Connessioni di rete
Introduzione
In questo articolo vengono fornite informazioni dettagliate su diversi scenari di distribuzione quando si utilizza una sottoscrizione di Citrix Managed Azure.
Quando si crea un catalogo, si indica se e in che modo gli utenti accedono alle posizioni e alle risorse nella propria rete locale aziendale dai desktop e dalle app Citrix DaaS Standard for Azure (precedentemente Citrix Virtual Apps and Desktops Standard for Azure).
Quando si utilizza una sottoscrizione a Citrix Managed Azure, le opzioni disponibili sono le seguenti:
- No connectivity (Nessuna connettività)
- Azure VNet peering (Peering di Azure VNet)
- SD-WAN
Quando si utilizza una delle proprie sottoscrizioni Azure gestite dal cliente, non è necessario creare una connessione a Citrix DaaS for Azure. È sufficiente aggiungere la sottoscrizione di Azure a Citrix DaaS for Azure.
Non è possibile modificare il tipo di connessione di un catalogo dopo la creazione del catalogo.
Requisiti per tutte le connessioni di rete
- Quando si crea una connessione, è necessario disporre di voci del server DNS valide.
- Quando si utilizza Secure DNS o un provider DNS di terze parti, è necessario aggiungere l’intervallo di indirizzi allocato per l’utilizzo da Citrix DaaS per Azure agli indirizzi IP del provider DNS nell’elenco di indirizzi consentiti. L’intervallo di indirizzi viene specificato quando si crea una connessione.
- Tutte le risorse di servizio che utilizzano la connessione (macchine aggiunte al dominio) devono essere in grado di raggiungere il server NTP (Network Time Protocol) per garantire la sincronizzazione oraria.
No connectivity (Nessuna connettività)
Quando un catalogo è configurato con No connectivity (Nessuna connettività), gli utenti non possono accedere alle risorse sulla propria rete on-premise o su altre reti. Questa è l’unica scelta quando si crea un catalogo utilizzando la creazione rapida.
Informazioni sulle connessioni peering di Azure VNet
Il peering della rete virtuale connette senza problemi due reti virtuali (VNET) di Azure: la tua e Citrix DaaS per Azure VNet. Il peering consente inoltre agli utenti di accedere a file e altri elementi dalle reti locali.
Come illustrato nell’immagine seguente, si crea una connessione utilizzando il peering della rete virtuale di Azure dalla sottoscrizione Citrix Managed Azure alla VNet nella sottoscrizione Azure della propria azienda.
Ecco un’altra illustrazione del peering della rete virtuale.
Gli utenti possono accedere alle risorse di rete locali (ad esempio i file server) aggiungendo il dominio locale quando si crea un catalogo. (ovvero, ti unisci al dominio AD in cui risiedono le condivisioni di file e altre risorse necessarie). La sottoscrizione di Azure si connette a tali risorse (nella grafica, utilizzando una VPN o Azure ExpressRoute). Quando si crea il catalogo, si forniscono le credenziali del dominio, dell’unità organizzativa e dell’account.
Importante:
- Scoprite di più sul peering VNet prima di utilizzarlo in Citrix DaaS per Azure.
- Creare una connessione peering VNet prima di creare un catalogo che la utilizzi.
Route personalizzate per il peering della rete virtuale di Azure
I percorsi personalizzati o definiti dall’utente sostituiscono i percorsi di sistema predefiniti di Azure per indirizzare il traffico tra macchine virtuali in un peering VNet, reti locali e Internet. È possibile utilizzare route personalizzate se ci sono reti a cui le risorse di Citrix DaaS for Azure dovrebbero accedere ma non sono collegate direttamente tramite peering VNet. Ad esempio, è possibile creare un percorso personalizzato che impone il traffico attraverso un’appliance di rete verso Internet o verso una subnet di rete locale.
Per utilizzare percorsi personalizzati:
- È necessario disporre di un gateway di rete virtuale di Azure esistente o di un’appliance di rete come Citrix SD-WAN nell’ambiente Citrix DaaS per Azure.
- Quando si aggiungono route personalizzate, è necessario aggiornare le tabelle di instradamento della propria azienda con le informazioni VNet di destinazione Citrix DaaS for Azure per garantire la connettività end-to-end.
- Le route personalizzate vengono visualizzate in Citrix DaaS for Azure nell’ordine in cui sono state immesse. Questo ordine di visualizzazione non influisce sull’ordine in cui Azure seleziona le rotte.
Prima di utilizzare percorsi personalizzati, vedere l’articolo di Microsoft Routing del traffico di rete virtuale per informazioni sull’utilizzo di instradamenti personalizzati, tipi di hop successivo e su come Azure seleziona gli instradamenti per il traffico in uscita.
È possibile aggiungere route personalizzate quando si crea una connessione peering VNet di Azure o a percorsi esistenti nel proprio ambiente Citrix DaaS per Azure. Quando si è pronti a utilizzare percorsi personalizzati con il peering VNet, fare riferimento alle seguenti sezioni in questo articolo:
- Per route personalizzate con nuovi peering della rete virtuale di Azure: Creare una connessione di peering della rete virtuale di Azure
- Per route personalizzate con peering della rete virtuale di Azure esistenti: Gestire route personalizzate per le connessioni di peering della rete virtuale di Azure esistenti
Requisiti e preparazione del peering di Azure VNet
- Credenziali per il proprietario di una sottoscrizione di Azure Resource Manager. Deve essere un account di Azure Active Directory. Citrix DaaS for Azure non supporta altri tipi di account, ad esempio live.com o account Azure AD esterni (in un tenant diverso).
