Configurare reti ibride per Citrix Cloud e Azure

  • Articolo

Questo articolo descrive le architetture per ambienti Azure e Citrix Cloud con una o più aree. Fornisce considerazioni di progettazione, raccomandazioni di progettazione e componenti da implementare per una corretta distribuzione.

Distribuzione in una singola area

Quando si distribuisce l'ambiente Azure e Citrix Cloud in una singola area, usare più sottoscrizioni. Più sottoscrizioni di Azure offrono agilità per le business unit perché centralizzano i requisiti di criteri, controllo e configurazione. Pertanto, come punto di partenza, è consigliabile usare una sottoscrizione dedicata per i carichi di lavoro Citrix in Azure.

Architettura

Diagramma che mostra un'architettura di riferimento delle principali aree di progettazione e delle procedure consigliate per la progettazione in un ambiente con più sottoscrizioni di Azure e Citrix Cloud.

Scaricare un file di Visio di questa architettura.

Componenti

L'architettura è costituita dai componenti seguenti:

  • Guida alla migrazione dei server Active Directory Domain Services (AD DS) e dei server Domain Name System (DNS) personalizzati
  • Gruppi di sicurezza di rete
  • Azure Network Watcher
  • Internet in uscita tramite un percorso di Rete virtuale di Azure predefinito
  • Azure ExpressRoute o Gateway VPN di Azure per la connettività ibrida ad ambienti locali
  • Endpoint privati di Azure
  • Account di archiviazione File di Azure o Azure NetApp Files
  • Azure Key Vault
  • Raccolta di calcolo di Azure

Per altre informazioni, vedere Confrontare le opzioni di archiviazione dei profili.

Questa architettura include anche i seguenti componenti Citrix all'interno della zona di destinazione di Azure:

  • Citrix Cloud Connector stabilisce una connessione tra Citrix Cloud e le posizioni delle risorse.

  • L'Agente di recapito virtuale (Virtual Delivery Agent, VDA di Citrix) viene installato in un'immagine finale o in un dispositivo di destinazione che ospita app o desktop. Questo agente può essere usato per connettersi alle app, effettuare il provisioning e orchestrare app e desktop come computer persistenti o non persistenti. Il VDA è compatibile con dispositivi fisici o virtuali, tra cui Windows Server, client Windows e il sistema operativo Linux.

  • Citrix Workspace è un servizio cloud che fornisce agli utenti l'accesso sicuro alle informazioni, alle app e ad altri contenuti. Citrix Workspace integra le risorse di Azure e le risorse locali in modo che gli utenti abbiano un singolo punto di accesso a tutte le risorse da qualsiasi posizione e da qualsiasi dispositivo.

Componenti Citrix facoltativi

I seguenti componenti Citrix all'interno della zona di destinazione di Azure sono facoltativi. Prendere in considerazione questi componenti se servono funzionalità avanzate.

  • Citrix Federated Authentication Service (Servizio di autenticazione federata Citrix) rilascia in modo dinamico i certificati per gli utenti in modo che possano accedere a un ambiente Active Directory di Windows Server. Questo metodo è simile all'uso di una smart card. Citrix Federated Authentication Service abilita l'accesso Single Sign-On quando si usa l'autenticazione basata su Security Assertion Markup Language. È possibile usare un'ampia gamma di opzioni di autenticazione e provider di identità partner, come ad esempio Okta e Ping.

  • Citrix StoreFront è un punto di accesso utente interno alternativo per Citrix Workspace. StoreFront è autogestito e aggrega facilmente le risorse in più ambienti locali e Azure. È possibile usare StoreFront in uno scenario lift-and-shift per mantenere l'accesso degli utenti alle distribuzioni Citrix esistenti mentre si spostano i carichi di lavoro in Azure.

  • Citrix Application Delivery Controller (ADC) o NetScaler è un punto di accesso utente esterno alternativo per Citrix Workspace e Citrix Gateway Service. Citrix ADC è un'appliance virtuale autogestita all'interno del tenant di Azure che fornisce un proxy sicuro per la connettività esterna e l'autenticazione. È possibile integrare Citrix ADC con StoreFront o Workspace. Usare Citrix ADC in uno scenario lift-and-shift per mantenere l'accesso degli utenti alle distribuzioni Citrix esistenti durante lo spostamento dei carichi di lavoro in Azure.

