Environnements de cloud AWS
Cet article vous guide au travers de la configuration de votre compte Amazon Web Services (AWS) en tant qu’emplacement de ressources que vous pouvez utiliser avec Citrix Virtual Apps and Desktops. L’emplacement de ressources inclut un jeu de composants standard, idéal pour les déploiements de preuve de concept ou d’autres déploiements qui ne requièrent pas de ressources réparties sur plusieurs zones de disponibilité. Après avoir terminé ces tâches, vous pouvez installer des VDA, provisionner des machines, créer des catalogues de machines et créer des groupes de mise à disposition.
Une fois les tâches décrites dans cet article terminées, votre emplacement de ressources comprend les composants suivants :
- Un cloud privé virtuel (VPC) avec des sous-réseaux publics et privés à l’intérieur d’une seule zone de disponibilité.
- Une instance qui s’exécute en tant que contrôleur de domaine Active Directory et serveur DNS, située dans le sous-réseau privé du VPC.
- Une instance qui agit en tant qu’hôte bastion dans le sous-réseau public de votre VPC. Cette instance est utilisée pour initier des connexions RDP aux instances dans le sous-réseau privé à des fins d’administration. Après avoir terminé la configuration de votre emplacement de ressources, vous pouvez arrêter cette instance de façon à ce qu’elle ne soit plus accessible. Lorsque vous avez besoin de gérer d’autres instances dans le sous-réseau privé, telles que des instances de VDA, vous pouvez redémarrer l’instance de l’hôte Bastion.
Vue d’ensemble des tâches
Définir un cloud privé virtuel (VPC) avec des sous-réseaux publics et privés. Une fois cette tâche terminée, AWS déploie une passerelle NAT avec une adresse IP élastique dans le sous-réseau public. Cette action permet aux instances du sous-réseau privé d’accéder à Internet. Les instances du sous-réseau public sont accessibles au trafic public entrant ce qui n’est pas le cas des instances du sous-réseau privé.
Configurer des groupes de sécurité. Les groupes de sécurité agissent en tant que pare-feu virtuels qui contrôlent le trafic pour les instances dans votre VPC. Vous devez ajouter des règles à vos groupes de sécurité permettant aux instances de votre sous-réseau public de communiquer avec les instances de votre sous-réseau privé. Vous pouvez également associer ces groupes de sécurité à chaque instance dans votre VPC.
Créer une série d’options DHCP. Avec un VPC Amazon, les services DHCP et DNS sont fournis par défaut, ce qui affecte la configuration du DNS sur votre contrôleur de domaine Active Directory. Le DHCP d’Amazon ne peut pas être désactivé et le DNS d’Amazon peut être utilisé uniquement pour la résolution de DNS public, et non pour la résolution de nom Active Directory. Pour spécifier le domaine et nommer les serveurs qui doivent être transmis aux instances via DHCP, créez une série d’options DHCP. Cette série attribue le suffixe de domaine Active Directory et spécifie le serveur DNS pour toutes les instances dans votre VPC. Pour vous assurer que les enregistrements hôte (A) et recherche inversée (PTR) sont enregistrés automatiquement lorsque des instances rejoignent le domaine, vous configurez les propriétés de la carte réseau pour chaque instance que vous ajoutez au sous-réseau privé.
Ajoutez un hôte bastion et un contrôleur de domaine au VPC. Vous pouvez vous connecter via l’hôte bastion à des instances du sous-réseau privé pour configurer le domaine et joindre des instances au domaine.
Tâche 1 : Configurer le VPC
- Dans la console de gestion AWS, sélectionnez VPC.
- Dans le tableau de bord VPC, sélectionnez Create VPC.
- Sélectionnez VPC and more.
- Sous NAT gateways ($), sélectionnez In 1 AZ ou 1 per AZ.
- Sous DNS options, laissez l’option Enable DNS hostnames sélectionnée.
- Sélectionnez Create VPC. AWS crée les sous-réseaux publics et privés, une passerelle Internet, des tables de routage et un groupe de sécurité par défaut.
Tâche 2 : Configurer des groupes de sécurité
Cette tâche crée et configure les groupes de sécurité suivants pour votre VPC :
- Un groupe de sécurité public à associer aux instances de votre sous-réseau public.
- Un groupe de sécurité privé à associer aux instances de votre sous-réseau privé.
Pour créer des groupes de sécurité, procédez comme suit :
- Dans le tableau de bord VPC, sélectionnez Groupes de sécurité.
