Citrix Virtual Apps and Desktops

Ambienti cloud AWS

Questo articolo illustra la configurazione dell’account AWS come posizione risorsa che è possibile utilizzare con Citrix Virtual Apps and Desktops. La posizione risorsa include un set di componenti di base, ideale per una Proof of Concept o un’altra distribuzione che non richiede risorse distribuite in più zone di disponibilità. Dopo aver completato queste attività, è possibile installare VDA, eseguire il provisioning delle macchine, creare cataloghi delle macchine e creare gruppi di consegna.

Una volta completate le attività descritte in questo articolo, la posizione risorsa include i seguenti componenti:

  • Un cloud privato virtuale (VPC) con subnet pubbliche e private all’interno di un’unica zona di disponibilità.
  • Un’istanza che viene eseguita sia come controller di dominio Active Directory che come server DNS, situata nella subnet privata del VPC.
  • Due istanze aggiunte al dominio su cui è installato Citrix Cloud Connector, situate nella subnet privata del VPC.
  • Un’istanza che funge da host bastion, situata nella subnet pubblica del VPC. Questa istanza viene utilizzata per avviare connessioni RDP alle istanze nella subnet privata per scopi amministrativi. Dopo aver completato la configurazione della posizione risorsa, è possibile chiudere questa istanza in modo che non sia più facilmente accessibile. Quando è necessario gestire altre istanze nella subnet privata, come le istanze VDA, è possibile riavviare l’istanza host bastion.

Panoramica delle attività

Configurare un cloud privato virtuale (VPC) con subnet pubbliche e private. Una volta completata questa attività, AWS distribuisce un’istanza NAT con un indirizzo IP elastico nella subnet pubblica. Ciò consente alle istanze nella subnet privata di accedere a Internet. Le istanze nella subnet pubblica sono accessibili al traffico pubblico in entrata, mentre le istanze nella subnet privata non lo sono.

Configurare i gruppi di sicurezza. I gruppi di sicurezza agiscono come firewall virtuali che controllano il traffico per le istanze nel VPC. È possibile aggiungere regole ai gruppi di sicurezza che consentono alle istanze nella subnet pubblica di comunicare con le istanze nella subnet privata. Inoltre, questi gruppi di sicurezza verranno associati a ogni istanza nel VPC.

Creare un set di opzioni DHCP. Con un VPC Amazon, i servizi DHCP e DNS sono forniti per impostazione predefinita, il che influisce sulla configurazione del DNS sul controller di dominio Active Directory. Il DHCP di Amazon non può essere disabilitato e il DNS di Amazon può essere utilizzato solo per la risoluzione DNS pubblica, non per la risoluzione dei nomi di Active Directory. Per specificare i server di dominio e dei nomi trasferiti alle istanze tramite DHCP, creare un set di opzioni DHCP. Il set assegna il suffisso di dominio Active Directory e specifica il server DNS per tutte le istanze nel VPC. Per garantire che i record Host (A) e Ricerca inversa (PTR) vengano registrati automaticamente quando le istanze entrano a far parte del dominio, è necessario configurare le proprietà dell’adattatore di rete per ogni istanza aggiunta alla subnet privata.

Aggiungere un host bastion, un controller di dominio e Citrix Cloud Connector a VPC. Tramite l’host bastion, è possibile accedere alle istanze nella subnet privata per configurare il dominio, unire le istanze al dominio e installare Citrix Cloud Connector.

Attività 1: Configurare il VPC

  1. Dalla console di gestione AWS, selezionare VPC.
  2. Dalla dashboard del VPC, selezionare Start VPC Wizard (Avvia procedura guidata VPC).
  3. Selezionare VPC with Public and Private Subnets (VPC con subnet pubbliche e private), quindi selezionare Select (Seleziona).
  4. Immettere un nome per il VPC e modificare il blocco CIDR IP e gli intervalli IP delle subnet pubbliche e private, se necessario.
  5. Se è selezionato un gateway NAT, selezionare Use a NAT Instance instead (Usa un’istanza NAT).
  6. Per l’istanza NAT, specificate il tipo di istanza e la coppia di chiavi che si desidera utilizzare. La coppia di chiavi consente di connettersi in modo sicuro all’istanza in un secondo momento.
  7. In Enable DNS host names (Abilita nomi host DNS), lasciare l’opzione Yes (Sì) selezionata.
  8. Selezionare Create VPC (Crea VPC). AWS crea le subnet pubbliche e private, il gateway Internet, le tabelle di instradamento e il gruppo di sicurezza predefinito.