  • Citrix Provisioning è una soluzione di gestione delle immagini basata sulla rete che è possibile distribuire all'interno del tenant di Azure per abilitare la distribuzione scalabile di un massimo di migliaia di computer non persistenti. Citrix Provisioning trasmette immagini centralizzate in una rete virtuale di Azure, che fornisce aggiornamenti rapidi e riduce al minimo i requisiti di archiviazione.

  • L'appliance Citrix App Layering è il componente centrale della tecnologia App Layering che ospita la console di gestione. È possibile usare App Layering per creare e gestire livelli, assegnazioni di livelli e modelli di immagine. È anche possibile gestire singole istanze del sistema operativo e istanze dell'app e comporre immagini da livelli, riducendo così lo sforzo in ambienti con diverse immagini finali.

Considerazioni relative alla progettazione di Citrix

Prendere in considerazione le linee guida di sistema, carico di lavoro, utente e rete per le tecnologie Citrix. Queste linee guida sono allineate ai principi di progettazione di Cloud Adoption Framework.

La soluzione Citrix in Azure richiede una certa velocità effettiva per ogni utente, vari protocolli e porte e altre considerazioni relative alla rete. È necessario ridimensionare in modo appropriato tutte le appliance di rete, ad esempio Citrix ADC e i firewall, per gestire gli aumenti di carico durante gli scenari di ripristino di emergenza. Per altre informazioni, vedere Considerazioni specifiche di Azure.

Segmentazione di rete

Prendere in considerazione anche le linee guida di Citrix per la segmentazione di rete di Azure e le subnet segmentate logicamente. Usare le linee guida seguenti per pianificare la rete iniziale.

Segmentare in base ai tipi di carico di lavoro

Creare reti virtuali o subnet separate a sessione singola e multisessione per consentire la crescita di ogni tipo di rete senza compromettere la scalabilità dell'altro tipo.

Ad esempio, se si riempie una subnet multisessione condivisa e a sessione singola con l'infrastruttura VDI (Virtual Desktop Infrastructure), potrebbe essere necessario creare una nuova unità di hosting per supportare le applicazioni. Una nuova unità di hosting richiede la creazione di più cataloghi di computer per supportare la scalabilità delle applicazioni o la migrazione dei cataloghi di app esistenti a una nuova subnet.

Se si usano sottoscrizioni del carico di lavoro in un'architettura a più sottoscrizioni, comprendere i limiti di Citrix Machine Creation Services (MCS) per il numero di macchine virtuali (VM) per ogni sottoscrizione di Azure. Prendere in considerazione questi limiti quando si progetta la rete virtuale e quando si pianifica l'indirizzamento IP.

Segmentare in base al tenant, alla business unit o all'area di sicurezza

Se si esegue una distribuzione multi-tenant, ad esempio un'architettura Citrix Service Provider, è consigliabile isolare i tenant tra reti o subnet. Se gli standard di sicurezza esistenti richiedono requisiti di isolamento specifici a livello di rete, prendere in considerazione l'isolamento delle business unit o delle zone di sicurezza separate all'interno dell'organizzazione.

Se si segmentano le business unit oltre le reti specifiche del carico di lavoro, aumenta la complessità di tutto l'ambiente. Determinare se questo metodo vale la maggiore complessità. Usare questo metodo come eccezione anziché la regola e applicarlo con la giustificazione corretta e la scalabilità proiettata. Ad esempio, è possibile creare una rete per 1.000 appaltatori che supportano il finanziamento per soddisfare le esigenze di sicurezza oltre la rete VDI a sessione singola standard.

È possibile usare gruppi di sicurezza delle applicazione per consentire solo a macchine virtuali specifiche di accedere ai back-end dell'applicazione business unit in una rete virtuale condivisa. Ad esempio, è possibile limitare l'accesso back-end CRM (Customer Relations Management) alle macchine virtuali del catalogo di computer CRM usati dal team di marketing nella rete VDA multisessione.

Distribuzione in più aree

Quando si distribuisce il carico di lavoro in più aree, è necessario distribuire hub, spoke di risorse condivise e spoke VDA in ogni area. Selezionare con cura un modello di sottoscrizione e un modello di rete. Determinare i modelli in base alla crescita del footprint di Azure all'interno e all'esterno della distribuzione Citrix.