- Una sottoscrizione di Azure, un gruppo di risorse e una rete virtuale (VNet).
- Configurare le route di rete di Azure in modo che i VDA nella sottoscrizione Citrix Managed Azure possano comunicare con i percorsi di rete.
- Aprire i gruppi di sicurezza della rete Azure dalla propria rete virtuale all’intervallo di indirizzi IP specificato.
-
Active Directory: per gli scenari aggiunti al dominio, si consiglia di avere un qualche tipo di servizi Active Directory in esecuzione nella rete virtuale con peering. Questi sfruttano le caratteristiche di bassa latenza della tecnologia di peering della rete virtuale di Azure.
Ad esempio, la configurazione potrebbe includere Azure Active Directory Domain Services (AADDS), una macchina virtuale controller di dominio nella rete virtuale o Azure AD Connect nella Active Directory locale.
Dopo aver abilitato AADDS, non è possibile spostare il dominio gestito su una rete virtuale diversa senza eliminare il dominio gestito. Pertanto, è importante selezionare la rete virtuale corretta per abilitare il dominio gestito. Prima di procedere, leggere l’articolo Microsoft Considerazioni sulla progettazione della rete per servizi di dominio Azure AD.
-
Intervallo IP vNet: durante la creazione della connessione, è necessario fornire uno spazio di indirizzi CIDR disponibile (indirizzo IP e prefisso di rete) univoco tra le risorse di rete e le reti virtuali di Azure connesse. Questo è l’intervallo IP assegnato alle VM all’interno della VNet peered di Citrix DaaS per Azure.
Assicurati di specificare un intervallo IP che non si sovrapponga agli indirizzi utilizzati nelle reti di Azure e locali.
-
Ad esempio, se la rete virtuale di Azure ha uno spazio di indirizzi di 10.0.0.0 /16, creare la connessione peering VNet in Citrix DaaS per Azure come qualcosa del tipo 192.168.0.0 /24.
-
In questo esempio, la creazione di una connessione peering con un intervallo IP 10.0.0.0 /24 sarebbe considerata un intervallo di indirizzi sovrapposto.
Se gli indirizzi si sovrappongono, la connessione di peering della rete virtuale potrebbe non essere creata correttamente. Inoltre, non funziona correttamente per le attività di amministrazione del sito.
-
Per informazioni sul peering della rete virtuale, consultare i seguenti articoli Microsoft.
- Peering di rete virtuale
- Gateway VPN di Azure
- Creare una connessione da sito a sito nel portale di Azure
- Domande frequenti sul gateway VPN (cercare “sovrapposizione”)
Creare una connessione di peering della rete virtuale di Azure
-
Dalla dashboard Gestisci > Distribuzione rapida di Azure in Citrix DaaS per Azure, espandi Connessioni di rete sulla destra. Se sono già impostate delle connessioni, vengono elencate.
- Fare clic su Aggiungi connessione.
-
Fare clic in un punto qualsiasi della casella Aggiungi peering di Azure VNet.
-
Fare clic su Autentica account Azure.
-
Citrix DaaS for Azure ti porta automaticamente alla pagina di accesso di Azure per autenticare le tue sottoscrizioni di Azure. Dopo aver effettuato l’accesso ad Azure (con le credenziali dell’account amministratore globale) e aver accettato i termini, si torna alla finestra di dialogo dei dettagli per la creazione della connessione.
- Digitare un nome per il peer della rete virtuale di Azure.
- Selezionare la sottoscrizione di Azure, il gruppo di risorse e la rete virtuale di cui eseguire il peering.
- Indicare se la rete virtuale selezionata utilizza un gateway di rete virtuale di Azure. Per informazioni, vedere l’articolo di Microsoft Azure VPN Gateway.
-
Se hai risposto Sì nel passaggio precedente (la rete virtuale selezionata utilizza un gateway di rete virtuale di Azure), indica se desideri abilitare la propagazione della rotta del gateway di rete virtuale. Se abilitato, Azure apprende automaticamente (aggiunge) tutti i percorsi attraverso il gateway.
È possibile modificare questa impostazione in un secondo momento nella pagina Details (Dettagli) della connessione. Tuttavia, la modifica può causare modifiche al modello di percorso e interruzioni del traffico VDA. Inoltre, se lo si disabilita in un secondo momento, è necessario aggiungere manualmente instradamenti alle reti che verranno utilizzate dai VDA.
-
Digitare un indirizzo IP e selezionare una maschera di rete. Viene visualizzato l’intervallo di indirizzi da utilizzare, oltre al numero di indirizzi supportati dall’intervallo. Assicurati che l’intervallo IP non si sovrapponga agli indirizzi utilizzati nelle reti di Azure e locali.
