Konfigurowanie sieci hybrydowej dla rozwiązań Citrix Cloud i Azure

  • Artykuł

W tym artykule opisano architektury dla środowisk platformy Azure i chmury Citrix w jednym regionie i w wielu regionach. Zawiera on zagadnienia dotyczące projektowania, rekomendacje projektowe i składniki, które można zaimplementować na potrzeby pomyślnego wdrożenia.

Wdrażanie w jednym regionie

Podczas wdrażania środowiska azure i Citrix Cloud w jednym regionie użyj wielu subskrypcji. Wiele subskrypcji platformy Azure zapewnia elastyczność dla jednostek biznesowych, ponieważ centralizują one wymagania dotyczące zasad, inspekcji i konfiguracji. Dlatego jako punkt wyjścia zalecamy użycie dedykowanej subskrypcji dla obciążeń Citrix na platformie Azure.

Architektura

Diagram przedstawiający architekturę referencyjną głównych obszarów projektowych i najlepsze rozwiązania projektowe w środowisku wielosubskrypcyjnym platformy Azure i citrix Cloud.

Pobierz plik programu Visio z tą architekturą.

Składniki

Ta architektura składa się z następujących składników:

  • serwery usług domena usługi Active Directory (AD DS) i niestandardowe serwery systemu nazw domen (DNS)
  • Sieciowe grupy zabezpieczeń
  • Azure Network Watcher
  • Wychodzący Internet za pośrednictwem domyślnej ścieżki usługi Azure Virtual Network
  • Usługa Azure ExpressRoute lub usługa Azure VPN Gateway na potrzeby łączności hybrydowej ze środowiskami lokalnymi
  • Prywatne punkty końcowe platformy Azure
  • Konta magazynu usługi Azure Files lub Usługa Azure NetApp Files
  • Azure Key Vault
  • Azure Compute Gallery

Aby uzyskać więcej informacji, zobacz Porównanie opcji magazynu profilów.

Ta architektura obejmuje również następujące składniki Citrix w strefie docelowej platformy Azure:

  • Łącznik Citrix Cloud Connector ustanawia połączenie między usługą Citrix Cloud i lokalizacjami zasobów.

  • Agent usługi Citrix Virtual Delivery Agent (VDA) jest instalowany na złotym obrazie lub urządzeniu docelowym hostujących aplikacje lub komputery stacjonarne. Ten agent może służyć do nawiązywania połączenia z aplikacjami i pulpitami oraz aprowizowania ich oraz organizowania ich jako trwałych lub nietrwalnych maszyn. VDA jest zgodna z urządzeniami fizycznymi lub urządzeniami wirtualnymi, w tym z systemem operacyjnym Windows Server, klientem systemu Windows i systemem operacyjnym Linux.

  • Citrix Workspace to usługa w chmurze, która zapewnia użytkownikom bezpieczny dostęp do informacji, aplikacji i innej zawartości. Obszar roboczy Citrix integruje zasoby platformy Azure i zasoby lokalne, dzięki czemu użytkownicy mają pojedynczy punkt dostępu do wszystkich swoich zasobów z dowolnej lokalizacji i na dowolnym urządzeniu.

Opcjonalne składniki Citrix

Następujące składniki Citrix w strefie docelowej platformy Azure są opcjonalne. Rozważ te składniki, jeśli potrzebujesz zaawansowanych funkcji.

  • Usługa uwierzytelniania federacyjnego Citrix dynamicznie wystawia certyfikaty dla użytkowników, aby mogli zalogować się do środowiska usługi Active Directory systemu Windows Server. Ta metoda jest podobna do użycia karty inteligentnej. Usługa Citrix Federated Authentication Service umożliwia logowanie jednokrotne podczas korzystania z uwierzytelniania opartego na języku Security Assertion Markup Language. Możesz użyć szerokiej gamy opcji uwierzytelniania i dostawców tożsamości partnerów, takich jak Okta i Ping.