- Créez un groupe de sécurité pour le groupe de sécurité public. Sélectionnez Create Security Group et entrez une étiquette de nom et une description pour le groupe. Dans le menu VPC, sélectionnez le VPC que vous avez créé précédemment. Sélectionnez Oui, créer.
Configurer le groupe de sécurité public
-
Depuis la liste de groupes de sécurité, sélectionnez le groupe de sécurité public.
-
Sélectionnez l’onglet Inbound Rules et sélectionnez Edit pour créer les règles suivantes :
Type Source ALL Traffic Sélectionnez le groupe de sécurité privé. ALL Traffic Sélectionnez le groupe de sécurité public. ICMP 0.0.0.0/0 22 (SSH) 0.0.0.0/0 80 (HTTP) 0.0.0.0/0 443 (HTTPS) 0.0.0.0/0 1494 (ICA/HDX) 0.0.0.0/0 2598 (Session Reliability) 0.0.0.0/0 3389 (RDP) 0.0.0.0/0 -
Lorsque vous avez terminé, sélectionnez Enregistrer.
-
Sélectionnez l’onglet Outbound Rules et sélectionnez Edit pour créer les règles suivantes :
Type Destination ALL Traffic Sélectionnez le groupe de sécurité privé. ALL Traffic 0.0.0.0/0 ICMP 0.0.0.0/0 -
Lorsque vous avez terminé, sélectionnez Enregistrer.
Configurer le groupe de sécurité privé
-
Depuis la liste de groupes de sécurité, sélectionnez le groupe de sécurité privé.
-
Si vous n’avez pas configuré le trafic provenant du groupe de sécurité publique, vous devez définir des ports TCP. Sélectionnez l’onglet Inbound Rules, puis Edit pour créer les règles suivantes :
Type Source ALL Traffic Sélectionnez le groupe de sécurité privé. ALL Traffic Sélectionnez le groupe de sécurité public. ICMP Sélectionnez le groupe de sécurité public. TCP 53 (DNS) Sélectionnez le groupe de sécurité public. UDP 53 (DNS) Sélectionnez le groupe de sécurité public. 80 (HTTP) Sélectionnez le groupe de sécurité public. TCP 135 Sélectionnez le groupe de sécurité public. TCP 389 Sélectionnez le groupe de sécurité public. UDP 389 Sélectionnez le groupe de sécurité public. 443 (HTTPS) Sélectionnez le groupe de sécurité public. TCP 1494 (ICA/HDX) Sélectionnez le groupe de sécurité public. TCP 2598 (Session Reliability) Sélectionnez le groupe de sécurité public. 3389 (RDP) Sélectionnez le groupe de sécurité public. TCP 49152–65535 Sélectionnez le groupe de sécurité public. -
Lorsque vous avez terminé, sélectionnez Enregistrer.
-
Sélectionnez l’onglet Outbound Rules et sélectionnez Edit pour créer les règles suivantes :
Type Destination ALL Traffic Sélectionnez le groupe de sécurité privé. ALL Traffic 0.0.0.0/0 ICMP 0.0.0.0/0 UDP 53 (DNS) 0.0.0.0/0 -
Lorsque vous avez terminé, sélectionnez Enregistrer.
Tâche 3 : Lancer des instances
Les étapes suivantes permettent de créer quatre instances EC2 et de décrypter le mot de passe administrateur par défaut généré par Amazon :
- Dans la console de gestion AWS, sélectionnez EC2.
- Dans le tableau de bord EC2, sélectionnez Launch Instance.
- Sélectionnez une image de machine Windows Server et un type d’instance.
- Sur la page Configure Instance Details, entrez un nom pour l’instance et sélectionnez le VPC configuré précédemment.
-
Dans Subnet, effectuez les sélections suivantes pour chaque instance :
- Bastion host : sélectionner le sous-réseau public
- Domain Controller : sélectionnez le sous-réseau privé
-
Dans Auto-assign Public IP address, effectuez les sélections suivantes pour chaque instance :
- Bastion host : sélectionnez Enable.
- Domain controller : sélectionnez Use default setting ou Disable.
- Dans Network Interfaces, entrez une adresse IP principale comprise dans la plage d’adresses IP de votre sous-réseau privé pour le contrôleur de domaine.
- Sur la page Add Storage, modifiez la taille du disque, si nécessaire.
- Sur la page Tag Instance, entrez un nom convivial pour chaque instance.
