Sdílet prostřednictvím

Konfigurace hybridních sítí pro Citrix Cloud a Azure

  • Článek

Tento článek popisuje architektury pro prostředí Azure a Citrix Cloud v jedné oblasti a více oblastech. Poskytuje aspekty návrhu, doporučení k návrhu a komponenty, které můžete implementovat pro úspěšné nasazení.

Nasazení v jedné oblasti

Když nasadíte prostředí Azure a Citrix Cloud do jedné oblasti, použijte více předplatných. Více předplatných Azure poskytuje flexibilitu obchodních jednotek, protože centralizuje požadavky na zásady, audit a konfiguraci. Jako výchozí bod proto doporučujeme použít vyhrazené předplatné pro úlohy Citrixu v Azure.

Architektura

Diagram znázorňující referenční architekturu hlavních oblastí návrhu a osvědčených postupů návrhu v prostředí s více podsítěmi Azure a Citrix Cloud

Stáhněte si soubor aplikace Visio s touto architekturou.

Komponenty

Tato architektura se skládá z následujících komponent:

  • servery Doména služby Active Directory Services (AD DS) a vlastní servery DNS (Domain Name System)
  • Skupiny zabezpečení sítě
  • Azure Network Watcher
  • Odchozí internet přes výchozí cestu k virtuální síti Azure
  • Azure ExpressRoute nebo Azure VPN Gateway pro hybridní připojení k místním prostředím
  • Privátní koncové body Azure
  • Účty úložiště Azure Files nebo Azure NetApp Files
  • Azure Key Vault
  • Azure Compute Gallery

Další informace najdete v tématu Porovnání možností úložiště profilu.

Tato architektura zahrnuje také následující komponenty Citrixu v cílové zóně Azure:

  • Citrix Cloud Connector vytvoří připojení mezi Citrix Cloudem a umístěním prostředků.

  • Citrix Virtual Delivery Agent (VDA) je nainstalovaný na zlaté imagi nebo cílovém zařízení, které hostuje aplikace nebo počítače. Tento agent se dá použít k připojení, zřízení a orchestraci aplikací a desktopů jako trvalých nebo ne trvalých počítačů. VDA je kompatibilní s fyzickými zařízeními nebo virtuálními zařízeními, včetně Windows Serveru, klienta Windows a operačního systému Linux.

  • Citrix Workspace je cloudová služba, která uživatelům poskytuje zabezpečený přístup k informacím, aplikacím a dalšímu obsahu. Citrix Workspace integruje prostředky Azure a místní prostředky, aby uživatelé měli jediný přístup ke všem svým prostředkům z libovolného umístění a na libovolném zařízení.

Volitelné komponenty Citrixu

Následující komponenty Citrixu v cílové zóně Azure jsou volitelné. Pokud potřebujete pokročilé funkce, zvažte tyto komponenty.

  • Citrix Federated Authentication Service dynamicky vydává certifikáty pro uživatele, aby se mohli přihlásit k prostředí Windows Server Active Directory. Tato metoda se podobá použití čipové karty. Citrix Federated Authentication Service umožňuje jednotné přihlašování při použití ověřování na základě jazyka založeného na kontrolním výrazu zabezpečení. Můžete použít širokou škálu možností ověřování a zprostředkovatelů identity partnerů, jako jsou Okta a Ping.

  • Citrix StoreFront je alternativní interní přístupový bod uživatele pro Citrix Workspace. StoreFront je samoobslužná správa a bezproblémově agreguje prostředky napříč několika místními prostředími a prostředími Azure. StoreFront můžete použít ve scénáři metodou "lift and shift" a zachovat uživatelský přístup k existujícím nasazením Citrixu při přesunu úloh do Azure.

  • Citrix Application Delivery Controller (ADC) nebo NetScaler je alternativní přístupový bod externího uživatele pro Citrix Workspace a službu Citrix Gateway. Citrix ADC je samoobslužné virtuální zařízení v rámci vašeho tenanta Azure, které poskytuje zabezpečený proxy server pro externí připojení a ověřování. Citrix ADC můžete integrovat se službou StoreFront nebo Workspace. Pomocí Citrix ADC ve scénáři metodou "lift and shift" můžete zachovat uživatelský přístup k existujícím nasazením Citrixu při přesunu úloh do Azure.

