Configurer le réseau hybride pour Citrix Cloud et Azure
Cet article décrit les architectures pour les environnements à région unique et multi-régions Azure et Citrix Cloud. Il fournit des considérations de conception, des recommandations de conception et des composants que vous pouvez mettre en œuvre pour un déploiement réussi.
Déploiement dans une seule région
Lorsque vous déployez votre environnement Azure et Citrix Cloud dans une seule région, utilisez plusieurs abonnements. Plusieurs abonnements Azure fournissent de l’agilité pour les unités commerciales car ils centralisent les exigences de politique, d’audit et de configuration. En tant que point de départ, nous recommandons d’utiliser un abonnement dédié pour les charges de travail Citrix sur Azure.
Architecture
Téléchargez un fichier Visio de cette architecture.
Composants
Cette architecture est constituée des composants suivants :
- Serveurs Active Directory Domain Services (AD DS) et serveurs DNS personnalisés
- Groupes de sécurité réseau
- Azure Network Watcher
- Internet sortant via un chemin Réseau virtuel Azure par défaut
- Azure ExpressRoute ou Azure VPN Gateway pour la connectivité hybride avec les environnements sur site
- Points de terminaison privés Azure
- Comptes de stockage Azure Files ou Azure NetApp Files
- Azure Key Vault
- Azure Compute Gallery
Pour plus d’informations, veuillez consulter la section Comparer les options de stockage de profil.
Cette architecture inclut également les composants Citrix suivants dans la zone d’atterrissage Azure :
Le Citrix Cloud Connector établit une connexion entre Citrix Cloud et les emplacements des ressources.
Citrix Virtual Delivery Agent (VDA) est installé sur une image dorée ou un appareil cible qui héberge des applications ou des bureaux. Cet agent peut être utilisé pour se connecter, approvisionner et orchestrer des applications et des bureaux en tant que machines persistantes ou non persistantes. Le VDA est compatible avec les appareils physiques ou virtuels, y compris Windows Server, les clients Windows et les systèmes d’exploitation Linux.
Citrix Workspace est un service cloud qui offre aux utilisateurs un accès sécurisé à l’information, aux applications et à d’autres contenus. Citrix Workspace intègre les ressources Azure et sur site afin que les utilisateurs aient un point d’accès unique à toutes leurs ressources depuis n’importe quel endroit et sur n’importe quel appareil.
Composants Citrix facultatifs
Les composants Citrix suivants dans la zone d’atterrissage Azure sont facultatifs. Tenez compte de ces composants si vous avez besoin de fonctionnalités avancées.
Citrix Federated Authentication Service délivre dynamiquement des certificats aux utilisateurs afin qu’ils puissent se connecter à un environnement Active Directory Windows Server. Cette méthode est similaire à l’utilisation d’une carte à puce. Citrix Federated Authentication Service permet le single sign-on lorsque vous utilisez l’authentification basée sur Security Assertion Markup Language. Vous pouvez utiliser un large éventail d’options d’authentification et de fournisseurs d’identité partenaires, tels qu’Okta et Ping.
Citrix StoreFront est un autre point d’accès utilisateur interne pour Citrix Workspace. StoreFront est autogéré et agrège sans problème les ressources à travers plusieurs environnements sur site et environnements Azure. Vous pouvez utiliser StoreFront dans un scénario de lift-and-shift pour maintenir l’accès des utilisateurs aux déploiements Citrix existants pendant que vous déplacez les charges de travail vers Azure.
Citrix Application Delivery Controller (ADC) ou NetScaler est un point d’accès utilisateur externe alternatif pour Citrix Workspace et Citrix Gateway Service. Citrix ADC est une appliance virtuelle autogérée au sein de votre locataire Azure qui fournit un proxy sécurisé pour la connectivité externe et l’authentification. Vous pouvez intégrer Citrix ADC à StoreFront ou Workspace. Utilisez Citrix ADC dans un scénario de lift-and-shift pour maintenir l’accès des utilisateurs aux déploiements Citrix existants pendant que vous déplacez les charges de travail vers Azure.
Citrix Provisioning est une solution de gestion d’image basée sur le réseau que vous pouvez déployer au sein de votre locataire Azure pour permettre un déploiement évolutif de milliers de machines non persistantes. Citrix Provisioning diffuse des images centralisées sur un réseau virtuel Azure, ce qui permet des mises à jour rapides et minimise les besoins en stockage.