- Ad esempio, se Azure VNet dispone di uno spazio di indirizzi 10.0.0.0 /16, creare la connessione peering VNet in Citrix Virtual Apps and Desktops Standard come qualcosa come 192.168.0.0 /24.
- In questo esempio, la creazione di una connessione peering VNet con un intervallo IP 10.0.0.0 /24 sarebbe considerata un intervallo di indirizzi sovrapposto.
Se gli indirizzi si sovrappongono, la connessione di peering VNet potrebbe non essere creata correttamente. Inoltre, non funzionerà correttamente per le attività di amministrazione del sito.
- Indicare se si desidera aggiungere route personalizzate alla connessione di peering della rete virtuale. Se si seleziona Yes (Sì), immettere le seguenti informazioni:
- Digitare un nome descrittivo per la route personalizzata.
- Immettere l’indirizzo IP di destinazione e il prefisso di rete. Il prefisso di rete deve essere compreso tra 16 e 24.
-
Selezionare un tipo di hop successivo per il punto in cui si desidera che il traffico venga instradato. Se si seleziona Virtual appliance (Appliance virtuale), immettere l’indirizzo IP interno dell’appliance.
Per ulteriori informazioni sui tipi di hop successivo, vedere Instradamenti personalizzatei nell’articolo Microsoft Routing del traffico di rete virtuale.
- Fare clic su Aggiungi percorso per creare un altro percorso personalizzato per la connessione.
- Fare clic su Aggiungi peering VNet.
Una volta creata, la connessione viene elencata in Connessioni di rete > Peer vNet di Azure sul lato destro del dashboard Gestisci > Distribuzione rapida di Azure . Quando si crea un catalogo, questa connessione viene inclusa nell’elenco delle connessioni di rete disponibili.
Visualizzare i dettagli della connessione di peering della rete virtuale di Azure
- Dalla dashboard Gestisci > Distribuzione rapida di Azure in Citrix DaaS per Azure, espandi Connessioni di rete sulla destra.
- Selezionare la connessione di peering della rete virtuale di Azure che si desidera visualizzare.
I dettagli includono:
- Il numero di cataloghi, macchine, immagini e bastion che utilizzano questa connessione.
- La regione, lo spazio di rete allocato e le reti virtuali con peering.
- Le route attualmente configurate per la connessione di peering della rete virtuale.
Gestire route personalizzate per le connessioni peer della rete virtuale di Azure esistenti
È possibile aggiungere nuove route personalizzate a una connessione esistente o modificare route personalizzate esistenti, inclusa la disabilitazione o l’eliminazione di route personalizzate.
Importante:
La modifica, la disattivazione o l’eliminazione di route personalizzate modifica il flusso di traffico della connessione e potrebbe interrompere qualsiasi sessione utente che potrebbe essere attiva.
Per aggiungere un percorso personalizzato:
- Dai dettagli della connessione di peering VNet, selezionare Instradamenti e quindi fare clic su Aggiungi percorso.
- Immettere un nome descrittivo, l’indirizzo IP e il prefisso di destinazione e il tipo di hop successivo che si desidera utilizzare. Se si seleziona Virtual Appliance (Appliance virtuale) come tipo di hop successivo, immettere l’indirizzo IP interno dell’appliance.
- Indicare se si desidera abilitare la route personalizzata. Per impostazione predefinita, il percorso personalizzato è abilitato.
- Fai clic su Aggiungi percorso.
Per modificare o disabilitare un percorso personalizzato:
- Dai dettagli della connessione di peering VNet, selezionare Instradamenti e quindi individuare il percorso personalizzato che si desidera gestire.
-
Dal menu con i puntini di sospensione, selezionate Modifica.
- Apportare le modifiche necessarie all’indirizzo IP e al prefisso di destinazione o al tipo di hop successivo, in base alle esigenze.
- Per abilitare o disabilitare un percorso personalizzato, in Abilita questo percorso?, seleziona Sì o No.
- Fare clic su Save (Salva).
Per eliminare un percorso personalizzato:
- Dai dettagli della connessione di peering VNet, selezionare Instradamenti e quindi individuare il percorso personalizzato che si desidera gestire.
- Dal menu con i puntini di sospensione, selezionare Elimina.
- Selezionare L’eliminazione di un percorso può interrompere le sessioni attive per riconoscere l’impatto dell’eliminazione del percorso personalizzato.
- Clicca su Elimina percorso.
Eliminare una connessione peering di Azure VNet
Prima di poter eliminare un peer di Azure VNet, rimuovi tutti i cataloghi ad esso associati. Vedere Eliminare un catalogo.
- Dalla dashboard Gestisci > Distribuzione rapida di Azure in Citrix DaaS per Azure, espandi Connessioni di rete sulla destra.
- Selezionare la connessione che si desidera eliminare.
- Dai dettagli della connessione, fai clic su Elimina connessione.
Informazioni sulle connessioni SD-WAN
Importante:
Citrix SD-WAN è stato deprecato e tutti i contenuti correlati verranno rimossi dalla documentazione in una versione futura. Si consiglia di passare a soluzioni di rete alternative per garantire l’accesso ininterrotto ai servizi Citrix.