  • Citrix StoreFront to alternatywny wewnętrzny punkt dostępu użytkownika dla obszaru roboczego Citrix. Usługa StoreFront jest zarządzana samodzielnie i bezproblemowo agreguje zasoby w wielu środowiskach lokalnych i środowiskach platformy Azure. Usługę StoreFront można użyć w scenariuszu "lift-and-shift", aby zachować dostęp użytkowników do istniejących wdrożeń Citrix podczas przenoszenia obciążeń na platformę Azure.

  • Citrix Application Delivery Controller (ADC) lub NetScaler to alternatywny zewnętrzny punkt dostępu użytkownika dla obszaru roboczego Citrix i usługi Citrix Gateway Service. Citrix ADC to samozarządzane urządzenie wirtualne w ramach dzierżawy platformy Azure, które zapewnia bezpieczny serwer proxy na potrzeby łączności zewnętrznej i uwierzytelniania. Możesz zintegrować aplikację Citrix ADC z aplikacją StoreFront lub obszarem roboczym. Użyj usługi Citrix ADC w scenariuszu lift-and-shift, aby zachować dostęp użytkowników do istniejących wdrożeń Citrix podczas przenoszenia obciążeń na platformę Azure.

  • Citrix Provisioning to oparte na sieci rozwiązanie do zarządzania obrazami, które można wdrożyć w dzierżawie platformy Azure, aby umożliwić skalowalne wdrożenie nawet tysięcy nietrwale maszyn. Usługa Citrix Provisioning przesyła strumienie scentralizowane obrazy za pośrednictwem sieci wirtualnej platformy Azure, która zapewnia szybkie aktualizacje i minimalizuje wymagania dotyczące magazynu.

  • Urządzenie Citrix App Layering jest centralnym składnikiem technologii warstw aplikacji hostujących konsolę zarządzania. Warstwy aplikacji umożliwiają tworzenie warstw, przypisań warstw i szablonów obrazów oraz zarządzanie nimi. Możesz również ułatwić zarządzanie pojedynczymi wystąpieniami systemu operacyjnego i wystąpieniami aplikacji oraz tworzenie obrazów z warstw, co zmniejsza nakład pracy w środowiskach z kilkoma złotymi obrazami.

Zagadnienia dotyczące projektowania citrix

Weź pod uwagę wskazówki dotyczące systemu, obciążenia, użytkownika i sieci dla technologii Citrix. Te wskazówki są zgodne z zasadami projektowania przewodnika Cloud Adoption Framework.

Rozwiązanie Citrix na platformie Azure wymaga pewnej przepływności dla każdego użytkownika, różnych protokołów i portów oraz innych zagadnień dotyczących sieci. Aby obsługiwać wzrost obciążenia podczas scenariuszy odzyskiwania po awarii, należy odpowiednio rozmieścić wszystkie urządzenia sieciowe, takie jak Citrix ADC i zapory. Aby uzyskać więcej informacji, zobacz Zagadnienia specyficzne dla platformy Azure.

Segmentacja sieci

Należy również wziąć pod uwagę wskazówki firmy Citrix dotyczące segmentacji sieci platformy Azure i podsieci segmentowanych logicznie. Skorzystaj z poniższych wskazówek, aby zaplanować początkową sieć.

Segmentowanie według typów obciążeń

Utwórz oddzielne sieci wirtualne z jedną sesją i wieloma sieciami wirtualnymi lub podsieciami, aby umożliwić rozwój każdego typu sieci bez wpływu na skalowalność innego typu sieci.

Na przykład w przypadku wypełnienia udostępnionej wielosieci i podsieci pojedynczej sesji za pomocą infrastruktury pulpitu wirtualnego (VDI) może być konieczne utworzenie nowej jednostki hostingu w celu obsługi aplikacji. Nowa jednostka hostingu wymaga utworzenia wielu katalogów maszyn w celu obsługi skalowania aplikacji lub migracji istniejących wykazów aplikacji do nowej podsieci.