Nota:

la modifica del nome di un Virtual Private Cloud (VPC) AWS nella console AWS danneggia l’unità di hosting esistente in Citrix Cloud. Quando l’unità di hosting è danneggiata, non è possibile creare cataloghi o aggiungere macchine ai cataloghi esistenti. Dal problema noto: PMCS-7701

Attività 2: Configurare i gruppi di sicurezza

Questa attività crea e configura i seguenti gruppi di sicurezza per il VPC:

  • Un gruppo di sicurezza per l’istanza NAT.
  • Un gruppo di sicurezza pubblico, a cui verranno associate le istanze della subnet pubblica.
  • Un gruppo di sicurezza privato, a cui verranno associate le istanze della subnet privata.

Per creare i gruppi di sicurezza

  1. Dalla dashboard del VPC, selezionare Security Groups (Gruppi di sicurezza).
  2. Creare un gruppo di sicurezza per l’istanza NAT. Selezionare Create Security Group (Crea gruppo di sicurezza) e immettere un nome e una descrizione per il gruppo. Nel VPC, selezionare il VPC creato in precedenza. Selezionare Yes, Create (Sì, crea).
  3. Ripetere il passaggio 2 per creare un gruppo di sicurezza pubblico e un gruppo di sicurezza privato.

Configurare il gruppo di sicurezza NAT

  1. Dall’elenco dei gruppi di sicurezza, selezionare il gruppo di sicurezza NAT.

  2. Selezionare la scheda Inbound Rules (Regole in entrata) e selezionare Edit (Modifica) per creare le seguenti regole:

    Tipo Origine
    TUTTO il traffico Selezionare il gruppo di sicurezza privato.
    22 (SSH) 0.0.0.0/0
  3. Al termine, selezionare Save (Salva).

Configurare il gruppo di sicurezza pubblico

  1. Dall’elenco dei gruppi di sicurezza, selezionare il gruppo di sicurezza pubblico.

  2. Selezionare la scheda Inbound Rules (Regole in entrata) e selezionare Edit (Modifica) per creare le seguenti regole:

    Tipo Origine
    TUTTO il traffico Selezionare il gruppo di sicurezza privato.
    TUTTO il traffico Selezionare il gruppo di sicurezza pubblico.
    ICMP 0.0.0.0/0
    22 (SSH) 0.0.0.0/0
    80 (HTTP) 0.0.0.0/0
    443 (HTTPS) 0.0.0.0/0
    1494 (ICA/HDX) 0.0.0.0/0
    2598 (affidabilità della sessione) 0.0.0.0/0
    3389 (RDP) 0.0.0.0/0
  3. Al termine, selezionare Save (Salva).

  4. Selezionare la scheda Outbound Rules (Regole in uscita) e selezionare Edit (Modifica) per creare le seguenti regole:

    Tipo Destinazione
    TUTTO il traffico Selezionare il gruppo di sicurezza privato.
    TUTTO il traffico 0.0.0.0/0
    ICMP 0.0.0.0/0
  5. Al termine, selezionare Save (Salva).

Configurare il gruppo di sicurezza privato

  1. Dall’elenco dei gruppi di sicurezza, selezionare il gruppo di sicurezza privato.

  2. Se non è stato impostato il traffico dal gruppo di sicurezza pubblico, è necessario impostare le porte TCP; selezionare la scheda Inbound Rules (Regole in entrata) e selezionare Edit (Modifica) per creare le seguenti regole:

