Présentation technique
Citrix Virtual Apps and Desktops™ sont des solutions de virtualisation qui permettent au service informatique de contrôler les machines virtuelles, les applications, les licences et la sécurité, tout en offrant un accès universel pour tout appareil.
Citrix Virtual Apps™ et Desktops permettent :
- Aux utilisateurs finaux d’exécuter des applications et des bureaux indépendamment du système d’exploitation et de l’interface de l’appareil.
- Aux administrateurs de gérer le réseau et de contrôler l’accès depuis des appareils sélectionnés ou depuis tous les appareils.
- Aux administrateurs de gérer un réseau entier à partir d’un seul centre de données.
Citrix Virtual Apps et Desktops partagent une architecture unifiée appelée FlexCast Management Architecture (FMA). Les principales caractéristiques de la FMA sont la capacité d’exécuter plusieurs versions de Citrix Virtual Apps ou Citrix Virtual Desktops™ à partir d’un seul site et le provisionnement intégré.
Composants clés
Cet article est particulièrement utile si vous débutez avec Citrix Virtual Apps et Desktops.
Cette illustration présente les composants clés d’un déploiement typique, appelé site.
Delivery Controller™
Le Delivery Controller est le composant de gestion central d’un site. Chaque site possède un ou plusieurs Delivery Controllers. Il est installé sur au moins un serveur dans le centre de données. Pour la fiabilité et la disponibilité du site, installez les Controllers sur plusieurs serveurs. Si votre déploiement inclut un hyperviseur ou un autre service, les services du Controller communiquent avec celui-ci pour :
- Distribuer les applications et les bureaux
- Authentifier et gérer l’accès des utilisateurs
- Établir des connexions entre les utilisateurs et leurs bureaux et applications
- Optimiser les connexions des utilisateurs
- Équilibrer la charge des connexions
Le service Broker du Controller suit les utilisateurs connectés et leur emplacement, les ressources de session dont ils disposent et si les utilisateurs doivent se reconnecter aux applications existantes. Le service Broker exécute des cmdlets PowerShell et communique avec un agent Broker sur les VDA via le port TCP 80. Il n’a pas la possibilité d’utiliser le port TCP 443.
Le service Monitor collecte les données historiques et les place dans la base de données de surveillance. Ce service utilise le port TCP 80 ou 443.
Les données des services du Controller sont stockées dans la base de données du site.
Le Controller gère l’état des bureaux, les démarrant et les arrêtant en fonction de la demande et de la configuration administrative.
Base de données
Au moins une base de données Microsoft SQL Server est requise pour chaque site afin de stocker les informations de configuration et de session. Cette base de données stocke les données collectées et gérées par les services qui composent le Controller. Installez la base de données dans votre centre de données et assurez-vous qu’elle dispose d’une connexion persistante au Controller.
Le site utilise également une base de données de journalisation de la configuration et une base de données de surveillance. Par défaut, ces bases de données sont installées au même emplacement que la base de données du site, mais vous pouvez modifier cela.
Virtual Delivery Agent (VDA)
Le VDA est installé sur chaque machine physique ou virtuelle de votre site que vous mettez à la disposition des utilisateurs. Ces machines fournissent des applications ou des bureaux. Le VDA permet à la machine de s’enregistrer auprès du Controller, ce qui permet à la machine et aux ressources qu’elle héberge d’être mises à la disposition des utilisateurs. Les VDA établissent et gèrent la connexion entre la machine et l’appareil de l’utilisateur. Les VDA vérifient également qu’une licence Citrix® est disponible pour l’utilisateur ou la session, et appliquent les stratégies configurées pour la session.
Le VDA communique les informations de session au service Broker du Controller via l’agent Broker du VDA. L’agent Broker héberge plusieurs plug-ins et collecte des données en temps réel. Il communique avec le Controller via le port TCP 80.
Le terme « VDA » est souvent utilisé pour désigner l’agent et la machine sur laquelle il est installé.