Si potrebbe avere una distribuzione Citrix di piccole dimensioni e un numero elevato di altre risorse che leggono e scrivono intensamente nell'API di Azure, influendo negativamente sull'ambiente Citrix. In alternativa, potrebbero essere presenti diverse risorse Citrix che utilizzano un numero eccessivo di chiamate API disponibili, riducendo la disponibilità per le altre risorse all'interno della sottoscrizione.

Per le distribuzioni su larga scala, isolare i carichi di lavoro in modo che sia possibile scalare in modo efficace le distribuzioni e impedire un effetto negativo sull'ambiente Citrix del cliente. Il seguente diagramma di architettura mostra una singola area che si trova in un ambiente Azure e Citrix Cloud in più aree.

Architettura

Diagramma che mostra un'architettura di riferimento delle principali aree di progettazione e delle procedure consigliate di progettazione per un ambiente con più sottoscrizioni di Azure e Citrix Cloud su vasta scala.

Scaricare un file di Visio di questa architettura.

Raccomandazioni sulla progettazione di Citrix

Prendere in considerazione le seguenti raccomandazioni per le distribuzioni su larga scala.

Eseguire il peering di reti virtuali con spoke VDA

Per le distribuzioni su larga scala, creare spoke di gestione e servizi condivisi dedicati ed eseguirne il peering diretto con gli spoke VDA. Questa configurazione riduce al minimo la latenza e impedisce di raggiungere i limiti di rete nelle reti hub. I punti seguenti illustrano questo approccio e corrispondono al diagramma precedente.

  • (A) Configurazione della rete virtuale hub: usare la rete virtuale hub come punto centrale per i firewall e la connettività per reti cross-premise ed esterne.

  • (B) Peering dello spoke delle risorse condivise: assicurarsi di eseguire il peering della rete virtuale hub con lo spoke delle risorse condivise per fornire ai Citrix Cloud Connectors la connettività in uscita tramite la porta 443.

  • (C) Reti virtuali dello spoke delle risorse condivise: ospitare tutti i componenti Citrix obbligatori e facoltativi e ospitare servizi condivisi, ad esempio account di archiviazione dei profili e raccolte di calcolo di Azure, nelle reti virtuali dello spoke delle risorse condivise. Per ridurre al minimo la latenza e migliorare le prestazioni, eseguire il peering diretto di queste reti con gli spoke VDA.

  • (D) Configurazione dello spoke dei carichi di lavoro VDA: ospitare solo i VDA negli spoke dei carichi di lavoro VDA. Instradare tutto il traffico di rete da macchine virtuali e servizi. Ad esempio, è possibile instradare il traffico del profilo direttamente a uno spoke di risorse condivise se lo spoke della risorsa si trova all'interno di un'area specifica del data center. Instradare tutto il traffico di rete che lascia l'area del data center, ad esempio il traffico Internet in uscita, la connettività ibrida o quella tra più aree, alla rete virtuale hub.

  • (E) Repliche delle versioni della raccolta di calcolo: specificare il numero di repliche che si desidera mantenere nella Raccolta di calcolo. Negli scenari di distribuzione con più macchine virtuali, distribuire le distribuzioni di macchine virtuali tra repliche diverse. Usare questo approccio in modo che, quando si crea un'istanza, non si verifichi la limitazione dovuta all'overload di una singola replica.

Informazioni sulle limitazioni delle risorse

Quando si progetta una distribuzione per un servizio di database gestito da Citrix su larga scala in Azure, comprendere le limitazioni di Citrix e le limitazioni di Azure. Queste limitazioni influiscono sulla progettazione, la configurazione e la gestione degli ambienti Citrix e Azure. Influiscono anche sulle prestazioni, la scalabilità e la disponibilità di desktop virtuali e applicazioni. I limiti sono dinamici, quindi verificare frequentemente la disponibilità di aggiornamenti. Se i limiti correnti non soddisfano le proprie esigenze, contattare tempestivamente i rappresentanti di Microsoft e Citrix.

Collaboratori

Questo articolo viene gestito da Microsoft. Originariamente è stato scritto dai seguenti contributori.

Autori principali:

Per visualizzare i profili LinkedIn non pubblici, accedere a LinkedIn.

Passaggi successivi

Per altre informazioni sulle procedure consigliate di rete di Azure e su come pianificare le reti virtuali in base ai requisiti di isolamento, connettività e posizione, vedere Pianificare le reti virtuali.

Esaminare le considerazioni e le raccomandazioni di progettazione critiche per la gestione e il monitoraggio specifici della distribuzione di Citrix in Azure.