Citrix SD-WAN ottimizza tutte le connessioni di rete necessarie a Citrix Virtual Apps and Desktops Standard for Azure. Lavorando di concerto con le tecnologie HDX, Citrix SD-WAN offre qualità del servizio e affidabilità della connessione per il traffico ICO e Citrix Virtual Apps and Desktops Standard fuori banda. Citrix SD-WAN supporta le seguenti connessioni di rete:
- Connessione ICA multi-stream tra gli utenti e i loro desktop virtuali
- Accesso a Internet dal desktop virtuale a siti web, app SaaS e altre proprietà cloud
- Accesso dal desktop virtuale a risorse on-premise come Active Directory, file server e server di database
- Traffico in tempo reale/interattivo trasferito su RTP dal motore multimediale nell’app Workspace ai servizi Unified Communications ospitati nel cloud come Microsoft Teams
- Recupero lato client di video da siti come YouTube e Vimeo
Come illustrato nell’immagine seguente, si crea una connessione SD-WAN dalla sottoscrizione Citrix Managed Azure ai propri siti. Durante la creazione della connessione, le appliance VPX SD-WAN vengono create nella sottoscrizione Citrix Managed Azure. Dal punto di vista della SD-WAN, tale posizione viene trattata come una filiale.
Requisiti e preparazione della connessione SD-WAN
-
Se non vengono soddisfatti i seguenti requisiti, l’opzione di connessione di rete SD-WAN non è disponibile.
- Diritti Citrix Cloud: Citrix Virtual Apps and Desktops Standard per Azure e SD-WAN Orchestrator.
- Una distribuzione SD-WAN installata e configurata. La distribuzione deve includere un Master Control Node (MCN), nel cloud o on-premise, ed essere gestita con SD-WAN Orchestrator.
-
Intervallo IP VNet: fornisce uno spazio di indirizzi CIDR disponibile (indirizzo IP e prefisso di rete) univoco tra le risorse di rete connesse. Questo è l’intervallo IP assegnato alle VM all’interno di Citrix Virtual Apps and Desktops Standard VNet.
Assicurati di specificare un intervallo IP che non si sovrapponga agli indirizzi utilizzati nelle reti cloud e locali.
- Ad esempio, se la rete dispone di uno spazio di indirizzi di 10.0.0.0 /16, creare la connessione in Citrix Virtual Apps and Desktops Standard come qualcosa come 192.168.0.0 /24.
- In questo esempio, la creazione di una connessione con un intervallo IP 10.0.0.0 /24 sarebbe considerata un intervallo di indirizzi sovrapposto.
Se gli indirizzi si sovrappongono, la connessione potrebbe non essere stata creata correttamente. Inoltre, non funziona correttamente per le attività di amministrazione del sito.
-
Il processo di configurazione della connessione include attività che l’amministratore di Citrix DaaS for Azure e l’amministratore di SD-WAN Orchestrator devono completare. Inoltre, per completare le attività, sono necessarie le informazioni fornite dall’amministratore di SD-WAN Orchestrator.
Prima della creazione effettiva di una connessione, si consiglia di consultare sia le linee guida contenute in questo documento che la documentazione di SD-WAN.
Creare una connessione SD-WAN
Importante:
Per informazioni dettagliate sulla configurazione SD-WAN, vedere Configurazione SD-WAN per l’integrazione Citrix Virtual Apps and Desktops Standard per Azure.
- Dalla dashboard Gestisci > Distribuzione rapida di Azure in Citrix DaaS per Azure, espandi Connessioni di rete sulla destra.
- Fare clic su Aggiungi connessione.
- Nella pagina Aggiungi una connessione di rete, fare clic in un punto qualsiasi della casella SD-WAN.
- La pagina successiva riassume ciò che ci aspetta. Quando hai finito di leggere, fai clic su Avvia configurazione SD-WAN.
-
Nella pagina Configura SD-WAN, immettere le informazioni fornite dall’amministratore di SD-WAN Orchestrator.
- Modalità di distribuzione: se si seleziona High availability (Alta disponibilità), vengono create due appliance VPX (consigliate per gli ambienti di produzione). Se si seleziona Standalone, viene creata una sola appliance. Non è possibile modificare questa impostazione in seguito. Per passare alla modalità di distribuzione, è necessario eliminare e ricreare la filiale e tutti i cataloghi associati.
- Name (Nome): digitare un nome per il sito SD-WAN.
- Throughput and number of offices (Throughput e numero di uffici): queste informazioni sono fornite dall’amministratore di SD-WAN Orchestrator.
- Region (Regione): la regione in cui verranno create le appliance VPX.
- VDA subnet and SD-WAN subnet (Subnet VDA e subnet SD-WAN): queste informazioni sono fornite dall’amministratore di SD-WAN Orchestrator. Consulta i requisiti di connessione SD-WAN e la preparazione per informazioni su come evitare conflitti.
- Quando hai finito, fai clic su Crea ramo.
- Nella pagina successiva vengono riepilogati gli elementi da cercare nel dashboard Gestisci > Azure Quick Deploy . Quando hai finito di leggere, fai clic su Ottenuto.