    Tipo Origine
    TUTTO il traffico Selezionare il gruppo di sicurezza NAT.
    TUTTO il traffico Selezionare il gruppo di sicurezza privato.
    TUTTO il traffico Selezionare il gruppo di sicurezza pubblico.
    ICMP Selezionare il gruppo di sicurezza pubblico.
    TCP 53 (DNS) Selezionare il gruppo di sicurezza pubblico.
    UDP 53 (DNS) Selezionare il gruppo di sicurezza pubblico.
    80 (HTTP) Selezionare il gruppo di sicurezza pubblico.
    TCP 135 Selezionare il gruppo di sicurezza pubblico.
    TCP 389 Selezionare il gruppo di sicurezza pubblico.
    UDP 389 Selezionare il gruppo di sicurezza pubblico.
    443 (HTTPS) Selezionare il gruppo di sicurezza pubblico.
    TCP 1494 (ICA/HDX) Selezionare il gruppo di sicurezza pubblico.
    TCP 2598 (affidabilità della sessione) Selezionare il gruppo di sicurezza pubblico.
    3389 (RDP) Selezionare il gruppo di sicurezza pubblico.
    TCP 49152-65535 Selezionare il gruppo di sicurezza pubblico.
  3. Al termine, selezionare Save (Salva).

  4. Selezionare la scheda Outbound Rules (Regole in uscita) e selezionare Edit (Modifica) per creare le seguenti regole:

    Tipo Destinazione
    TUTTO il traffico Selezionare il gruppo di sicurezza privato.
    TUTTO il traffico 0.0.0.0/0
    ICMP 0.0.0.0/0
    UDP 53 (DNS) 0.0.0.0/0
  5. Al termine, selezionare Save (Salva).

Attività 3: Associare l’istanza NAT al gruppo di sicurezza NAT

  1. Dalla Console di gestione AWS, selezionare EC2.
  2. Dalla dashboard di EC2, selezionare Instances (Istanze).
  3. Selezionare l’istanza NAT e quindi selezionare Actions > Networking > Change Security Groups (Azioni > Networking > Modifica gruppi di sicurezza).
  4. Deselezionare la casella di controllo del gruppo di sicurezza predefinito.
  5. Selezionare il gruppo di sicurezza NAT creato in precedenza, quindi selezionare Assign Security Groups (Assegna gruppi di sicurezza).

Attività 4: Avviare le istanze

I seguenti passaggi creano quattro istanze EC2 e decrittografano la password dell’amministratore predefinita generata da Amazon.

  1. Dalla Console di gestione AWS, selezionare EC2.

  2. Dalla dashboard di EC2, selezionare Launch Instance (Avvia istanza).

  3. Selezionare un’immagine e un tipo di istanza della macchina Windows Server.

  4. Nella pagina Configure Instance Details (Configura dettagli istanza), inserire un nome per l’istanza e selezionare il VPC configurato in precedenza.

  5. In Subnet, effettuare le seguenti selezioni per ogni istanza:

    • Host bastion: selezionare la subnet pubblica.
    • Controller di dominio e connettori: selezionare la subnet privata.
  6. In Auto-assign Public IP address (Assegna automaticamente l’indirizzo IP pubblico), effettuare le seguenti selezioni per ogni istanza:

    • Host bastion: selezionare Enable (Abilita).
    • Controller di dominio e connettori: selezionare Use default setting (Usa impostazione predefinita) o Disable (Disabilita).
  7. In Network Interfaces (Interfacce di rete), immettere un indirizzo IP primario all’interno dell’intervallo IP della subnet privata per il controller di dominio e le istanze di Cloud Connector.

  8. Nella pagina Add Storage (Aggiungi spazio di archiviazione), modificare le dimensioni del disco, se necessario.

  9. Nella pagina Tag Instance (Istanza tag), inserire un nome descrittivo per ogni istanza.

  10. Nella pagina Configure Security Groups (Configura gruppi di sicurezza), selezionare Select an existing security group (Seleziona un gruppo di sicurezza esistente) e quindi effettuare le seguenti selezioni per ogni istanza:

    • Host bastion: selezionare il gruppo di sicurezza pubblico.
    • Controller di dominio e connettori cloud: selezionare il gruppo di sicurezza privato.
  11. Controllare le selezioni e quindi selezionare Launch (Avvia).

  12. Creare una nuova coppia di chiavi o selezionarne una esistente. Se si crea una nuova coppia di chiavi, scaricare il file della chiave privata (.pem) e conservalo in un luogo sicuro. È necessario fornire la chiave privata quando si acquisisce la password di amministratore predefinita per l’istanza.

  13. Selezionare Launch Instances (Avvia istanze). Selezionare View Instances (Visualizza istanze) per visualizzare un elenco delle istanze. Attendere che l’istanza appena avviata abbia superato tutti i controlli di stato prima di accedervi.

