Partager via

Réseau hybride avec Citrix Cloud et Azure

  • Article

Cet article décrit une architecture de référence qui illustre les principaux domaines de conception et les bonnes pratiques de conception pour un environnement Azure et Citrix Cloud avec plusieurs abonnements.

Architecture

Le diagramme architectural suivant montre un environnement Cloud Azure et Citrix avec plusieurs abonnements.

Diagramme d’une architecture de référence qui illustre les principaux domaines de conception et les bonnes pratiques de conception dans un environnement Azure et Citrix Cloud avec plusieurs abonnements.

Téléchargez le fichier Visio.

Composants

Vous pouvez implémenter cette architecture avec les composants suivants :

  • Serveurs AD DS (Active Directory Domain Services) et serveurs DNS (Domain Name System) personnalisés
  • Groupes de sécurité réseau
  • Azure Network Watcher
  • Internet sortant via un chemin Réseau virtuel Azure par défaut
  • Azure ExpressRoute ou Passerelle VPN Azure pour la connectivité hybride à l’environnement local
  • Points de terminaison privés Azure
  • Azure Files comptes de stockage ou Azure NetApp Files Options de stockage Comparer les profils
  • Azure Key Vault

Ce scénario inclut également les composants Citrix suivants dans la zone d’atterrissage Azure :

  • Citrix Cloud Connector établit une connexion entre Citrix Cloud et vos emplacements de ressources.
  • Citrix Virtual Delivery Agent (VDA) s’installe sur une image principale ou un appareil cible qui héberge vos applications ou bureaux. Cet agent permet la connectivité, le provisionnement et l’orchestration de ces ressources en tant que machines persistantes ou non persistantes. Le VDA est compatible avec les appareils physiques ou virtuels et Windows Server, les clients Windows ou le système d’exploitation Linux.
  • Citrix Workspace est un service cloud qui fournit un accès sécurisé aux informations, aux applications et à d’autres contenus pertinents pour les rôles d’utilisateur final. Citrix Workspace intègre des ressources Azure et locales, ce qui permet un accès unifié à toutes les ressources de vos utilisateurs dans un emplacement unique, où que vous soyez, sur n’importe quel appareil.

Composants Citrix facultatifs

Les composants Citrix suivants dans la zone d’atterrissage Azure sont facultatifs. Tenez compte de ces composants si vous avez besoin de fonctionnalités avancées.

  • Le service d’authentification fédérée Citrix émet dynamiquement des certificats pour les utilisateurs, ce qui leur permet de se connecter à un environnement Active Directory comme s’ils disposaient d’une carte à puce. Ce service active l’authentification unique lors de l’utilisation de l’authentification basée sur SAML (Security Assertion Markup Language). Vous pouvez utiliser un large éventail d’options d’authentification et de fournisseurs d’identité tiers, tels qu’Okta et Ping.
  • Citrix StoreFront est un autre point d’accès utilisateur interne pour Citrix Workspace. StoreFront est autogéré et agrège en toute transparence les ressources dans plusieurs environnements locaux et Azure. Les scénarios lift-and-shift utilisent souvent StoreFront pour maintenir l’accès utilisateur aux déploiements Citrix existants tout en déplaçant des charges de travail vers Azure.
  • Citrix ADC (NetScaler) est un autre point d’accès utilisateur externe pour Citrix Workspace et Gateway Service. Citrix ADC est une appliance virtuelle autogérée au sein de votre locataire Azure qui fournit un proxy sécurisé pour la connectivité externe et l’authentification. Vous pouvez intégrer Citrix ADC à StoreFront ou Workspace. Les scénarios lift-and-shift utilisent souvent Citrix ADC pour maintenir l’accès utilisateur aux déploiements Citrix existants tout en déplaçant des charges de travail vers Azure.
  • Citrix Provisioning est une solution de gestion d’images basée sur le réseau que vous pouvez déployer dans votre locataire Azure pour permettre un déploiement scalable de milliers de machines non persistantes. Citrix Provisioning prend en charge les mises à jour rapides et des besoins de stockage réduits grâce à la diffusion en streaming d’images centralisées sur un réseau virtuel Azure.
  • L’appliance Citrix App Layering est le composant central de la technologie App Layering qui héberge la console de gestion et autorise la création et la gestion de couches, d’affectations de couches et de modèles d’image. App Layering permet de gérer des instances de système d’exploitation et d’application uniques, et de composer des images à partir de couches, ce qui réduit considérablement les efforts dans les environnements avec de nombreuses images de référence.

