Citrix Cloud 및 Azure에 대한 하이브리드 네트워킹 구성
이 문서에서는 단일 지역 및 다중Region Azure 및 Citrix Cloud 환경에 대한 아키텍처를 설명합니다. 성공적인 배포를 위해 구현할 수 있는 디자인 고려 사항, 디자인 권장 사항 및 구성 요소를 제공합니다.
단일 지역 배포
Azure 및 Citrix 클라우드 환경을 단일 지역에 배포하는 경우 여러 구독을 사용합니다. 여러 Azure 구독은 정책, 감사 및 구성 요구 사항을 중앙 집중화하기 때문에 사업부에 민첩성을 제공합니다. 따라서 시작 지점으로 Azure에서 Citrix 워크로드에 전용 구독을 사용하는 것이 좋습니다.
아키텍처
이 아키텍처의 Visio 파일을 다운로드합니다.
구성 요소
이 아키텍처는 다음 구성 요소로 구성됩니다.
- AD DS(Active Directory 도메인 Services) 서버 및 사용자 지정 DNS(도메인 이름 시스템) 서버
- 네트워크 보안 그룹
- Azure Network Watcher
- 기본 Azure Virtual Network 경로를 통한 아웃바운드 인터넷
- 온-프레미스 환경에 하이브리드 연결을 위한 Azure ExpressRoute 또는 Azure VPN Gateway
- Azure 프라이빗 엔드포인트
- Azure Files 스토리지 계정 또는 Azure NetApp Files
- Azure Key Vault
- Azure Compute Gallery
자세한 내용은 프로필 스토리지 옵션 비교를 참조 하세요.
또한 이 아키텍처에는 Azure 랜딩 존 내에 다음과 같은 Citrix 구성 요소가 포함됩니다.
Citrix Cloud Connector는 Citrix Cloud와 리소스 위치 간에 연결을 설정합니다.
Citrix VDA(가상 배달 에이전트) 는 앱 또는 데스크톱을 호스트하는 골든 이미지 또는 대상 디바이스에 설치됩니다. 이 에이전트를 사용하여 앱과 데스크톱을 영구 또는 비영구 컴퓨터로 연결, 프로비전 및 오케스트레이션할 수 있습니다. VDA는 Windows Server, Windows 클라이언트 및 Linux OS를 비롯한 물리적 디바이스 또는 가상 디바이스와 호환됩니다.
Citrix 작업 영역 은 사용자에게 정보, 앱 및 기타 콘텐츠에 대한 보안 액세스를 제공하는 클라우드 서비스입니다. Citrix 작업 영역은 Azure 자산과 온-프레미스 자산을 통합하여 사용자가 모든 위치 및 디바이스에서 모든 리소스에 대한 단일 액세스 지점을 가질 수 있도록 합니다.
선택적 Citrix 구성 요소
Azure 랜딩 존 내의 다음 Citrix 구성 요소는 선택 사항입니다. 고급 기능이 필요한 경우 이러한 구성 요소를 고려합니다.
Citrix Federated Authentication Service 는 Windows Server Active Directory 환경에 로그인할 수 있도록 사용자를 위해 인증서를 동적으로 발급합니다. 이 메서드는 스마트 카드를 사용하는 것과 유사합니다. Citrix Federated Authentication Service는 보안 어설션 태그 언어 기반 인증을 사용할 때 Single Sign-On을 사용하도록 설정합니다. Okta 및 Ping과 같은 광범위한 인증 옵션 및 파트너 ID 공급자를 사용할 수 있습니다.
Citrix StoreFront 는 Citrix 작업 영역의 대체 내부 사용자 액세스 지점입니다. StoreFront는 자체 관리되며 여러 온-프레미스 환경 및 Azure 환경에서 리소스를 원활하게 집계합니다. 리프트 앤 시프트 시나리오에서 StoreFront를 사용하여 워크로드를 Azure로 이동하는 동안 기존 Citrix 배포에 대한 사용자 액세스를 유지할 수 있습니다.
Citrix ADC(애플리케이션 배달 컨트롤러) 또는 NetScaler 는 Citrix 작업 영역 및 Citrix 게이트웨이 서비스의 대체 외부 사용자 액세스 지점입니다. Citrix ADC는 외부 연결 및 인증을 위한 보안 프록시를 제공하는 Azure 테넌트 내의 자체 관리형 가상 어플라이언스입니다. Citrix ADC를 StoreFront 또는 작업 영역과 통합할 수 있습니다. 리프트 앤 시프트 시나리오에서 Citrix ADC를 사용하여 워크로드를 Azure로 이동하는 동안 기존 Citrix 배포에 대한 사용자 액세스를 유지합니다.