-
Sur la page Configure Security Groups, sélectionnez Select an existing security group, puis effectuez les sélections suivantes pour chaque instance :
- Bastion host : sélectionnez le groupe de sécurité public.
- Contrôleur de domaine : sélectionnez le groupe de sécurité privé.
- Passez en revue vos sélections, puis sélectionnez Launch.
- Créez une nouvelle paire de clés ou sélectionnez-en une existante. Si vous créez une paire de clés, téléchargez le fichier de clé privée (.pem) et conservez-le dans un endroit sûr. Vous devez fournir votre clé privée pour obtenir le mot de passe administrateur par défaut de l’instance.
- Sélectionnez Launch Instances. Sélectionnez View Instances pour afficher la liste de vos instances. Attendez que l’instance nouvellement lancée ait passé toutes les vérifications avant d’y accéder.
-
Obtenez le mot de passe administrateur par défaut pour chaque instance :
- Dans la liste des instances, sélectionnez l’instance et sélectionnez Connect.
- Accédez à l’onglet RDP client, sélectionnez Get password et chargez le fichier de clé privée (
.pem
) lorsque vous y êtes invité. - Sélectionnez Decrypt password pour obtenir le mot de passe lisible par l’homme. AWS affiche le mot de passe par défaut.
-
Répétez la procédure depuis l’étape 2 jusqu’à ce que vous ayez créé quatre instances :
- Une instance d’hôte bastion dans le sous-réseau public
- Une instance de votre sous-réseau privé destinée à servir de contrôleur de domaine.
Tâche 4 : Créer une série d’options DHCP
-
Dans le tableau de bord VPC, sélectionnez DHCP Options Sets.
-
Entrez les informations suivantes :
- Name tag : entrez un nom convivial pour la série.
- Domain name : entrez le nom de domaine complet utilisé lors de la configuration de l’instance du contrôleur de domaine.
- Domain name servers : entrez l’adresse IP privée attribuée à l’instance du contrôleur de domaine et la chaîne AmazonProvidedDNS, en les séparant par des virgules.
- NTP servers : laissez ce champ vide.
- NetBIOS name servers : entrez l’adresse IP privée de l’instance du contrôleur de domaine.
- NetBIOS node type : entrez 2.
-
Sélectionnez Oui, créer.
-
Associez la nouvelle série à votre VPC :
- Dans le tableau de bord VPC, sélectionnez Your VPCs et sélectionnez le VPC configuré précédemment.
- Sélectionnez Actions > Edit DHCP Options Set.
- Lorsque vous y êtes invité, sélectionnez la nouvelle série que vous avez créée et sélectionnez Save.
Tâche 5 : Configurer les instances
-
À l’aide d’un client RDP, connectez-vous à l’adresse IP publique de l’instance de l’hôte Bastion. Lorsque vous y êtes invité, entrez les informations d’identification du compte d’administrateur.
-
À partir de l’instance de l’hôte bastion, lancez Remote Desktop Connection et connectez-vous à l’adresse IP privée de l’instance que vous souhaitez configurer. Lorsque vous y êtes invité, entrez les informations d’identification d’administrateur de l’instance.
-
Pour toutes les instances du sous-réseau privé, configurez les paramètres DNS :
- Sélectionnez Démarrer > Panneau de configuration > Réseau et Internet > Centre Réseau et partage > Modifier les paramètres de la carte. Cliquez deux fois sur la connexion réseau affichée.
- Sélectionnez Propriétés > Protocole Internet version 4 (TCP/IPv4) > Propriétés.
-
Sélectionnez Avancé > DNS. Assurez-vous que les paramètres suivants sont activés et sélectionnez OK :
- Enregistrer les adresses de cette connexion dans DNS
- Utiliser le suffixe DNS de cette connexion pour l’enregistrement DNS
-
Configurez le contrôleur de domaine comme suit :
- À l’aide du Gestionnaire de serveur, ajoutez le rôle Services de domaine Active Directory avec toutes les fonctionnalités par défaut.
- Promouvez l’instance en contrôleur de domaine. Lors de la promotion, activez le DNS et utilisez le nom de domaine que vous avez spécifié lors de la création de la série d’options DHCP. Redémarrez l’instance lorsque vous y êtes invité.
Autres ressources
- Installer les composants principaux
- Installer des VDA
- Créer un site
- Pour créer et gérer une connexion dans AWS, consultez Connexion à AWS.