Considérations relatives à la conception Citrix

Les conseils de conception pour Citrix DaaS sur Microsoft Azure sont disponibles sur Conseils de conception pour Citrix DaaS sur Microsoft Azure. Ces conseils mettent en évidence les considérations relatives au système, aux charges de travail, aux utilisateurs et au réseau pour les technologies Citrix, conformément aux principes de conception du Cloud Adoption Framework.

La solution Citrix sur Azure nécessite un certain débit pour chaque utilisateur, différents protocoles et ports, ainsi que d’autres considérations relatives au réseau. Toutes les appliances réseau, telles que Citrix ADC et les pare-feu, doivent être dimensionnées de manière appropriée pour gérer les augmentations de charge pendant les scénarios de reprise d’activité. Pour plus d’informations, consultez Décision de conception : considérations spécifiques à Azure.

Segmentation du réseau

Citrix fournit également des conseils pour la segmentation du réseau Azure et les sous-réseaux segmentés logiquement. Lorsque vous passez en revue les conseils sur la segmentation du réseau pour les charges de travail Citrix, suivez les instructions suivantes afin de faciliter la planification initiale :

Segmenter par type de charge de travail

Créez des réseaux ou sous-réseaux virtuels à session unique et multisession distincts pour permettre la croissance de chaque type de réseau sans affecter la scalabilité de l’autre type.

Par exemple, si vous remplissez un sous-réseau multisession partagé et à session unique avec une infrastructure VDI (Virtual Desktop Infrastructure), vous devrez peut-être créer une unité d’hébergement pour prendre en charge les applications. Une nouvelle unité d’hébergement nécessite soit la création de plusieurs catalogues de machines pour prendre en charge la mise à l’échelle des applications, soit la migration des catalogues d’applications existants vers un nouveau sous-réseau.

Si vous utilisez des abonnements de charge de travail dans le cadre d’une architecture à plusieurs abonnements, vous devez comprendre les limites de Citrix Machine Creation Service (MCS) relatives au nombre de machines virtuelles par abonnement Azure. Tenez compte de ces limites lors de la conception de votre réseau virtuel et de la planification de l’adressage IP.

Segmenter par locataire, unité commerciale ou zone de sécurité

Si vous exécutez un déploiement multilocataire, tel qu’une architecture Citrix Service Provider, il est préférable d’isoler les locataires entre les réseaux ou les sous-réseaux. Si vos normes de sécurité existantes nécessitent des exigences d’isolation spécifiques au niveau du réseau, envisagez d’isoler des unités commerciales ou des zones de sécurité distinctes au sein de votre organisation.

Évaluez la segmentation des unités commerciales au-delà des réseaux propres à la charge de travail par rapport à l’effet d’une complexité accrue sur l’environnement global. Cette méthodologie doit être l’exception plutôt que la règle, et doit être appliquée avec une justification et une échelle projetée adéquates. Par exemple, vous pouvez créer un réseau pour 1000 sous-traitants prenant en charge le service Finances afin de répondre aux besoins de sécurité au-delà du réseau VDI à session unique standard.

Vous pouvez utiliser des groupes de sécurité d’application afin d’autoriser uniquement des machines virtuelles spécifiques à accéder aux back-ends d’applications d’unité commerciale sur un réseau virtuel partagé. Par exemple, vous pouvez limiter l’accès au back-end de Gestion des relations avec la clientèle (CRM) aux machines virtuelles du catalogue de machines CRM que utilisé par le service Marketing dans le réseau VDA multisession.

Étapes suivantes

Pour en savoir plus sur les bonnes pratiques en matière de réseau Azure et sur la planification des réseaux virtuels en fonction des exigences d’isolation, de connectivité et d’emplacement, consultez Planifier des réseaux virtuels.

Passez en revue les considérations et recommandations de conception critiques pour la gestion et le monitoring propres au déploiement de Citrix sur Azure.