Citrix 프로비전 은 Azure 테넌트 내에서 배포하여 최대 수천 대의 비영구 컴퓨터를 확장 가능한 배포할 수 있는 네트워크 기반 이미지 관리 솔루션입니다. Citrix 프로비전은 Azure 가상 네트워크를 통해 중앙 집중식 이미지를 스트리밍하여 빠른 업데이트를 제공하고 스토리지 요구 사항을 최소화합니다.
Citrix 앱 계층화 어플라이언스는 관리 콘솔 호스팅하는 앱 계층화 기술의 핵심 구성 요소입니다. 앱 계층을 사용하여 레이어, 레이어 할당 및 이미지 템플릿을 만들고 관리할 수 있습니다. 단일 OS 인스턴스 및 앱 인스턴스를 관리하고 계층에서 이미지를 작성하여 여러 골든 이미지가 있는 환경에서의 노력을 줄일 수도 있습니다.
Citrix 디자인 고려 사항
Citrix 기술에 대한 시스템, 워크로드, 사용자 및 네트워크 지침을 고려합니다. 이 지침은 클라우드 채택 프레임워크 디자인 원칙에 부합합니다.
Azure 솔루션의 Citrix에는 각 사용자, 다양한 프로토콜 및 포트 및 기타 네트워크 고려 사항에 대해 일정량의 처리량이 필요합니다. 재해 복구 시나리오 중에 부하 증가를 처리하려면 Citrix ADC 및 방화벽과 같은 모든 네트워크 어플라이언스의 크기를 적절하게 조정해야 합니다. 자세한 내용은 Azure 관련 고려 사항을 참조 하세요.
네트워크 구분
또한 Azure 네트워크 분할 및 논리적으로 분할된 서브넷에 대한 Citrix 지침을 고려 합니다. 다음 지침을 사용하여 초기 네트워킹을 계획할 수 있습니다.
워크로드 유형별 세그먼트
별도의 단일 세션 및 다중 세션 가상 네트워크 또는 서브넷을 만들어 다른 네트워크 유형의 확장성에 영향을 주지 않고 각 네트워크 유형의 성장을 가능하게 합니다.
예를 들어 VDI(가상 데스크톱 인프라)로 공유 다중 세션 및 단일 세션 서브넷을 채우는 경우 애플리케이션을 지원하는 새 호스팅 단위를 만들어야 할 수 있습니다. 새 호스팅 단위를 사용하려면 애플리케이션 크기 조정을 지원하기 위해 여러 컴퓨터 카탈로그를 만들거나 기존 앱 카탈로그를 새 서브넷으로 마이그레이션해야 합니다.
다중 구독 아키텍처에서 워크로드 구독을 사용하는 경우 Azure 구독 당 VM(가상 머신) 수에 대한 MCS(Citrix Machine Creation Services) 제한을 이해합니다. 가상 네트워크를 디자인할 때와 IP 주소 지정을 계획할 때 이러한 제한을 고려합니다.
테넌트, 사업부 또는 보안 영역별 세그먼트
Citrix 서비스 공급자 아키텍처와 같은 다중 테넌트 배포를 실행하는 경우 네트워크 또는 서브넷 간에 테넌트를 격리하는 것이 좋습니다. 기존 보안 표준에 네트워크 수준에서 특정 격리 요구 사항이 필요한 경우 조직 내에서 별도의 사업부 또는 보안 영역을 격리하는 것이 좋습니다.
워크로드별 네트워크를 넘어 사업부를 분할하는 경우 전체 환경의 복잡성이 증가합니다. 이 메서드가 복잡성을 높일 만한 가치가 있는지 확인합니다. 이 메서드를 규칙이 아닌 예외로 사용하고 올바른 근거 및 예상된 배율로 적용합니다. 예를 들어 표준 단일 세션 VDI 네트워크 이외의 보안 요구 사항을 수용하기 위해 재무를 지원하는 1,000명의 계약자를 위한 네트워크를 만들 수 있습니다.
애플리케이션 보안 그룹을 사용하여 특정 VM만 공유 가상 네트워크의 사업부 애플리케이션 백 엔드에 액세스하도록 허용할 수 있습니다. 예를 들어 마케팅 팀이 다중 서버 VDA 네트워크에서 사용하는 CRM 머신 카탈로그 VM에 대한 CRM(고객 관계 관리) 백 엔드 액세스를 제한할 수 있습니다.
다중Region 배포
여러 지역에 워크로드를 배포하는 경우 각 지역에 허브, 공유 리소스 스포크 및 VDA 스포크를 배포해야 합니다. 구독 모델 및 네트워킹 모델을 신중하게 선택합니다. Citrix 배포 내부 및 외부의 Azure 공간 증가에 따라 모델을 결정합니다.