L’appliance Citrix App Layering est le composant central pour la technologie App Layering qui héberge la console de gestion. Vous pouvez utiliser App Layering pour créer et gérer des couches, des affectations de couches et des modèles d’image. Vous pouvez également aider à gérer des instances de système d’exploitation uniques et des instances d’applications et composer des images à partir de couches, ce qui réduit l’effort dans les environnements ayant plusieurs images dorées.
Considérations relatives à la conception Citrix
Considérez les conseils sur le système, la charge de travail, l’utilisateur et le réseau pour les technologies Citrix. Ces conseils sont alignés avec les principes de conception du Cloud Adoption Framework.
La solution Citrix sur Azure nécessite un certain débit pour chaque utilisateur, différents protocoles et ports, ainsi que d’autres considérations relatives au réseau. Vous devez dimensionner correctement tous les appliances réseau, tels que Citrix ADC et les pare-feux, pour gérer les augmentations de charge lors des scénarios de récupération d’urgence. Pour plus d’informations, veuillez consulter la section Considérations spécifiques à Azure.
Segmentation réseau
Considérez également les conseils Citrix pour la segmentation du réseau Azure et les sous-réseaux logiquement segmentés. Utilisez les directives suivantes pour vous aider à planifier votre réseau initial.
Segmenter par type de charge de travail
Créez des réseaux virtuels ou des sous-réseaux distincts pour les sessions uniques et les sessions multiples afin de permettre la croissance de chaque type de réseau sans affecter l’évolutivité de l’autre type de réseau.
Par exemple, si vous remplissez un sous-réseau multisession partagé et à session unique avec une infrastructure VDI (Virtual Desktop Infrastructure), vous devrez peut-être créer une unité d’hébergement pour prendre en charge les applications. Une nouvelle unité d’hébergement nécessite que vous créiez plusieurs catalogues de machines pour prendre en charge l’évolutivité des applications ou que vous migriez les catalogues d’applications existants vers un nouveau sous-réseau.
Si vous utilisez des abonnements de charge de travail dans une architecture multi-abonnement, comprenez les limites de Citrix Machine Creation Services (MCS) pour le nombre de machines virtuelles par abonnement Azure. Considérez ces limites lors de la conception de votre réseau virtuel et lorsque vous planifiez l’adressage IP.
Segmenter par locataire, unité commerciale ou zone de sécurité
Si vous exécutez un déploiement multi-locataires, tel qu’une architecture de fournisseur de services Citrix, nous recommandons d’isoler les locataires entre les réseaux ou sous-réseaux. Si vos normes de sécurité existantes nécessitent des exigences spécifiques d’isolation au niveau du réseau, considérez l’isolation des différentes unités commerciales ou zones de sécurité au sein de votre organisation.
Si vous segmentez les unités commerciales au-delà des réseaux spécifiques aux charges de travail, la complexité de l’environnement global augmente. Déterminez si cette méthode vaut la peine d’augmenter la complexité. Utilisez cette méthode comme exception plutôt que comme règle, et appliquez-la avec la bonne justification et l’échelle projetée. Par exemple, vous pourriez créer un réseau pour 1 000 contractants qui supportent la finance afin de répondre aux besoins de sécurité au-delà du réseau VDI à session unique standard.
Vous pouvez utiliser des groupes de sécurité d’application pour permettre uniquement à des machines virtuelles spécifiques d’accéder aux back-ends d’applications des unités commerciales sur un réseau virtuel partagé. Par exemple, vous pourriez limiter l’accès back-end de la gestion de la relation client (CRM) aux machines virtuelles du catalogue de machines CRM que l’équipe marketing utilise dans le réseau VDA à sessions multiples.
Déploiement multi-régions
Lorsque vous déployez votre charge de travail dans plusieurs régions, vous devez déployer des hubs, des spokes de ressources partagées et des spokes VDA dans chaque région. Sélectionnez soigneusement un modèle d’abonnement et un modèle de réseau. Déterminez vos modèles en fonction de la croissance de votre empreinte Azure à l’intérieur et à l’extérieur du déploiement Citrix.