- Nella dashboard Gestisci > Distribuzione rapida di Azure, la nuova voce SD-WAN in Connessioni di rete mostra l’avanzamento del processo di configurazione. Quando la voce diventa arancione con il messaggio In attesa di attivazione da parte dell’amministratore SD-WAN, avvisare l’amministratore di SD-WAN Orchestrator.
- Per le attività di amministratore di SD-WAN Orchestrator, consultare la documentazione del prodottoSD-WAN Orchestrator.
- Al termine dell’amministratore di SD-WAN Orchestrator, la voce SD-WAN in Connessioni di rete diventa verde, con il messaggio È possibile creare cataloghi utilizzando questa connessione.
Visualizzare i dettagli della connessione SD-WAN
- Dalla dashboard Gestisci > Distribuzione rapida di Azure in Citrix DaaS per Azure, espandi Connessioni di rete sulla destra.
- Seleziona SD-WAN se non è l’unica selezione.
- Fare clic sulla connessione che si desidera visualizzare.
Il display include:
- Scheda Details (Dettagli): informazioni specificate durante la configurazione della connessione.
- Scheda Branch Connectivity (Connettività filiale): nome, connettività cloud, disponibilità, livello di larghezza di banda, ruolo e posizione per ogni filiale e MCN.
Eliminare una connessione SD-WAN
Prima di poter eliminare una connessione SD-WAN, rimuovere tutti i cataloghi associati. Vedere Eliminare un catalogo.
- Dalla dashboard Gestisci > Distribuzione rapida di Azure in Citrix DaaS per Azure, espandi Connessioni di rete sulla destra.
- Seleziona SD-WAN se non è l’unica selezione.
- Fare clic sulla connessione che si desidera eliminare per espandere i dettagli.
- Nella scheda Dettagli, fare clic su Elimina connessione.
- Confermare l’eliminazione.
Anteprima tecnica di Azure VPN
La funzionalità VPN di Azure è disponibile per l’anteprima tecnica.
Informazioni sulle connessioni gateway VPN di Azure
Una connessione gateway VPN di Azure fornisce un collegamento di comunicazione tra i VDA di Azure gestiti da Citrix (desktop e app) e le risorse della tua azienda, come reti locali o risorse in altre posizioni cloud. È simile alla configurazione e alla connessione a una filiale remota.
La connettività sicura utilizza i protocolli standard del settore Internet Protocol Security (IPSec) e Internet Key Exchange (IKE).
Durante il processo di creazione della connessione:
-
Fornite le informazioni che Citrix utilizza per creare il gateway e la connessione.
-
Citrix crea un gateway VPN di Azure basato su route da sito a sito. Il gateway VPN forma un tunnel IPSec (Internet Protocol Security) diretto tra la sottoscrizione Azure gestita da Citrix e il dispositivo host della VPN.
-
Dopo che Citrix ha creato il gateway e la connessione VPN di Azure, aggiornate la configurazione della VPN, le regole del firewall e le tabelle di instradamento. Per questo processo, utilizzate un indirizzo IP pubblico fornito da Citrix e una chiave precondivisa (PSK) fornita per creare la connessione.
Un esempio di connessione è illustrato in Creare una connessione gateway VPN di Azure.
Non è necessaria una sottoscrizione di Azure per creare questo tipo di connessione.
È inoltre possibile utilizzare percorsi personalizzati con questo tipo di connessione.
Percorsi personalizzati gateway VPN di Azure
I percorsi personalizzati o definiti dall’utente sostituiscono i percorsi di sistema predefiniti per indirizzare il traffico tra le macchine virtuali nelle reti e Internet. È possibile utilizzare percorsi personalizzati se vi sono reti a cui le risorse Citrix Virtual Apps and Desktops Standard devono accedere ma che non sono direttamente connesse tramite un gateway VPN di Azure. Ad esempio, è possibile creare un percorso personalizzato che impone il traffico attraverso un’appliance di rete verso Internet o verso una subnet di rete locale.
Quando si aggiungono percorsi personalizzati a una connessione, tali percorsi si applicano a tutte le macchine che utilizzano tale connessione.
Per utilizzare percorsi personalizzati:
- È necessario disporre di un gateway di rete virtuale esistente o di un’appliance di rete come Citrix SD-WAN nell’ambiente Citrix Virtual Apps and Desktops Standard.
- Quando aggiungi percorsi personalizzati, devi aggiornare le tabelle dei percorsi della tua azienda con le informazioni sulla VPN di destinazione per garantire la connettività end-to-end.
- I percorsi personalizzati vengono visualizzati nella scheda Collegamento > Percorsi nell’ordine in cui sono stati inseriti. Questo ordine di visualizzazione non influisce sull’ordine in cui vengono selezionati i percorsi.
Prima di utilizzare percorsi personalizzati, vedere l’articolo di Microsoft Routing del traffico di rete virtuale per informazioni sull’utilizzo di instradamenti personalizzati, tipi di hop successivo e su come Azure seleziona gli instradamenti per il traffico in uscita.
Puoi aggiungere route personalizzate quando crei una connessione gateway VPN di Azure o a connessioni esistenti nel tuo ambiente di servizio.
Requisiti e preparazione della connessione al gateway VPN di Azure
-
Per ulteriori informazioni sul gateway VPN di Azure, vedi l’articolo Microsoft Cos’è il gateway VPN?