Les VDA sont disponibles pour les systèmes d’exploitation Windows à session unique et multi-session. Les VDA pour les systèmes d’exploitation Windows multi-session permettent à plusieurs utilisateurs de se connecter au serveur simultanément. Les VDA pour les systèmes d’exploitation Windows à session unique ne permettent qu’à un seul utilisateur de se connecter au bureau à la fois. Des VDA Linux sont également disponibles.
Citrix StoreFront™
StoreFront authentifie les utilisateurs et gère les magasins de bureaux et d’applications auxquels les utilisateurs accèdent. Il peut héberger votre magasin d’applications d’entreprise, ce qui donne aux utilisateurs un accès en libre-service aux bureaux et applications que vous mettez à leur disposition. Il assure également le suivi des abonnements aux applications des utilisateurs, des noms de raccourcis et d’autres données. Cela permet de garantir que les utilisateurs bénéficient d’une expérience cohérente sur plusieurs appareils.
Application Citrix Workspace™
Installée sur les appareils des utilisateurs et d’autres points de terminaison (tels que les bureaux virtuels), l’application Citrix Workspace fournit aux utilisateurs un accès rapide, sécurisé et en libre-service aux documents, applications et bureaux. L’application Citrix Workspace offre un accès à la demande aux applications Windows, web et Software as a Service (SaaS). Pour les appareils qui ne peuvent pas installer le logiciel de l’application Citrix Workspace spécifique à l’appareil, l’application Citrix Workspace pour HTML5 fournit une connexion via un navigateur web compatible HTML5.
Studio
Web Studio est une console de gestion web qui vous permet de configurer et de gérer votre déploiement Citrix Virtual Apps et Desktops sur site. Elle est conçue pour une expérience utilisateur améliorée et répond généralement plus rapidement que Citrix Studio, la console de gestion basée sur Windows.
Pour plus d’informations, consultez Installer Web Studio.
Accès privé sécurisé
La solution Citrix Secure Private Access locale améliore la posture globale de sécurité et de conformité d’une organisation grâce à la capacité de fournir facilement un accès réseau Zero Trust aux applications basées sur un navigateur (applications web internes et applications SaaS) en utilisant StoreFront comme portail d’accès unifié aux applications web et SaaS, ainsi qu’aux applications et bureaux virtuels, en tant que partie intégrante de Citrix Workspace. La solution est compatible avec les versions existantes de NetScaler et StoreFront sans aucune modification des versions. Pour plus de détails, consultez Secure Private Access local.
Citrix Director
Director est un outil web qui permet aux équipes de support informatique et de service d’assistance de surveiller un environnement, de résoudre les problèmes avant qu’ils ne deviennent critiques pour le système et d’effectuer des tâches de support pour les utilisateurs finaux. Vous pouvez utiliser un seul déploiement Director pour vous connecter et surveiller plusieurs sites Citrix Virtual Apps ou Citrix Virtual Desktops.
Director affiche :
-
Les données de session en temps réel du service Broker dans le Controller, qui incluent les données que le service Broker obtient de l’agent Broker dans le VDA.
-
Les données historiques du site provenant du service Monitor dans le Controller.
Director utilise les données de performance et heuristiques ICA® capturées par l’appliance Citrix Gateway pour créer des analyses à partir des données et les présenter ensuite aux administrateurs.
Vous pouvez également afficher et interagir avec les sessions d’un utilisateur via Director, en utilisant l’Assistance à distance Windows.
Serveur de licences Citrix
Le serveur de licences gère vos licences de produits Citrix. Il communique avec le Controller pour gérer les licences de chaque session utilisateur et avec Studio pour allouer les fichiers de licence. Un site doit disposer d’au moins un serveur de licences pour stocker et gérer vos fichiers de licence.
Hyperviseur ou autre service
L’hyperviseur ou autre service héberge les machines virtuelles de votre site. Il peut s’agir des machines virtuelles que vous utilisez pour héberger des applications et des bureaux, et des machines virtuelles que vous utilisez pour héberger les composants Citrix Virtual Apps and Desktops. Un hyperviseur est installé sur un ordinateur hôte entièrement dédié à l’exécution de l’hyperviseur et à l’hébergement de machines virtuelles.
