Changes for page Comment remonter une infrastructure Citrix dans Flexible Engine

Last modified by Equipe Opération on 14 - 01 - 2019

From version < 1.2 >

edited by Equipe Opération
on 24 - 09 - 2018

To version < 2.1 >

edited by Equipe Opération
on 25 - 09 - 2018

Change comment: There is no comment for this version

Raw
Rendered

Summary

Page properties (1 modified, 0 added, 0 removed)

Details

Page properties

Content

@@ -1,0 +1,254 @@
++{{box cssClass="floatinginfobox" title="**Table des matières**" width="50%"}}
++{{toc start=1 depth=6 numbered=true scope=page/}}
++{{/box}}
++
++= Synthèse du besoin =
++
++Le besoin est de reconstruire une infrastructure fournissant les services de bureau XenDesktop ou XenApp Citrix dans Flexible Engine.
++
++Les mécanismes de provisionning standard PVS et MCS ne peuvent fonctionner dans un Cloud public comme Flexible Engine.
++
++Comment donc fournir le service de ferme Citrix  ?
++
++== Cas de MCS ==
++
++MCS ne peut fonctionner car les API de Flexible Engine pour la fourniture de machine ne sont pas prises en charge par les applications Citrix. MCS requérant d'effectuer lui même le provisionning d'instance.
++
++== Cas de PVS ==
++
++Le mécanisme de création des images PVS demande de spécifier à l'avance les adresses MAC des interfaces des machines provisionnées.
++
++Qui plus est, lors de la création du VDisk, le mécanisme de l'optimisation de l'image Citrix rends l'OS non-démarrable.
++
++Si ce n'est pour cette partie Système d'exploitation, le reste de mécanisme est fonctionnel : Boot Device Manager tourne et va bien télécharger l'OS depuis le serveur PVS et le lance.
++
++(% class="box" id="HConclusion" %)
++(((
++Il est donc impossible d'utiliser les mécanismes natifs de Citrix pour la gestion du provisionning de machines dans Flexible Engine.
++)))
++
++= Préambule =
++
++Lors de la définition d'un PRA, il faut :
++
++* (% style="background-color:null" %)Procéder à la création d'un nouveau catalogue de machines.
++** (% style="background-color:null" %)Cela résout la problématique de ne pas impacter la production Client en mettant en service un groupe de machines parallèle.
++* Procéder à la création d'une image (ou de plusieurs images) de machine Citrix dédiée au PRA.
++** Cette machine peut intégrer des applications de plusieurs catalogues d'Application différents existants.
++* Définir un nombre de machines de ferme (instances remontées à partir de l'image PRA) et un nom pour chacune d'entre elle.
++** Dans le cadre d'une bascule en réel et une montée en charge du nombre d'instances, seule la génération du compte de machine dans l'AD et du BLOB correspondant sont à effectuer.
++
++= Méthode de fourniture de service =
++
++Afin de fournir le service de remontée de fermes Citrix, il faut donc gérer un provisionning spécifique et afin de faciliter la mise en place des instances finales, il faut disposer des éléments suivants :
++
++* Un OS déjà prêt à tourner dans le cloud Flexible Eng(% style="background-color:null" %)ine sur lequel un processus de Sysprep est(%%) appliqué.
++** Nuabee met à disposition une instance Windows Server pour que le client y installe les applications nécessaires à son PRA.
++* La création du compte de machine et le BLOB (charge utile binaire) de jointure Hors Ligne au domaine.
++* Le catalogue de machine référençant les comptes de machines pré-enregistrées dans l'AD.
++* (% style="background-color:null" %)Lors du lancement de chaque instance, lancer un script de jointure Hors Ligne au domaine prenant en compte le BLOB approprié au nom de la machine. (processus Nuabee interne)
++
++(% style="page-break-before:always" %)
++== Préparation coté client en vue de l'intégration des Machines ==
++
++=== Insertion de l'image Publique dans l'infrastructure ===
++
++Nuabee communique au client une note sécurisée incluant :
++
++* Les urls de téléchargement des images Windows Server au format VMDK
++* Les logins et mots de passe du compte Administrateur de ces images.
++
++Ces disques virtuels sont à importer dans l'infrastructure du Client vous la forme de machines virtuelles
++
++* Pour l'image Windows 2008-R2, penser à sélectionner le disque VMDK et utiliser une connexion IDE.
++* Pour l'image Windows 2012-R2 et 2016, utiliser une connexion SCSI.
++
++Cette machine virtuelle primaire jouera le rôle de "golden image" dans le cadre du PRA.
++
++
++==== Installation du Virtual Delivery Agent sur la machine "Maître" ====
++
++Sur la machine que vous venez d'ajouter à votre infrastructure, lancer l'installateur du VDA et sélectionnez "Activer les connexions vers une machine Serveur", ne pas passer par l'étape de création de Master Image via Citrix.
++
++[[image:image-20180913152840-1.png||height="598" width="800"]]