Vous pourriez avoir un petit déploiement Citrix et un grand nombre d’autres ressources qui lisent et écrivent abondamment contre l’API Azure, ce qui peut affecter négativement l’environnement Citrix. Alternativement, vous pourriez avoir plusieurs ressources Citrix qui consomment un nombre excessif d’appels d’API disponibles, ce qui réduit la disponibilité pour d’autres ressources au sein de l’abonnement.
Pour les déploiements à grande échelle, isolez les charges de travail afin de pouvoir étendre efficacement les déploiements et éviter un effet négatif sur l’environnement Citrix du client. Le diagramme architectural suivant montre une seule région dans un environnement multi-régions Azure et Citrix Cloud.
Architecture
Téléchargez un fichier Visio de cette architecture.
Recommandations relatives à la conception Citrix
Considérez les recommandations suivantes pour vos déploiements à grande échelle.
Appairez des réseaux virtuels avec des spokes VDA
Pour les déploiements à grande échelle, créez des spokes de services partagés et de gestion dédiés, et apparez-les directement avec vos spokes VDA. Cette configuration minimise la latence et empêche d’atteindre les limites de réseau dans vos réseaux hub. Les points suivants illustrent cette approche, et ils correspondent au diagramme précédent.
(A) Configuration du réseau virtuel hub : Utilisez le réseau virtuel hub comme point central pour les pare-feux et la connectivité pour les réseaux intersites et les réseaux externes.
(B) Appairage de spoke de ressources partagées : Assurez-vous d’appairer votre réseau virtuel hub avec le spoke de ressources partagées pour fournir aux Citrix Cloud Connectors une connectivité sortante sur le port 443.
(C) Réseaux virtuels de spoke de ressources partagées : Hébergez tous les composants Citrix requis et optionnels, ainsi que les services partagés, tels que les comptes de stockage de profil et les galeries de calcul Azure, dans les réseaux virtuels de spoke de ressources partagées. Pour minimiser la latence et améliorer les performances, appairez directement ces réseaux avec les spokes VDA.
(D) Configuration des spokes de charge de travail VDA : Hébergez uniquement les VDA dans les spokes de charge de travail VDA. Routez tout le trafic réseau des machines virtuelles et des services. Par exemple, vous pouvez router le trafic de profil directement vers un spoke de ressources partagées si le spoke de ressources se trouve dans une région de datacenter spécifique. Routez tout le trafic réseau qui quitte la région du datacenter, comme le trafic sortant vers Internet, hybride ou inter-régions, vers le réseau virtuel hub.
(E) Répliques de version de Compute Gallery : Spécifiez le nombre de répliques que vous souhaitez conserver dans la Compute Gallery. Dans les scénarios de déploiement multi-machines virtuelles, distribuez les déploiements de machines virtuelles sur différentes répliques. Utilisez cette approche afin que lorsque vous créez une instance, la limitation ne se produise pas en raison de la surcharge d’une seule réplique.
Comprendre les limitations des ressources
Lorsque vous concevez un déploiement pour un service de base de données Citrix géré à grande échelle sur Azure, comprenez les limitations de Citrix et les limitations d’Azure. Ces limitations affectent la conception, la configuration et la gestion des environnements Citrix et Azure. Elles affectent également les performances, l’évolutivité et la disponibilité des bureaux virtuels et des applications. Les limites sont dynamiques, alors vérifiez fréquemment les mises à jour. Si les limites actuelles ne répondent pas à vos besoins, contactez rapidement vos représentants Microsoft et Citrix.
Contributeurs
Cet article est géré par Microsoft. Il a été écrit à l’origine par les contributeurs suivants.
Principaux auteurs :
- Ben Martin Baur | Spécialiste technique principal des points de terminaison cloud
- Jen Sheerin | Ingénieure cliente principale
- Ravi Varma Addala | Architecte principal de solutions cloud, Infrastructure Azure Core
Pour afficher les profils LinkedIn non publics, connectez-vous à LinkedIn.
Étapes suivantes
Pour en savoir plus sur les bonnes pratiques en matière de réseau Azure et sur la planification des réseaux virtuels en fonction des exigences d’isolation, de connectivité et d’emplacement, consultez Planifier des réseaux virtuels.
Examinez les considérations et recommandations de conception critiques pour la gestion et la surveillance qui sont spécifiques au déploiement de Citrix sur Azure.