Citrix Virtual Apps and Desktops prend en charge divers hyperviseurs et autres services.
Bien que de nombreux déploiements nécessitent un hyperviseur, vous n’en avez pas besoin pour fournir l’accès PC à distance. Un hyperviseur n’est pas non plus requis lorsque vous utilisez Provisioning Services (PVS) pour provisionner des machines virtuelles.
Composants supplémentaires
Les composants suivants peuvent également être inclus dans les déploiements Citrix Virtual Apps and Desktops. Pour plus d’informations, consultez leur documentation.
Citrix Provisioning™
Citrix Provisioning (anciennement Provisioning Services) est un composant facultatif disponible avec certaines éditions. Il offre une alternative à MCS pour le provisionnement de machines virtuelles. Alors que MCS crée des copies d’une image principale, PVS diffuse l’image principale vers les appareils des utilisateurs. PVS ne nécessite pas d’hyperviseur pour ce faire, vous pouvez donc l’utiliser pour héberger des machines physiques. PVS communique avec le Controller pour fournir des ressources aux utilisateurs.
Citrix Gateway
Lorsque les utilisateurs se connectent depuis l’extérieur du pare-feu de l’entreprise, Citrix Virtual Apps and Desktops peut utiliser la technologie Citrix Gateway (anciennement Access Gateway et NetScaler® Gateway) pour sécuriser ces connexions avec TLS. L’appliance virtuelle Citrix Gateway ou VPX est une appliance VPN SSL déployée dans la zone démilitarisée (DMZ). Elle fournit un point d’accès sécurisé unique à travers le pare-feu de l’entreprise.
Citrix SD-WAN™
Dans les déploiements où les bureaux virtuels sont fournis aux utilisateurs dans des emplacements distants tels que des succursales, la technologie Citrix SD-WAN peut être utilisée pour optimiser les performances. Les répéteurs accélèrent les performances sur les WAN. Avec des répéteurs dans le réseau, les utilisateurs de la succursale bénéficient de performances similaires à celles d’un réseau local sur le WAN. Citrix SD-WAN peut prioriser différentes parties de l’expérience utilisateur afin que, par exemple, l’expérience utilisateur ne se dégrade pas dans la succursale lorsqu’un fichier volumineux ou une tâche d’impression est envoyé sur le réseau. L’optimisation WAN HDX™ offre une compression tokenisée et une déduplication des données, réduisant considérablement les besoins en bande passante et améliorant les performances.
Fonctionnement des déploiements typiques
Un site est composé de machines avec des rôles dédiés qui permettent l’évolutivité, la haute disponibilité et le basculement, et fournissent une solution sécurisée par conception. Un site se compose de serveurs et de machines de bureau sur lesquels le VDA est installé, et du Delivery Controller, qui gère l’accès.
Le VDA permet aux utilisateurs de se connecter aux bureaux et aux applications. Il est installé sur des machines virtuelles dans le centre de données pour la plupart des méthodes de livraison, mais il peut également être installé sur des PC physiques pour l’accès PC à distance.
Le Controller est composé de services Windows indépendants qui gèrent les ressources, les applications et les bureaux, et optimisent et équilibrent les connexions utilisateur. Chaque site dispose d’un ou plusieurs Controllers. Étant donné que les sessions sont affectées par la latence, la bande passante et la fiabilité du réseau, placez tous les Controllers sur le même réseau local, si possible.
Les utilisateurs n’accèdent jamais directement au Controller. Le VDA sert d’intermédiaire entre les utilisateurs et le Controller. Lorsque les utilisateurs se connectent via StoreFront, leurs informations d’identification sont transmises au service Broker sur le Controller. Le service Broker obtient ensuite les profils et les ressources disponibles en fonction des stratégies définies pour eux.
Comment les connexions utilisateur sont gérées
Pour démarrer une session, l’utilisateur se connecte soit via l’application Citrix Workspace installée sur son appareil, soit via un site web StoreFront.
L’utilisateur sélectionne le bureau physique ou virtuel ou l’application virtuelle nécessaire.