Jeśli używasz subskrypcji obciążeń w architekturze wielosubskrypcyjnej, zapoznaj się z limitami usług Citrix Machine Creation Services (MCS) dla liczby maszyn wirtualnych na subskrypcję platformy Azure. Podczas projektowania sieci wirtualnej i planowania adresowania IP należy wziąć pod uwagę te limity.

Segmentuj według dzierżawy, jednostki biznesowej lub strefy zabezpieczeń

Jeśli uruchamiasz wdrożenie wielodostępne, takie jak architektura dostawcy usług Citrix, zalecamy izolowanie dzierżaw między sieciami lub podsieciami. Jeśli istniejące standardy zabezpieczeń wymagają określonych wymagań dotyczących izolacji na poziomie sieci, rozważ izolowanie oddzielnych jednostek biznesowych lub stref zabezpieczeń w organizacji.

W przypadku segmentowania jednostek biznesowych poza sieciami specyficznymi dla obciążenia złożoność całego środowiska zwiększa się. Ustal, czy ta metoda jest warta zwiększonej złożoności. Użyj tej metody jako wyjątku, a nie reguły, i zastosuj ją z odpowiednim uzasadnieniem i przewidywanym skalowaniem. Można na przykład utworzyć sieć dla 1000 wykonawców, którzy obsługują finanse w celu zaspokojenia potrzeb związanych z bezpieczeństwem poza standardową siecią VDI jednej sesji.

Za pomocą grup zabezpieczeń aplikacji można zezwolić tylko określonym maszynom wirtualnym na dostęp do zapleczy aplikacji jednostki biznesowej w udostępnionej sieci wirtualnej. Możesz na przykład ograniczyć dostęp zaplecza do zarządzania relacjami z klientami (CRM) do maszyn wirtualnych katalogu maszyn CRM używanych przez zespół ds. marketingu w sieci VDA z wieloma wersjami.

Wdrożenie w wielu regionach

Podczas wdrażania obciążenia w wielu regionach należy wdrożyć koncentratory, szprychy zasobów udostępnionych i szprychy VDA w każdym regionie. Starannie wybierz model subskrypcji i model sieci. Określ modele na podstawie wzrostu zużycia zasobów platformy Azure wewnątrz wdrożenia citrix i poza nim.

Może istnieć małe wdrożenie citrix i duża liczba innych zasobów, które odczytują i zapisują mocno względem interfejsu API platformy Azure, co może negatywnie wpłynąć na środowisko Citrix. Alternatywnie możesz mieć kilka zasobów Citrix, które zużywają nadmierną liczbę dostępnych wywołań interfejsu API, co zmniejsza dostępność innych zasobów w ramach subskrypcji.

W przypadku wdrożeń na dużą skalę izoluj obciążenia, aby efektywnie skalować wdrożenia w poziomie i zapobiegać negatywnemu wpływowi na środowisko Citrix klienta. Na poniższym diagramie architektonicznym przedstawiono pojedynczy region, który znajduje się w wielu regionach platformy Azure i środowiska Citrix Cloud.

Architektura

Diagram przedstawiający architekturę referencyjną głównych obszarów projektowych i najlepsze rozwiązania dotyczące projektowania dla środowiska wieloskrypcji platformy Azure i citrix Cloud na dużą skalę.

Pobierz plik programu Visio z tą architekturą.

Zalecenia dotyczące projektowania citrix

Rozważ następujące zalecenia dotyczące wdrożeń na dużą skalę.

Komunikacja równorzędna sieci wirtualnych z szprychami VDA

W przypadku wdrożeń na dużą skalę utwórz dedykowaną usługę udostępnioną i szprychy zarządzania oraz bezpośrednio za pomocą komunikacji równorzędnej z szprychami VDA. Ta konfiguracja minimalizuje opóźnienia i uniemożliwia osiągnięcie limitów sieci w sieciach piasty. Poniższe kwestie ilustrują to podejście i odpowiadają powyższemu diagramowi.

