Azure RemoteApp – déploiement en mode hybride – partie 2 – connexion VPN site à site

Azure RemoteApp est un nouveau service présenté en mai 2014 lors de TechEd North America. C’est un service permettant d’exécuter des applications Windows dans le Cloud et d’y accéder depuis n’importe quel périphérique (PC/tablette Windows, Mac, iPad, IPhone, Android, Windows Phone /RT). En version simple : c’est du RDSH dans le Cloud !

La première partie de cette série d’article est ici : https://blogs.technet.com/b/stanislas/archive/2014/08/05/azure-remoteapp-d-233-ploiement-en-mode-hybride-partie-1-introduction-et-cr-233-ation-du-service-remoteapp.aspx

Cette seconde partie d’une série d’articles destinée à vous aider à mettre en œuvre Azure RemoteApp en mode hybride concerne l’interconnexion réseau entre le Vnet Azure RemoteApp et le réseau sur site de l’entreprise.

Se connecter en compte administrateur de l’abonnement Azure et aller dans les propriétés du déploiement hybride RemoteApp fait précédemment.

Création du VNet dédié aux instances serveurs Azure RemoteApp

Cliquer sur Link a remote virtual network

Cliquer sur Create a new RemoteApp virtual network

Donner un nom explicite et choisir la région (Datacenter Azure) dans lequel seront exécutés les Azure RemoteApp

Donner le plan d’adressage du VNet dédié aux Azure Remote App (ici : 10.30.0.0/16) ainsi que le plan d’adressage du réseau d’entreprise (généralement le plan d’adressage IP on-premise, là où sont les contrôleurs de domaine Active Directory. ici : 10.20.0.0/16)

Avant de passer à l’étape suivante, il faut connaître l’adresse IP publique de la passerelle VPN du Datacenter de l’entreprise.

Note : ici, mon réseau on-premise est constitué de 2 VNets dans Windows Azure (qui simule 2 Datacenters sur site). Pour cette configuration je vais donc établir un VPN site à site entre mon VNet aux USA (reseau-demor2estusa) et le VNet Azure RemoteApp. L’adresse IP de la passerelle VPN de mon infrastructure sur site est visible dans les propriétés du VNet

Mettre les informations concernant l’adresse IP de la passerelle VPN sur site, ainsi que les adresses des DNS sur site (généralement les adresses des contrôleurs de domaine Active Directory)

La création du VNet Azure RemoteApp est déclenché et peut prendre plusieurs dizaines de minutes (cela inclus le provisionning d’une Azure Gateway)

Quand le provisionning est terminé, tous les blocs de l’étape sont au vert et le premier à une coche verte signifiant que ce bloc est fini d’être configuré.

Le bloc Get script permet de télécharger un modèle de fichier de configuration pour configurer la passerelle VPN sur site (ceci est bien connu des administrateurs réseau ayant déjà établi un VPN site à site).

Pour alimenter les informations de ce fichier de configuration ou pour simplement configurer la passerelle VPN sur site, il faut connaître les informations relatives à la Azure Gateway déployée par Azure RemoteApp. Pour cela, il est possible d’aller dans l’onglet Virtual Network de l’interface d’administration d’Azure RemoteApp

Ainsi il est possible d’obtenir l’adresse IP publique de la passerelle ainsi que la clé partagée à utiliser sur les 2 passerelles VPN

Dans ma plateforme, le réseau sur site est constitué de 2 VNet déjà interconnectés en VPN site à site (USA et Irlande). Depuis mai 2014, il est possible d’interconnecter plusieurs réseaux à un même passerelle mais cela doit se faire en modifiant le fichier XML de la configuration du VNet. Ici, j’ai ajouté une section décrivant la présence d’un autre VNet distant à interconnecter avec cette passerelle

L’interface VPN site à site de Microsoft Azure se trouve ainsi modifiée en cas de multiples tunnels VPN depuis une même passerelle

Ici j’ai positionné la clé partagée utilisée par la Azure Gateway des Azure RemoteApp sur ma passerelle VPN (sur site)

Le tunnel est établi entre le VNet sur site et le VNet Azure RemoteApp

 

Paramétrage de l’intégration à l’Active Directory

Dans un déploiement Azure RemoteApp hybride, c’est l’IT de l’entreprise qui va créer puis uploader les images des serveurs RDSH (sous la forme de fichier de machines virtuelles au format VHD) exécutant les applications distantes. Afin de permettre à ces applications d’entreprises d’accéder aux ressources internes via le VPN, ces machines vont être intégrées en tant que serveurs membres de l’Active Directory.

Reste à préciser le nom du domaine Active Directory sur site, une unité organisationnelle (dans laquelle seront créés les comptes ordinateurs des serveurs RDSH d’Azure Remote App) ainsi qu’un compte de service ayant comme privilèges le droit d’ajouter des comptes machines dans l’OU définie précédemment.

Prochaine étape : La création du modèle de machine virtuelle Remote Desktop Server Host

Vous êtes professionnel et légitimement vous vous posez des questions sur le Cloud, Windows Azure, Hyper-V, Windows Server, l’évolution du datacenter vers un cloud privé ou hybride alors pour en savoir plus, n’hésitez pas à suivre les sessions gratuites de formation de la Microsoft Virtual Academy : https://www.microsoftvirtualacademy.com/

Pour évaluez gratuitement Windows Azure : https://azure.microsoft.com/fr-fr/pricing/free-trial/

- Stanislas Quastana -