++
++(% class="wikigeneratedid" %)
++Indiquez ensuite le(s) contrôleur(s) Citrix vers lequel(s) les machines devront pointer.
++
++
++(% style="page-break-before:always" %)
++==== Création OU AD pour la golden image ====
++
++La création d'une OU (Organizational Unit) spécifique pour ces machines est nécessaire afin de pouvoir changer le paramètre de durée de validité des comptes de machines générés afin de désactiver ce paramètre (ou d'en augmenter la durée à 1 an minimum) pour les machines de ferme.
++
++[[https:~~/~~/docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/domain-member-maximum-machine-account-password-age>>url:https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/domain-member-maximum-machine-account-password-age]]
++
++===== Best Practices =====
++
++>Some organizations pre-build computers and then store them for later use or ship them to remote locations. When a computer starts after being offline more than 30 days, the Netlogon service will notice the password age and initiate a secure channel to a domain controller to change it. If the secure channel cannot be established, the computer will not authenticate with the domain. For this reason, some organizations might want to create a special organizational unit (OU) for computers that are prebuilt, and configure the value for this policy setting to a larger number of days.
++
++===== Localisation de la GPO =====
++
++Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
++
++Vous avez deux options :
++
++1. Placer les durées de validité à 0 pour désactiver la fonctionnalité de renouvellement dans cette OU
++1. Placer à une durée au terme de laquelle à laquelle un renouvellement des fichiers BLOB d'identification est à prévoir avec Nuabee en fonction des prérequis de sécurité du client.
++
++(% style="page-break-before:always" %)
++=== Machine Catalog et Delivery Group ===
++
++Le mécanisme de Nuabee implique de créer en parallèle de l'environnement Citrix de production, un nouveau "machine catalog" et un nouveau "delivery group".
++
++La création du machine catalog implique l'utilisation d'une "Autre technologie de provisionning" et de considérer les machines remontées 'du point de vue Citrix) comme machines physiques.
++
++[[image:2018-09-13 14_50_42-1 245 309 528 - TeamViewer.png||height="584" width="808"]]
++
++Dans un premier temps, l'image Windows fournie par Nuabee est lancée sur l'infrastructure du client, jointe au domaine Client et ajoutée au "machine catalog" de PRA (ceci requière l'installation du Virtual Delivery Agent).
++
++Ensuite, le client doit personnaliser sa machine avec les programmes dont il a besoin dans un contexte de PRA.
++
++Finalement, il lui faudra enregistrer les programmes nécessaires dans le "delivery group" du PRA.
++
++**Nota **: si le Client souhaite définir plusieurs modèles de "delivery group", l'idée reste d'avoir un seule image de machine.
++
++(% style="page-break-before:always" %)
++=== Création des BLOB de compte machine dans l'AD ===
++
++Les machines de la ferme disposeront d'un nombre et nommage prédéfini afin de permettre la création à l'avance des comptes de machines des instances dans l'Active Directory du client.
++
++==== Commande de création ====
++
++La création de ces comptes de machine s'accompagne de la génération d'un BLOB pour chaque compte, permettant aux instances de ferme de joindre le domaine dans l'OU appropriée et de remonter dans le catalogue des machines Citrix.
++
++{{code}}
++djoin /provision /domain domain.fr /machine Ferme-0001 /machineOU "OU=FermePRA,OU=Serveurs CITRIX,OU=Serveurs,DC=Domain,DC=fr" /savefile C:\blobFerme-0001.txt
++
++{{/code}}
++
++(% class="wikigeneratedid" id="H" %)
++Les BLOBs sont à communiquer à Nuabee pour permettre le lancement des instances dans le Cloud.
++
++(% class="wikigeneratedid" %)
++La jointure hors ligne à l'AD est nécessaire, sinon une dissonance interne à la VM remontée l'empêche de communiquer proprement avec le contrôleur de domaine.
++
++(% class="wikigeneratedid" %)
++[[image:trust rel bug2.png||height="449" width="750"]]
++
++(% style="page-break-before:always" %)
++=== Mise à jour Machine Catalog PRA ===
++
++Ayant ajouté les comptes de machines au domaine, il faut désormais les ajouter au "machine catalog" du PRA, in fine, un PRA comportant 4 machines de ferme se présentera ainsi dans votre Citrix Studio.
++
++[[image:image-20180820184142-1.png||height="218" width="1243"]]
++
++=== Personnalisation ===
++
++Le client est maintenant libre d'installer les logiciels dont il aura besoin pour fournir le service auprès de ses utilisateurs.
++
++A la fin de cette étape, éteindre la machine, effectuer un snapshot une fois celle-ci éteinte et la redémarrer.