  • Citrix Provisioning je řešení pro správu imagí založené na síti, které můžete nasadit v rámci tenanta Azure, abyste umožnili škálovatelné nasazení až tisíců ne trvalých počítačů. Citrix Provisioning streamuje centralizované image přes virtuální síť Azure, která poskytuje rychlé aktualizace a minimalizuje požadavky na úložiště.

  • Zařízení Citrix App Layering je centrální komponentou technologie vrstvení aplikací, která je hostitelem konzoly pro správu. Vrstvení aplikací můžete použít k vytváření a správě vrstev, přiřazení vrstev a šablon obrázků. Můžete také pomoct spravovat jednotlivé instance operačního systému a instance aplikací a vytvářet obrázky z vrstev, což snižuje úsilí v prostředích, která mají několik zlatých imagí.

Aspekty návrhu Citrixu

Zvažte systém, úlohu, uživatele a pokyny k síti pro technologie Citrix. Tyto pokyny odpovídají principům návrhu architektury přechodu na cloud.

Řešení Citrix v Azure vyžaduje určitou propustnost pro každého uživatele, různé protokoly a porty a další aspekty sítě. Aby bylo možné zpracovávat nárůst zatížení ve scénářích zotavení po havárii, musíte odpovídajícím způsobem nastavit velikost všech síťových zařízení, jako jsou Citrix ADC a brány firewall. Další informace najdete v tématech specifických pro Azure.

segmenty sítě.

Zvažte také pokyny citrixu pro segmentaci sítě Azure a logicky segmentované podsítě. Při plánování počátečních sítí vám pomůžou následující pokyny.

Segmentace podle typů úloh

Vytvořte samostatné virtuální sítě nebo podsítě s jednou relací a multisession, abyste umožnili růst jednotlivých typů sítě, aniž by to ovlivnilo škálovatelnost druhého typu sítě.

Pokud například vyplníte sdílenou multisession a podsíť s jednou relací pomocí infrastruktury virtuálních klientských počítačů (VDI), budete možná muset vytvořit novou jednotku hostování pro podporu aplikací. Nová jednotka hostování vyžaduje, abyste buď vytvořili více katalogů počítačů, abyste podporovali škálování aplikací nebo migrovali existující katalogy aplikací do nové podsítě.

Pokud používáte předplatná úloh v architektuře s více předplatnými, seznamte se s omezeními služby Citrix Machine Creation Services (MCS) pro počet virtuálních počítačů na předplatné Azure. Při návrhu virtuální sítě a při plánování přidělování IP adres zvažte tyto limity.

Segmentace podle tenanta, obchodní jednotky nebo zóny zabezpečení

Pokud spustíte nasazení s více tenanty, například architekturu poskytovatele služeb Citrix, doporučujeme izolovat tenanty mezi sítěmi nebo podsítěmi. Pokud vaše stávající standardy zabezpečení vyžadují specifické požadavky na izolaci na úrovni sítě, zvažte oddělení samostatných obchodních jednotek nebo zón zabezpečení v rámci vaší organizace.

Pokud segmentujete obchodní jednotky nad rámec sítí specifických pro úlohy, zvyšuje se složitost celého prostředí. Určete, jestli tato metoda stojí za vyšší složitost. Tuto metodu použijte jako výjimku místo pravidla a použijte ji se správným odůvodněním a předpokládaným škálováním. Můžete například vytvořit síť pro 1 000 dodavatelů, kteří podporují finance tak, aby vyhovovaly potřebám zabezpečení nad rámec standardní sítě VDI s jednou relací.

Pomocí skupin zabezpečení aplikací můžete povolit přístup ke sdíleným virtuálním sítím jenom konkrétním virtuálním počítačům pro přístup k back-endům aplikací obchodních jednotek. Můžete například omezit back-endový přístup správy vztahů se zákazníky (CRM) k virtuálním počítačům katalogu počítačů CRM, které marketingový tým používá v síti VDA pro více instancí.

Nasazení ve více oblastech

Když nasadíte úlohu ve více oblastech, měli byste v každé oblasti nasadit centra, paprsky sdílených prostředků a paprsky VDA. Pečlivě vyberte model předplatného a síťový model. Určete své modely na základě růstu využití Azure uvnitř nasazení Citrixu i mimo nasazení.