Les informations d’identification de l’utilisateur transitent par ce chemin pour accéder au Controller, qui détermine les ressources nécessaires en communiquant avec un service Broker. Citrix recommande aux administrateurs de placer un certificat SSL sur StoreFront pour chiffrer les informations d’identification provenant de l’application Citrix Workspace.
Le service Broker détermine les bureaux et les applications auxquels l’utilisateur est autorisé à accéder.
Une fois les informations d’identification vérifiées, les informations sur les applications ou les bureaux disponibles sont renvoyées à l’utilisateur via le chemin d’accès StoreFront-Citrix Workspace app. Lorsque l’utilisateur sélectionne des applications ou des bureaux dans cette liste, ces informations sont renvoyées au Controller. Le Controller détermine ensuite le VDA approprié pour héberger les applications ou le bureau spécifiques.
Le Controller envoie un message au VDA avec les informations d’identification de l’utilisateur, puis envoie toutes les données concernant l’utilisateur et la connexion au VDA. Le VDA accepte la connexion et renvoie les informations via les mêmes chemins d’accès à l’application Citrix Workspace. Un ensemble de paramètres requis est collecté sur StoreFront. Ces paramètres sont ensuite envoyés à l’application Citrix Workspace, soit dans le cadre de la conversation de protocole Citrix-Workspace-app-StoreFront, soit convertis en fichier ICA (Independent Computing Architecture) et téléchargés. Tant que le site a été correctement configuré, les informations d’identification restent chiffrées tout au long de ce processus.
Le fichier ICA est copié sur l’appareil de l’utilisateur et établit une connexion directe entre l’appareil et la pile ICA exécutée sur le VDA. Cette connexion contourne l’infrastructure de gestion (application Citrix Workspace, StoreFront et Controller).
La connexion entre l’application Citrix Workspace et le VDA utilise le protocole Citrix Gateway (CGP). Si une connexion est perdue, la fonctionnalité Fiabilité de session permet à l’utilisateur de se reconnecter au VDA plutôt que de devoir relancer la connexion via l’infrastructure de gestion. La fiabilité de session peut être activée ou désactivée dans les stratégies Citrix.
Une fois que le client se connecte au VDA, le VDA informe le Controller que l’utilisateur est connecté. Le Controller envoie ensuite ces informations à la base de données du site et commence à enregistrer les données dans la base de données de surveillance.
Fonctionnement de l’accès aux données
Chaque session Citrix Virtual Apps and Desktops produit des données auxquelles le service informatique peut accéder via Studio ou Director. À l’aide de Studio, les administrateurs peuvent accéder aux données en temps réel de l’agent Broker pour gérer les sites. Director accède aux mêmes données, ainsi qu’aux données historiques stockées dans la base de données de surveillance. Il accède également aux données HDX de NetScaler Gateway pour le support technique et le dépannage.
Au sein du Controller, le service Broker signale les données de session pour chaque session sur la machine, fournissant des données en temps réel. Le service Monitor suit également les données en temps réel et les stocke en tant que données historiques dans la base de données de surveillance.
Studio communique uniquement avec le service Broker. Il accède uniquement aux données en temps réel. Director communique avec le service Broker (via un plug-in dans l’agent Broker) pour accéder à la base de données du site.
Director peut également accéder à Citrix Gateway pour obtenir des informations sur les données HDX.
Fournir des bureaux et des applications
Vous configurez les machines qui fournissent des applications et des bureaux avec des catalogues de machines. Ensuite, vous créez des groupes de mise à disposition qui spécifient les applications et les bureaux qui seront disponibles (à l’aide des machines des catalogues), et les utilisateurs qui peuvent y accéder. En option, vous pouvez ensuite créer des groupes d’applications pour gérer des collections d’applications.
Catalogues de machines
Les catalogues de machines sont des collections de machines virtuelles ou physiques que vous gérez comme une seule entité. Ces machines, ainsi que les applications ou les bureaux virtuels qu’elles contiennent, sont les ressources que vous fournissez à vos utilisateurs. Toutes les machines d’un catalogue ont le même système d’exploitation et le même VDA installés. Elles ont également les mêmes applications ou bureaux virtuels.