  • (A) Konfiguracja sieci wirtualnej koncentratora: użyj sieci wirtualnej koncentratora jako punktu centralnego dla zapór i łączności dla sieci obejmujących wiele lokalizacji i sieci zewnętrznych.

  • (B) Komunikacja równorzędna współużytkowanego zasobu szprychy: upewnij się, że łączysz sieć wirtualną centrum z udostępnioną szprychą, aby zapewnić łączniki Citrix Cloud Connector z łącznością wychodzącą 443.

  • (C) Sieci wirtualne będące szprychami zasobów udostępnionych: Hostuj wszystkie wymagane i opcjonalne składniki Citrix oraz hostuj usługi udostępnione, takie jak konta magazynu profilów i galerie obliczeniowe platformy Azure, w udostępnionych sieciach wirtualnych szprych zasobów. Aby zminimalizować opóźnienia i zwiększyć wydajność, należy połączyć te sieci bezpośrednio z szprychami VDA.

  • (D) Konfiguracja szprych obciążeń VDA: Hostuj tylko wirtualne kontrolery w szprychach obciążeń VDA. Kierowanie całego ruchu sieciowego z maszyn wirtualnych i usług. Na przykład możesz kierować ruch profilu bezpośrednio do szprychy zasobu udostępnionego, jeśli szprycha zasobu znajduje się w określonym regionie centrum danych. Kierowanie całego ruchu sieciowego, który opuszcza region centrum danych, takich jak ruch wychodzący z Internetu, łączność hybrydowa lub między regionami, do sieci wirtualnej koncentratora.

  • (E) Repliki wersji galerii obliczeniowej: określ liczbę replik, które mają być zachowywane w galerii obliczeniowej. W scenariuszach wdrażania z wieloma maszynami wirtualnymi dystrybuowanie wdrożeń maszyn wirtualnych w różnych replikach. Użyj tej metody, aby podczas tworzenia wystąpienia ograniczanie przepustowości nie wystąpiło z powodu przeciążenia pojedynczej repliki.

Omówienie ograniczeń zasobów

Podczas projektowania wdrożenia usługi zarządzanej bazy danych Citrix na platformie Azure na dużą skalę zapoznaj się z ograniczeniami citrix i ograniczeniami platformy Azure. Te ograniczenia wpływają na projekt, konfigurację i zarządzanie środowiskami Citrix i Azure. Wpływają one również na wydajność, skalowalność i dostępność pulpitów wirtualnych i aplikacji. Limity są dynamiczne, dlatego często sprawdzaj dostępność aktualizacji. Jeśli bieżące limity nie spełniają Twoich potrzeb, skontaktuj się z przedstawicielami firmy Microsoft i firmy Citrix.

Współautorzy

Ten artykuł jest obsługiwany przez firmę Microsoft. Pierwotnie został napisany przez następujących współautorów.

Autorzy zabezpieczeń:

  • Ben Martin Baur | Starszy specjalista techniczny ds. punktów końcowych chmury
  • Jen Sheerin | Starszy inżynier klienta
  • Ravi Varma Addala | Starszy architekt rozwiązań w chmurze, infrastruktura podstawowa platformy Azure

Aby wyświetlić niepubalne profile serwisu LinkedIn, zaloguj się do serwisu LinkedIn.

Następne kroki

Aby dowiedzieć się więcej o najlepszych rozwiązaniach dotyczących sieci platformy Azure i sposobie planowania sieci wirtualnych na podstawie izolacji, łączności i wymagań dotyczących lokalizacji, zobacz Planowanie sieci wirtualnych.

Zapoznaj się z krytycznymi zagadnieniami i zaleceniami dotyczącymi zarządzania i monitorowania , które są specyficzne dla wdrożenia rozwiązania Citrix na platformie Azure.