Můžete mít malé nasazení Citrixu a velký počet dalších prostředků, které čtou a zapisují silně proti rozhraní AZURE API, což může negativně ovlivnit prostředí Citrixu. Případně můžete mít několik prostředků Citrixu, které spotřebovávají nadměrný počet dostupných volání rozhraní API, což snižuje dostupnost jiných prostředků v rámci předplatného.

U rozsáhlých nasazení izolujte úlohy, abyste mohli efektivně škálovat nasazení a zabránit negativnímu dopadu na prostředí Citrix zákazníka. Následující diagram architektury znázorňuje jednu oblast, která je v prostředí Azure a Citrix Cloud ve více oblastech.

Architektura

Diagram znázorňující referenční architekturu hlavních oblastí návrhu a osvědčených postupů návrhu pro rozsáhlé prostředí Azure a Citrix Cloud s více podsítěmi

Stáhněte si soubor aplikace Visio s touto architekturou.

Doporučení pro návrh Citrixu

Zvažte následující doporučení pro vaše rozsáhlá nasazení.

Vytvoření partnerského vztahu virtuálních sítí s paprsky VDA

V případě rozsáhlých nasazení vytvořte vyhrazené paprsky sdílené služby a správy a přímo je pro partnerské vztahy s paprsky VDA. Tato konfigurace minimalizuje latenci a zabrání vám v dosažení síťových limitů ve vašich centrálních sítích. Následující body ilustrují tento přístup a odpovídají předchozímu diagramu.

  • (A) Konfigurace virtuální sítě rozbočovače: Jako centrální bod použijte virtuální síť centra pro brány firewall a připojení pro místní sítě a externí sítě.

  • (B) Sdílený partnerský vztah paprsku prostředků: Ujistěte se, že jste v partnerském vztahu své virtuální sítě rozbočovače s paprskem sdíleného prostředku zajistili konektory Citrix Cloud s odchozím připojením 443.

  • (C) Sdílené virtuální sítě paprskové prostředky: Hostujte všechny požadované a volitelné komponenty Citrixu a hostujte sdílené služby, jako jsou účty úložiště profilů a výpočetní galerie Azure, ve sdílených virtuálních sítích paprskových prostředků. Pokud chcete minimalizovat latenci a zvýšit výkon, nasouejte tyto sítě přímo s paprsky VDA.

  • (D) Konfigurace paprsků úloh VDA: Hostuje pouze VDA v paprskech úloh VDA. Směrování veškerého síťového provozu z virtuálních počítačů a služeb Přenosy profilu můžete například směrovat přímo do paprsku sdíleného prostředku, pokud je paprsk prostředků v konkrétní oblasti datacentra. Směrujte veškerý síťový provoz, který opustí oblast datacentra, jako je výchozí přenos dat, hybridní připojení nebo připojení mezi oblastmi, do virtuální sítě centra.

  • (E) Repliky verze výpočetní galerie: Zadejte počet replik, které chcete zachovat v galerii výpočetních prostředků. Ve scénářích nasazení s více virtuálními počítači distribuujte nasazení virtuálních počítačů mezi různé repliky. Tento přístup použijte, aby při vytváření instance nedošlo k omezování kvůli přetížení jedné repliky.

Vysvětlení omezení prostředků

Při návrhu nasazení pro rozsáhlou databázovou službu Citrixu v Azure porozumíte omezením Citrixu a omezením Azure. Tato omezení ovlivňují váš návrh, konfiguraci a správu prostředí Citrix a Azure. Ovlivňují také výkon, škálovatelnost a dostupnost virtuálních desktopů a aplikací. Omezení jsou dynamická, proto pravidelně kontrolujte aktualizace. Pokud aktuální limity nevyhovují vašim potřebám, okamžitě se obraťte na zástupce Microsoftu a Citrixu.

Přispěvatelé

Tento článek spravuje Microsoft. Původně byla napsána následujícími přispěvateli.

Hlavní autoři:

Pokud chcete zobrazit neveřejné profily LinkedIn, přihlaste se na LinkedIn.

Další kroky

Další informace o osvědčených postupech sítí Azure a o plánování virtuálních sítí na základě izolace, připojení a požadavků na umístění najdete v tématu Plánování virtuálních sítí.

Projděte si důležité aspekty návrhu a doporučení pro správu a monitorování , které jsou specifické pro nasazení Citrixu v Azure.