Généralement, vous créez une image principale et l’utilisez pour créer des machines virtuelles identiques dans le catalogue. Pour les machines virtuelles, vous pouvez spécifier la méthode de provisionnement des machines de ce catalogue : outils Citrix (Citrix Provisioning ou MCS) ou autres outils. Vous pouvez également utiliser vos propres images existantes. Dans ce cas, vous devez gérer les périphériques cibles individuellement ou collectivement à l’aide d’outils de distribution de logiciels électroniques (ESD) tiers.
Les types de machines valides sont :
- OS multi-session : Machines virtuelles ou physiques avec un système d’exploitation multi-session. Utilisées pour la mise à disposition d’applications publiées Citrix Virtual Apps (également appelées applications hébergées basées sur un serveur) et de bureaux publiés Citrix Virtual Apps (également appelés bureaux hébergés sur un serveur). Ces machines permettent à plusieurs utilisateurs de s’y connecter simultanément.
- OS mono-session : Machines virtuelles ou physiques avec un système d’exploitation mono-session. Utilisées pour la mise à disposition de bureaux VDI (bureaux exécutant des OS mono-session qui peuvent être personnalisés en option), d’applications hébergées sur VM (applications à partir d’OS mono-session) et de bureaux physiques hébergés. Un seul utilisateur à la fois peut se connecter à chacun de ces bureaux.
- Accès PC à distance : Permet aux utilisateurs distants d’accéder à leurs PC de bureau physiques depuis n’importe quel appareil exécutant l’application Citrix Workspace. Les PC de bureau sont gérés via le déploiement Citrix Virtual Desktops et nécessitent que les appareils utilisateur soient spécifiés dans une liste d’autorisation.
Pour plus d’informations, consultez Gestion des images Citrix Virtual Apps and Desktops et Créer des catalogues de machines.
Groupes de mise à disposition
Les groupes de mise à disposition spécifient quels utilisateurs peuvent accéder à quelles applications, bureaux, ou les deux, sur quelles machines. Les groupes de mise à disposition contiennent des machines de vos catalogues de machines et des utilisateurs Active Directory qui ont accès à votre site. Vous pouvez attribuer des utilisateurs à vos groupes de mise à disposition par leur groupe Active Directory, car les groupes Active Directory et les groupes de mise à disposition sont des moyens de regrouper les utilisateurs ayant des exigences similaires.
Chaque groupe de mise à disposition peut contenir des machines de plusieurs catalogues, et chaque catalogue peut contribuer des machines à plusieurs groupes de mise à disposition. Cependant, chaque machine individuelle ne peut appartenir qu’à un seul groupe de mise à disposition à la fois.
Vous définissez les ressources auxquelles les utilisateurs du groupe de mise à disposition peuvent accéder. Par exemple, pour fournir différentes applications à différents utilisateurs, vous pouvez installer toutes les applications sur l’image principale d’un catalogue et créer suffisamment de machines dans ce catalogue pour les distribuer entre plusieurs groupes de mise à disposition. Vous pouvez ensuite configurer chaque groupe de mise à disposition pour fournir un sous-ensemble différent d’applications installées sur les machines.
Pour plus d’informations, consultez Créer des groupes de mise à disposition.
Groupes d’applications
Les groupes d’applications offrent des avantages en matière de gestion des applications et de contrôle des ressources par rapport à l’utilisation de plusieurs groupes de mise à disposition. Grâce à la fonctionnalité de restriction de balise, vous pouvez utiliser vos machines existantes pour plusieurs tâches de publication, ce qui réduit les coûts associés au déploiement et à la gestion de machines supplémentaires. Une restriction de balise peut être considérée comme une subdivision (ou un partitionnement) des machines d’un groupe de mise à disposition. Les groupes d’applications peuvent également être utiles pour isoler et dépanner un sous-ensemble de machines dans un groupe de mise à disposition.
Pour plus d’informations, consultez Créer des groupes d’applications.