  14. Acquisire la password di amministratore predefinita per ogni istanza:

    1. Dall’elenco delle istanze, selezionare l’istanza e quindi selezionare Connect (Connetti).
    2. Selezionare Get Password (Ottieni password) e inserire il file della chiave privata (.pem) quando richiesto.
    3. Selezionare Decrypt Password (Decrittografa password). AWS visualizza la password predefinita.
  15. Ripetere i passaggi da 2 a 14 fino a quando non sono state create quattro istanze: un’istanza host bastion nella subnet pubblica e tre istanze nella subnet privata da utilizzare come controller di dominio e due Cloud Connector.

Attività 5: Creare un set di opzioni DHCP

  1. Dalla dashboard del VPC, selezionare DHCP Options Sets (Set di opzioni DHCP).

  2. Inserire le seguenti informazioni:

    • Nome: inserire un nome descrittivo per il set.
    • Nome di dominio: immettere il nome di dominio completo utilizzato quando si configura l’istanza del controller di dominio.
    • Server del nome di dominio: immettere l’indirizzo IP privato assegnato all’istanza del controller di dominio e la stringa AmazonProvidedDNS, separati da virgole.
    • Server NTP: lasciare vuoto questo campo.
    • Server dei nomi NetBIOS: immettere l’indirizzo IP privato dell’istanza del controller di dominio.
    • Tipo di nodo NetBIOS: immettere 2.
  3. Selezionare Yes, Create (Sì, crea).

  4. Associare il nuovo set al VPC:

    1. Dalla dashboard del VPC, selezionare Your VPCs (VPC disponibili), quindi selezionare il VPC configurato in precedenza.
    2. Selezionare Actions > Edit DHCP Options Set (Azioni > Modifica set di opzioni DHCP).
    3. Quando richiesto, selezionare il nuovo set che hai creato e quindi selezionare Save (Salva).

Attività 6: Configurare le istanze

  1. Utilizzando un client RDP, connettersi all’indirizzo IP pubblico dell’istanza host bastion. Quando richiesto, inserire le credenziali per l’account amministratore.

  2. Dall’istanza host bastion, avviare Connessione Desktop remoto e connettersi all’indirizzo IP privato dell’istanza che si desidera configurare. Quando richiesto, inserire le credenziali dell’amministratore per l’istanza.

  3. Per tutte le istanze nella subnet privata, configurare le impostazioni DNS:

    1. Selezionare Start > Pannello di controllo > Rete e Internet > Centro connessioni di rete e condivisione > Modifica impostazioni scheda. Fare doppio clic sulla connessione di rete visualizzata.
    2. Selezionare Properties > Internet Protocol Version 4 (TCP/IPv4) > Properties (Proprietà > Protocollo Internet versione 4 (TCP/IPv4) > Proprietà).
    3. Selezionare Advanced > DNS. Assicurarsi che le seguenti impostazioni siano abilitate e selezionare OK:

      • Registra nel DNS gli indirizzi di questa connessione
      • Utilizza il suffisso DNS di questa connessione nella registrazione DNS
  4. Per configurare il controller di dominio:

    1. Utilizzando Server Manager, aggiungere il ruolo Servizi di dominio Active Directory con tutte le funzionalità predefinite.
    2. Promuovere l’istanza a un controller di dominio. Durante la promozione, abilitare il DNS e utilizzare il nome di dominio specificato al momento della creazione del set di opzioni DHCP. Riavviare l’istanza quando richiesto.
  5. Per configurare il primo Cloud Connector:

    1. Aggiungere l’istanza al dominio e riavviare quando richiesto. Dall’istanza host bastion, riconnettersi all’istanza utilizzando RDP.
    2. Accedere a Citrix Cloud. Selezionare Resource Locations (Posizioni delle risorse) dal menu in alto a sinistra.
    3. Scaricare il Cloud Connector.
    4. Quando richiesto, eseguire il file cwcconnector.exe e fornire le credenziali Citrix Cloud. Seguire la procedura guidata.
    5. Al termine, selezionare Refresh (Aggiorna) per visualizzare la pagina Resource Locations (Posizioni delle risorse). Quando il Cloud Connector è registrato, l’istanza viene visualizzata nella pagina.
  6. Ripetere il passaggio 5 per configurare il secondo Cloud Connector.

Passaggi successivi

Ulteriori informazioni

Ambienti cloud AWS