Citrix 환경에 부정적인 영향을 줄 수 있는 Azure API에 대해 많이 읽고 쓰는 소수의 Citrix 배포 및 기타 리소스가 있을 수 있습니다. 또는 사용 가능한 API 호출을 과도하게 사용하는 여러 Citrix 리소스가 있을 수 있으므로 구독 내의 다른 리소스에 대한 가용성을 줄일 수 있습니다.
대규모 배포의 경우 워크로드를 격리하여 배포를 효과적으로 확장하고 고객의 Citrix 환경에 부정적인 영향을 미치지 않도록 합니다. 다음 아키텍처 다이어그램은 다중Region Azure 및 Citrix Cloud 환경에 있는 단일 지역을 보여 줍니다.
아키텍처
이 아키텍처의 Visio 파일을 다운로드합니다.
Citrix 디자인 권장 사항
대규모 배포에 대한 다음 권장 사항을 고려합니다.
VDA 스포크로 가상 네트워크 피어
대규모 배포의 경우 전용 공유 서비스 및 관리 스포크 만들기 및 VDA 스포크와 직접 피어링합니다. 이 구성은 대기 시간을 최소화하고 허브 네트워크의 네트워킹 제한에 도달하지 못하게 합니다. 다음 점은 이 방법을 보여 줍니다. 이 방법은 이전 다이어그램에 해당합니다.
(A) 허브 가상 네트워크 구성: 허브 가상 네트워크를 방화벽의 중심점으로 사용하고 프레미스 간 네트워크 및 외부 네트워크에 연결합니다.
(B) 공유 리소스 스포크 피어링: 허브 가상 네트워크를 공유 리소스 스포크와 피어링하여 Citrix Cloud Connectors에 443 아웃바운드 연결을 제공해야 합니다.
(C) 공유 리소스 스포크 가상 네트워크: 모든 필수 및 선택적 Citrix 구성 요소를 호스트하고, 공유 리소스 스포크 가상 네트워크에서 프로필 스토리지 계정 및 Azure 컴퓨팅 갤러리와 같은 공유 서비스를 호스트합니다. 대기 시간을 최소화하고 성능을 향상시키려면 이러한 네트워크를 VDA 스포크와 직접 피어합니다.
(D) VDA 워크로드 스포크 구성: VDA 워크로드 스포크에서 VDA만 호스트합니다. VM 및 서비스에서 모든 네트워크 트래픽을 라우팅합니다. 예를 들어 스포크 리소스가 특정 데이터 센터 지역 내에 있는 경우 프로필 트래픽을 공유 리소스 스포크로 직접 라우팅할 수 있습니다. 인터넷 송신, 하이브리드 또는 지역 간 연결과 같이 데이터 센터 지역을 벗어나는 모든 네트워크 트래픽을 허브 가상 네트워크로 라우팅합니다.
(E) 컴퓨팅 갤러리 버전 복제본: 컴퓨팅 갤러리에 유지할 복제본 수를 지정합니다. 다중 VM 배포 시나리오에서 여러 복제본에 VM 배포를 배포합니다. 인스턴스를 만들 때 단일 복제본 오버로드로 인해 제한이 발생하지 않도록 이 방법을 사용합니다.
리소스 제한 사항 이해
Azure에서 대규모 Citrix 관리형 데이터베이스 서비스에 대한 배포를 디자인할 때 Citrix 제한 사항 및 Azure 제한 사항을 이해합니다. 이러한 제한 사항은 Citrix 및 Azure 환경의 디자인, 구성 및 관리에 영향을 줍니다. 또한 가상 데스크톱 및 애플리케이션의 성능, 확장성 및 가용성에도 영향을 줍니다. 제한은 동적이므로 업데이트를 자주 확인합니다. 현재 제한이 요구 사항을 충족하지 않는 경우 Microsoft 및 Citrix 담당자에게 즉시 문의하세요.
참가자
Microsoft에서 이 문서를 유지 관리합니다. 원래 다음 기여자가 작성했습니다.
주요 작성자:
- 벤 마틴 바우어 | 선임 클라우드 엔드포인트 기술 전문가
- Jen Sheerin | 선임 고객 엔지니어
- 라비 바르마 아달라 | 선임 클라우드 솔루션 설계자, Azure Core 인프라
비공개 LinkedIn 프로필을 보려면 LinkedIn에 로그인합니다.
다음 단계
Azure 네트워킹 모범 사례 및 격리, 연결 및 위치 요구 사항에 따라 가상 네트워크를 계획하는 방법에 대한 자세한 내용은 가상 네트워크 계획을 참조하세요.
Azure에서 Citrix 배포와 관련된 관리 및 모니터링에 대한 중요한 디자인 고려 사항 및 권장 사항을 검토합니다.