-
Esamina i requisiti per tutte le connessioni di rete.
-
Devi avere una VPN configurata. La rete virtuale deve essere in grado di inviare e ricevere traffico attraverso il gateway VPN. Una rete virtuale non può essere associata a più di un gateway di rete virtuale.
-
È necessario disporre di un dispositivo IPSec con un indirizzo IP pubblico. Per informazioni sui dispositivi VPN convalidati, consulta l’articolo di Microsoft Informazioni sui dispositivi VPN.
-
Esamina la procedura Crea una connessione al gateway VPN di Azure prima di avviarla effettivamente, in modo da poter raccogliere le informazioni necessarie. Ad esempio, avrai bisogno di indirizzi consentiti nella tua rete, intervalli IP per i VDA e il gateway, il throughput e il livello di prestazioni desiderati e gli indirizzi dei server DNS.
Crea una connessione gateway VPN di Azure
Assicurati di rivedere questa procedura prima di avviarla effettivamente.
Il diagramma seguente mostra un esempio di configurazione di una connessione gateway VPN di Azure. In genere, Citrix gestisce le risorse sul lato sinistro del diagramma e voi gestite le risorse sul lato destro. Alcune descrizioni nella procedura seguente includono riferimenti agli esempi del diagramma.
-
Dalla dashboard Gestisci in Citrix DaaS for Azure, espandete Connessioni di rete sulla destra.
-
Fare clic su Aggiungi connessione.
-
Fai clic in un punto qualsiasi della casella Gateway VPN di Azure .
-
Esamina le informazioni nella pagina Aggiungi connessione VPN, quindi fai clic su Avvia configurazione VPN.
-
Nella pagina Aggiungi una connessione, fornire le seguenti informazioni.
-
Nome: un nome per la connessione. (Nel diagramma, il nome è TestVpnGW1.)
-
Indirizzo IP VPN: il tuo indirizzo IP pubblico.
Nel diagramma, l’indirizzo è 40.71.184.214.
-
Reti consentite: uno o più intervalli di indirizzi a cui il servizio Citrix è autorizzato ad accedere sulla rete. In genere, questo intervallo di indirizzi contiene le risorse a cui gli utenti devono accedere, ad esempio i file server.
Per aggiungere più di un intervallo, fare clic su Aggiungi altri indirizzi IP e immettere un valore. Ripetere se necessario.
Nel diagramma, l’intervallo di indirizzi è 192.168.3.0/24.
-
Chiave pre-condivisa: un valore utilizzato da entrambe le estremità della VPN per l’autenticazione (simile a una password). Decidi tu qual è questo valore. Assicurati di annotare il valore. Ne avrai bisogno in seguito quando configurerai la tua VPN con le informazioni sulla connessione.
-
Prestazioni e velocità effettiva: il livello di larghezza di banda da utilizzare quando gli utenti accedono alle risorse della rete.
Tutte le scelte non supportano necessariamente il Border Gateway Protocol (BGP). In questi casi, i campi delle impostazioni BCP non sono disponibili.
-
Area: area di Azure in cui Citrix distribuisce macchine che distribuiscono desktop e app (VDA), quando create cataloghi che utilizzano questa connessione. Non è possibile modificare questa selezione dopo aver creato la connessione. Se in seguito si decide di utilizzare una regione diversa, è necessario creare o utilizzare un’altra connessione che specifichi la regione desiderata.
Nel diagramma, la regione è EastUS.
-
Modalità active-active (alta disponibilità): indica se vengono creati due gateway VPN per un’elevata disponibilità. Quando questa modalità è abilitata, è attivo un solo gateway alla volta. Scopri il gateway VPN di Azure attivo-attivo nel documento Microsoft Highly Available Cross-Premises Connectivity.
-
Impostazioni BGP: (Disponibile solo se le prestazioni e il throughput selezionati supportano BGP). Indica se utilizzare il Border Gateway Protocol (BGP). Scopri di più su BGP nel documento Microsoft: Informazioni su BGP with Azure VPN Gateway. Se abiliti BGP, fornisci le seguenti informazioni:
-
Numero di sistema autonomo (ASN): ai gateway di rete virtuale di Azure viene assegnato un ASN predefinito di 65515. Una connessione abilitata per BGP tra due gateway di rete richiede che i relativi ASN siano diversi. Se necessario, è possibile modificare l’ASN ora o dopo la creazione del gateway.
-
Indirizzo IP peering IP BGP: Azure supporta IP BGP nell’intervallo 169.254.21.x a 169.254.22.x.
-
-
Subnet VDA: l’intervallo di indirizzi in cui risiedono Citrix VDA (macchine che forniscono desktop e app) e Cloud Connectors quando si crea un catalogo che utilizza questa connessione. Dopo aver inserito un indirizzo IP e selezionato una maschera di rete, viene visualizzato l’intervallo di indirizzi e il numero di indirizzi supportati dall’intervallo.
Sebbene questo intervallo di indirizzi sia mantenuto nella sottoscrizione di Azure gestita da Citrix, funziona come se fosse un’estensione della rete.
