semelhante a uma senha). Você decide qual é esse valor. Certifique-se de anotar o valor. Você precisará dele mais tarde quando configurar sua VPN com as informações de conexão.

    • Desempenho e taxa de transferência: o nível de largura de banda a ser usado quando os usuários acessam recursos em sua rede.

      Todas as opções não suportam necessariamente o Border Gateway Protocol (BGP). Nesses casos, os campos de configurações do BCP não estão disponíveis.

    • Região: região do Azure em que a Citrix implanta máquinas que fornecem áreas de trabalho e aplicativos (VDAs), quando você cria catálogos que usam essa conexão. Você não pode alterar essa seleção depois de criar a conexão. Se você decidir usar uma região diferente posteriormente, deverá criar ou usar outra conexão que especifique a região desejada.

      No diagrama, a região é EastUS.

    • Modo ativo-ativo (alta disponibilidade): se dois gateways VPN são criados para alta disponibilidade. Quando esse modo está ativado, somente um gateway fica ativo por vez. Saiba mais sobre o gateway VPN do Azure ativo-ativo no documento da Microsoft Highly Available Cross-Premises Connectivity.

    • Configurações de BGP: (Disponível somente se o desempenho e a taxa de transferência selecionados suportarem BGP.) Se usar o Border Gateway Protocol (BGP). Saiba mais sobre o BGP no documento da Microsoft: Sobre o BGP com o Gateway VPN do Azure. Se você habilitar o BGP, forneça as seguintes informações:

      • Número de sistema autônomo (ASN): os gateways de rede virtual do Azure recebem um ASN padrão de 65515. Uma conexão habilitada para BGP entre dois gateways de rede requer que seus ASNs sejam diferentes. Se necessário, você pode alterar o ASN agora ou depois que o gateway for criado.

      • Endereço IP de peering de IP BGP: o Azure oferece suporte a IP BGP no intervalo 169.254.21.x para 169.254.22.x.

    • Sub-rede VDA: o intervalo de endereços em que os Citrix VDAs (máquinas que fornecem desktops e aplicativos) e os Cloud Connectors residirão quando você criar um catálogo que usa essa conexão. Depois de inserir um endereço IP e selecionar uma máscara de rede, o intervalo de endereços é exibido, além de quantos endereços o intervalo suporta.

      Embora esse intervalo de endereços seja mantido na assinatura do Azure gerenciada pela Citrix, ele funciona como se fosse uma extensão da sua rede.

      • O intervalo de IP não deve sobrepor nenhum endereço que você usa em suas redes locais ou em outras redes de nuvem. Se os endereços se sobrepuserem, a conexão poderá não ser criada com êxito. Além disso, um endereço sobreposto não funcionará corretamente para tarefas de administração do site.

      • O intervalo de sub-rede VDA deve ser diferente do endereço de sub-rede do gateway.

      • Você não pode alterar esse valor depois de criar a conexão. Para usar um valor diferente, crie outra conexão.

      No diagrama, a sub-rede VDA é 10.11.0.0/16.

    • Sub-rede do gateway: o intervalo de endereços em que o gateway VPN do Azure residirá quando você criar um catálogo que usa essa conexão.

      • O intervalo de IP não deve sobrepor nenhum endereço que você usa em suas redes locais ou em outras redes de nuvem. Se os endereços se sobrepuserem, a conexão poderá não ser criada com êxito. Além disso, um endereço sobreposto não funcionará corretamente para tarefas de administração do site.

      • O intervalo de sub-rede do gateway deve ser diferente do endereço de sub-rede do VDA.

      • Você não pode alterar esse valor depois de criar a conexão. Para usar um valor diferente, crie outra conexão.

      No diagrama, a sub-rede do gateway é 10.12.0.9/16.

    • Rotas: indique se você deseja adicionar rotas personalizadas à conexão. Se você quiser adicionar rotas personalizadas, forneça as seguintes informações:

      • Digite um nome amigável para a rota personalizada.

      • Insira o endereço IP de destino e o prefixo da rede. O prefixo da rede deve estar entre 16 e 24.

      • Selecione um tipo de próximo salto para onde você deseja que o tráfego seja roteado. Se você selecionar Equipamento **virtual, insira o endereço IP interno do equipamento. Para obter mais informações sobre os próximos tipos de salto, consulte Rotas personalizadas no artigo da Microsoft Roteamento de tráfego de rede virtual.

    Para adicionar mais de uma rota, clique em Adicionar rota e insira as informações solicitadas.

    • Servidores DNS: insira os endereços dos seus servidores DNS e indique o servidor preferido. Embora você possa alterar as entradas do servidor DNS posteriormente, lembre-se de que alterá-las pode causar problemas de conectividade para as máquinas em catálogos que usam essa conexão.

      Para adicionar mais de dois endereços de servidor DNS, clique em Adicionar DNS alternativo e insira as informações solicitadas.

  6. Clique em Criar conexão VPN.

Depois que a Citrix cria a conexão, ela é listada em Conexões de Rede > Gateway VPN do Azure no painel Gerenciar no Citrix DaaS para Azure. A placa de conexão contém um endereço IP público. (No diagrama, o endereço é 131.1.1.1.)

  • Use esse endereço (e a chave pré-compartilhada especificada ao criar a conexão) para configurar sua VPN e firewalls. Se você esqueceu sua chave pré-compartilhada, você pode alterá-la na página Detalhes da conexão. Você precisará da nova chave para configurar sua extremidade do gateway VPN.