++
++(% style="page-break-before:always" %)
++=== Export de l'instance Maître ===
++
++Afin de permettre à Nuabee de lancer les machines dans le cloud Flexible Engine, il est nécessaire de préparer une image déployable et dont le Sysprep a été effectué.
++
++Ce Sysprep exécute un fichier unattend.xml déjà présent dans les images disques fournies par Nuabee, celui-ci indiquant 2 choses:
++
++* L'instruction de ne pas indiquer de prompt EULA lors du redémarrage.
++* Le fichier de script afin de joindre automatiquement le domaine lors du lancement de la machine de ferme.
++
++(% class="wikigeneratedid" style="page-break-before:always" %)
++====   ====
++
++(% style="page-break-before:always" %)
++==== Contenu du fichier Sysprep ====
++
++{{code}}
++
++<unattend xmlns="urn:schemas-microsoft-com:unattend">
++  <settings pass="generalize">
++    <component name="Microsoft-Windows-PnpSysprep" processorArchitecture="amd64" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
++      <PersistAllDeviceInstalls>true</PersistAllDeviceInstalls>
++    </component>
++  </settings>
++  <settings pass="oobeSystem">
++    <component name="Microsoft-Windows-Shell-Setup" processorArchitecture="amd64" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State">
++      <OOBE>
++        <HideEULAPage>true</HideEULAPage>
++        <NetworkLocation>Work</NetworkLocation>
++        <ProtectYourPC>1</ProtectYourPC>
++        <SkipMachineOOBE>true</SkipMachineOOBE>
++        <SkipUserOOBE>true</SkipUserOOBE>
++      </OOBE>
++    </component>
++  </settings>
++  <settings pass="specialize">
++    <component name="Microsoft-Windows-Deployment" processorArchitecture="amd64" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
++      <RunSynchronous>
++        <RunSynchronousCommand wcm:action="add">
++          <Order>1</Order>
++          <Path>cmd.exe /c ""C:\Program Files\Cloudbase Solutions\Cloudbase-Init\Python\Scripts\cloudbase-init.exe" --config-file "C:\Program Files\Cloudbase Solutions\Cloudbase-Init\conf\cloudbase-init-unattend.conf" &amp;&amp; exit 1 || exit 2"</Path>
++          <Description>Run Cloudbase-Init to set the hostname</Description>
++          <WillReboot>OnRequest</WillReboot>
++        </RunSynchronousCommand>
++      </RunSynchronous>
++    </component>
++  </settings>
++</unattend>
++{{/code}}
++
++(% class="wikigeneratedid" %)
++====   ====
++
++==== Commande Sysprep ====
++
++{{code}}
++cd "C:\Program Files\Cloudbase Solutions\Cloudbase-Init\conf"
++C:\Windows\System32\Sysprep\Sysprep.exe /generalize /oobe /shutdown /unattend:Unattend.xml
++{{/code}}
++
++Une fois l'OS arrêté, il faut
++
++1. exporter la machine sous format OVF
++1. envoyer son disque dur virtuel (fichier VMDK, QCOW2, VHD) à Nuabee pour que nous le chargions en tant qu'Image cloud.
++1. envoyer les BLOBs de comptes de machines à Nuabee.
++
++
++(% style="page-break-before:always" %)
++== Exécution côté Nuabee ==
++
++=== Démarrage des instances ===
++
++Lors de la préparation d'une instance de machine de ferme, il est nécessaire d'injecter un script Cloud-init PowerShell utilisant le BLOB approprié au nom de l'instance, (généré au préalable) et permettant la jointure de l'instance au domaine en mode "hors ligne":
++
++{{code}}
++#ps1_sysnative
++$djoin_blob = "Blob correspondant au bon nom dans l'AD"
++
++$djoin_blob_path = [System.IO.Path]::GetTempFileName()
++[io.file]::WriteAllText($djoin_blob_path, $djoin_blob, [System.Text.Encoding]::Unicode)
++
++& djoin /requestodj /loadfile $djoin_blob_path /windowspath $ENV:SystemRoot /localos
++if($lastexitcode) { throw "Active Directory offline domain join failed"}
++
++del $djoin_blob_path
++Restart-Computer
++{{/code}}
++
++(% class="wikigeneratedid" %)
++Le redémarrage final est nécessaire afin d'appliquer les paramètres de domaine à l'instance.
++
++(% style="page-break-before:always" %)
++= Entretien de la machine source et transfert =
++
++La procédure de gestion de l'image source coté client se décompose de la manière suivante pour chaque Golden Image :
++
++1. Personnaliser l'image
++1. Eteindre la machine virtuelle
++1. **Effectuer un snapshot** de la machine virtuelle afin de pouvoir revenir sur la machine une fois la procédure terminée.
++1. Rallumer la machine et effectuer le sysprep (la machine s'éteint automatiquement à la fin de celui-ci)
++1. Une fois la VM éteinte, exporter en tant qu'OVF
++1. Envoyer le résultat de l'export à Nuabee via une procédure sécurisée (par exemple via [[https:~~/~~/syncthing.net/>>url:https://syncthing.net/]])
++1. **Revenir sur le snapshot** avant Sysprep

Changes for page Comment remonter une infrastructure Citrix dans Flexible Engine

Summary

Details

Navigation

Search

Choix de la langue