-
L’intervallo IP non deve sovrapporsi agli indirizzi utilizzati nelle reti locali o in altre reti cloud. Se gli indirizzi si sovrappongono, la connessione potrebbe non essere stata creata correttamente. Inoltre, un indirizzo sovrapposto non funzionerà correttamente per le attività di amministrazione del sito.
-
L’intervallo di subnet VDA deve essere diverso dall’indirizzo della subnet del gateway.
-
Non è possibile modificare questo valore dopo aver creato la connessione. Per utilizzare un valore diverso, create un’altra connessione.
Nel diagramma, la sottorete VDA è 10.11.0.0/16.
-
-
Subnet gateway: l’intervallo di indirizzi in cui risiederà il gateway VPN di Azure quando crei un catalogo che utilizza questa connessione.
-
L’intervallo IP non deve sovrapporsi agli indirizzi utilizzati nelle reti locali o in altre reti cloud. Se gli indirizzi si sovrappongono, la connessione potrebbe non essere stata creata correttamente. Inoltre, un indirizzo sovrapposto non funzionerà correttamente per le attività di amministrazione del sito.
-
L’intervallo di subnet del gateway deve essere diverso dall’indirizzo della subnet VDA.
-
Non è possibile modificare questo valore dopo aver creato la connessione. Per utilizzare un valore diverso, create un’altra connessione.
Nel diagramma, la sottorete gateway è 10.12.0.9/16.
-
-
Percorsi: indica se si desidera aggiungere percorsi personalizzati alla connessione. Se desideri aggiungere percorsi personalizzati, fornisci le seguenti informazioni:
-
Digitare un nome descrittivo per il percorso personalizzato.
-
Immettere l’indirizzo IP di destinazione e il prefisso di rete. Il prefisso di rete deve essere compreso tra 16 e 24.
-
Selezionare un tipo di hop successivo per il punto in cui si desidera che il traffico venga instradato. Se si seleziona **Virtual appliance, immettere l’indirizzo IP interno dell’appliance. Per ulteriori informazioni sui tipi di hop successivo, vedere Instradamenti personalizzatei nell’articolo Microsoft Routing del traffico di rete virtuale.
-
Per aggiungere più di un percorso, fai clic su Aggiungi percorso e inserisci le informazioni richieste.
-
Server DNS: inserisci gli indirizzi dei tuoi server DNS e indica il server preferito. Sebbene sia possibile modificare le voci del server DNS in un secondo momento, tenere presente che la loro modifica può potenzialmente causare problemi di connettività per le macchine nei cataloghi che utilizzano questa connessione.
Per aggiungere più di due indirizzi server DNS, fare clic su Aggiungi DNS alternativo e quindi immettere le informazioni richieste.
-
-
Fai clic su Crea connessione VPN.
Dopo che Citrix ha creato la connessione, questa viene elencata in Connessioni di rete > Gateway VPN di Azure nella dashboard Gestisci in Citrix DaaS for Azure. La scheda di connessione contiene un indirizzo IP pubblico. (Nel diagramma, l’indirizzo è 131.1.1.1.)
-
Utilizza questo indirizzo (e la chiave pre-condivisa specificata durante la creazione della connessione) per configurare la VPN e i firewall. Se hai dimenticato la chiave già condivisa, puoi modificarla nella pagina Dettagli della connessione. Avrai bisogno della nuova chiave per configurare la tua estremità del gateway VPN.
Ad esempio, consentire eccezioni nel firewall per gli intervalli di indirizzi IP della subnet VDA e del gateway configurati.
-
Aggiorna le tabelle di route della tua azienda con le informazioni sulla connessione al gateway VPN di Azure per garantire la connettività end-to-end.
Nel diagramma, sono necessarie nuove rotte per il traffico che va da 192.168.3.0/24 a 10.11.0.0/16 e 10.12.0.9/16 (le sottoreti VDA e gateway).
-
Se hai configurato percorsi personalizzati, apporta anche gli aggiornamenti appropriati per loro.
Quando entrambe le estremità della connessione sono state configurate correttamente, la voce della connessione in Connessioni di rete > Gateway VPN di Azure indica Pronto all’uso.
Visualizza una connessione gateway VPN di Azure
-
Dalla dashboard Gestisci in Citrix DaaS for Azure, espandete Connessioni di rete sulla destra.
-
Seleziona la connessione che desideri visualizzare.
Display:
-
La scheda Dettagli mostra il numero di cataloghi, macchine, immagini e bastioni che utilizzano questa connessione. Contiene anche la maggior parte delle informazioni configurate per questa connessione.
-
La scheda Percorsi elenca le informazioni sul percorso personalizzato per la connessione.
Gestisci percorsi personalizzati per una connessione gateway VPN di Azure
In una connessione gateway VPN di Azure esistente, puoi aggiungere, modificare, disabilitare ed eliminare route personalizzate.
Per informazioni sull’aggiunta di route personalizzate quando crei una connessione, vedi Creare una connessione gateway VPN di Azure.
Importante:
la modifica, la disabilitazione o l’eliminazione di percorsi personalizzati modifica il flusso di traffico della connessione e potrebbe interrompere le sessioni utente attive.
-
Dalla dashboard Gestisci in Citrix DaaS for Azure, espandete Connessioni di rete sulla destra.