    Por exemplo, permita exceções no firewall para os intervalos de endereços IP da sub-rede do VDA e do gateway que você configurou.

  • Atualize as tabelas de rotas da sua empresa com as informações de conexão do gateway VPN do Azure para garantir a conectividade de ponta a ponta.

    No diagrama, novas rotas são necessárias para o tráfego que vai de 192.168.3.0/24 para 10.11.0.0/16 e 10.12.0.9/16 (as sub-redes VDA e gateway).

  • Se você configurou rotas personalizadas, faça as atualizações apropriadas para elas também.

Quando ambas as extremidades da conexão são configuradas com êxito, a entrada da conexão em Conexões de Rede > Gateway VPN do Azure indica Pronto para uso.

Veja uma conexão de gateway VPN do Azure

  1. No painel Gerenciar no Citrix DaaS for Azure, expanda Conexões de rede à direita.

  2. Selecione a conexão que você deseja exibir.

    Monitores:

  • A guia Detalhes mostra o número de catálogos, máquinas, imagens e bastiões que usam essa conexão. Ele também contém a maioria das informações que você configurou para essa conexão.

  • A guia Rotas lista as informações de rota personalizadas para a conexão.

Gerenciar rotas personalizadas para uma conexão de gateway VPN do Azure

Em uma conexão de gateway VPN do Azure existente, você pode adicionar, modificar, desativar e excluir rotas personalizadas.

Para obter informações sobre como adicionar rotas personalizadas ao criar uma conexão, consulte Criar uma conexão de gateway VPN do Azure.

Importante:

modificar, desativar ou excluir rotas personalizadas altera o fluxo de tráfego da conexão e pode interromper as sessões ativas do usuário.

  1. No painel Gerenciar no Citrix DaaS for Azure, expanda Conexões de rede à direita.

  2. Selecione a conexão que você deseja exibir.

    • Para adicionar uma rota personalizada:

      1. Na guia Rotas da conexão, clique em Adicionar rota.

      2. Digite um nome amigável, o endereço IP de destino e o prefixo e o próximo tipo de salto que você deseja usar. Se você selecionar Virtual Appliance como o tipo de salto seguinte, digite o endereço IP interno do equipamento.

      3. Indique se você deseja ativar a rota personalizada. Por padrão, a rota personalizada está ativada.

      4. Clique em Adicionar rota.

    • Para modificar ou ativar/desativar uma rota personalizada:

      1. Na guia Rotas da conexão, localize a rota personalizada que você deseja gerenciar.

      2. No menu de reticências, selecione Editar.

      3. Altere o endereço IP e o prefixo de destino ou o tipo de próximo salto, conforme necessário.

      4. Indique se você deseja ativar a rota.

      5. Clique em Save.

    • Para excluir uma rota personalizada:

      1. Na guia Rotas da conexão, localize a rota personalizada que você deseja gerenciar.

      2. No menu de reticências, selecione Excluir.

      3. Selecione Excluir uma rota pode interromper as sessões ativas para reconhecer o impacto da exclusão da rota personalizada.

      4. Clique em Excluir rota.

Redefinir ou excluir uma conexão de gateway VPN do Azure

Importante:

  • A redefinição de uma conexão faz com que a conexão atual seja perdida e ambas as extremidades devem restabelecê-la. Uma redefinição interrompe as sessões ativas do usuário.

  • Antes de excluir uma conexão, exclua todos os catálogos que a utilizam. Consulte Delete a catalog.

Para redefinir ou excluir uma conexão:

  1. No painel Gerenciar no Citrix DaaS for Azure, expanda Conexões de rede à direita.

  2. Selecione a conexão que você deseja redefinir ou excluir.

  3. Na guia Detalhes da conexão:

    • Para redefinir a conexão, clique em Redefinir conexão.

    • Para excluir a conexão, clique em Excluir conexão.

  4. Se solicitado, confirme a ação.

Crie um endereço IP estático público

Se você quiser que todos os VDAs de máquinas em uma conexão usem um único endereço IP estático público de saída (gateway) para a Internet, habilite um gateway NAT. Você pode habilitar um gateway NAT para conexões com catálogos que ingressaram no domínio ou não ingressaram no domínio.

Para habilitar um gateway NAT para uma conexão:

  1. No painel Gerenciar > Implantação Rápida do Azure no Citrix DaaS para Azure, expanda Conexões de Rede à direita.
  2. Em Conexões de rede, selecione uma conexão em CITRIX MANAGED ou AZURE VNET PEERINGS.
  3. No cartão de detalhes da conexão, clique em Ativar gateway NAT.
  4. Na página Ativar gateway NAT, mova o controle deslizante para Sim e configure um tempo ocioso.
  5. Clique em Confirmar alterações.

Quando você ativa um gateway NAT:

  • O Azure atribui um endereço IP estático público ao gateway automaticamente. (Você não pode especificar esse endereço.) Todos os VDAs em todos os catálogos que usam essa conexão usarão esse endereço para conectividade de saída.

  • Você pode especificar um valor de tempo limite ocioso. Esse valor indica o número de minutos que uma conexão de saída aberta através do gateway NAT pode permanecer ociosa antes que a conexão seja fechada.

  • Você deve permitir o endereço IP estático público em seu firewall.

Você pode voltar para a placa de detalhes da conexão para habilitar ou desabilitar o gateway NAT e alterar o valor do tempo limite.