-
Seleziona la connessione che desideri visualizzare.
-
Per aggiungere un percorso personalizzato:
-
Dalla scheda Percorsi della connessione, fai clic su Aggiungi percorso.
-
Immettere un nome descrittivo, l’indirizzo IP e il prefisso di destinazione e il tipo di hop successivo che si desidera utilizzare. Se si seleziona Virtual Appliance (Appliance virtuale) come tipo di hop successivo, immettere l’indirizzo IP interno dell’appliance.
-
Indicare se si desidera abilitare la route personalizzata. Per impostazione predefinita, il percorso personalizzato è abilitato.
-
Fai clic su Aggiungi percorso.
-
-
Per modificare o abilitare/disabilitare un percorso personalizzato:
-
Dalla scheda Percorsi della connessione, individua il percorso personalizzato che desideri gestire.
-
Dal menu con i puntini di sospensione, selezionate Modifica.
-
Modificare l’indirizzo IP e il prefisso di destinazione, o il tipo di hop successivo, in base alle esigenze.
-
Indicare se si desidera abilitare il percorso.
-
Fare clic su Save (Salva).
-
-
Per eliminare un percorso personalizzato:
-
Dalla scheda Percorsi della connessione, individua il percorso personalizzato che desideri gestire.
-
Dal menu con i puntini di sospensione, selezionare Elimina.
-
Selezionare L’eliminazione di un percorso può interrompere le sessioni attive per riconoscere l’impatto dell’eliminazione del percorso personalizzato.
-
Clicca su Elimina percorso.
-
-
Reimposta o elimina una connessione gateway VPN di Azure
Importante:
Il ripristino di una connessione causa la perdita della connessione corrente ed entrambe le estremità devono ristabilirla. Un reset interrompe le sessioni utente attive.
Prima di poter eliminare una connessione, eliminate tutti i cataloghi che la utilizzano. Vedere Eliminare un catalogo.
Per ripristinare o eliminare una connessione:
-
Dalla dashboard Gestisci in Citrix DaaS for Azure, espandete Connessioni di rete sulla destra.
-
Seleziona la connessione che desideri ripristinare o eliminare.
-
Dalla scheda Dettagli della connessione:
-
Per ripristinare la connessione, fare clic su Ripristina connessione.
-
Per eliminare la connessione, fare clic su Elimina connessione.
-
-
Se richiesto, conferma l’azione.
Creare un indirizzo IP statico pubblico
Se si desidera che tutte le macchine VDA su una connessione utilizzino un singolo indirizzo IP statico pubblico (gateway) in uscita su Internet, abilitare un gateway NAT. È possibile abilitare un gateway NAT per le connessioni a cataloghi che sono aggiunti a domini o non a dominio.
Per abilitare un gateway NAT per una connessione:
- Dalla dashboard Gestisci > Distribuzione rapida di Azure in Citrix DaaS per Azure, espandi Connessioni di rete sulla destra.
- In Connessioni di rete, selezionare una connessione in CITRIX MANAGED o AZURE VNET PEERINGS.
- Nella scheda dei dettagli della connessione, fare clic su Abilita gateway NAT.
- Nella pagina Abilita gateway NAT, spostare il dispositivo di scorrimento su Sì e configurare un tempo di inattività.
- Clicca su Conferma modifiche.
Quando abiliti un gateway NAT:
-
Azure assegna automaticamente un indirizzo IP statico pubblico al gateway. (Non è possibile specificare questo indirizzo.) Tutti i VDA in tutti i cataloghi che utilizzano questa connessione utilizzeranno tale indirizzo per la connettività in uscita.
-
È possibile specificare un valore di timeout di inattività. Tale valore indica il numero di minuti in cui una connessione in uscita aperta tramite il gateway NAT può rimanere inattiva prima che la connessione venga chiusa.
-
È necessario consentire l’indirizzo IP statico pubblico nel firewall.
È possibile tornare alla scheda dei dettagli della connessione per abilitare o disabilitare il gateway NAT e modificare il valore di timeout.
In questo articolo
- Introduzione
- Requisiti per tutte le connessioni di rete
- No connectivity (Nessuna connettività)
-
Informazioni sulle connessioni peering di Azure VNet
- Route personalizzate per il peering della rete virtuale di Azure
- Requisiti e preparazione del peering di Azure VNet
- Creare una connessione di peering della rete virtuale di Azure
- Visualizzare i dettagli della connessione di peering della rete virtuale di Azure
- Gestire route personalizzate per le connessioni peer della rete virtuale di Azure esistenti
- Eliminare una connessione peering di Azure VNet
- Informazioni sulle connessioni SD-WAN
-
Anteprima tecnica di Azure VPN
- Informazioni sulle connessioni gateway VPN di Azure
- Percorsi personalizzati gateway VPN di Azure
- Requisiti e preparazione della connessione al gateway VPN di Azure
- Crea una connessione gateway VPN di Azure
- Visualizza una connessione gateway VPN di Azure
- Gestisci percorsi personalizzati per una connessione gateway VPN di Azure
- Reimposta o elimina una connessione gateway VPN di Azure
- Creare un indirizzo IP statico pubblico