Freigeben über

Konfigurieren von Hybridnetztechnologie für Citrix Cloud und Azure

  • Artikel

In diesem Artikel werden Architekturen für Einzelregionen- und Multiregion-Azure- und Citrix Cloud-Umgebungen beschrieben. Es bietet Designüberlegungen, Entwurfsempfehlungen und Komponenten, die Sie für eine erfolgreiche Bereitstellung implementieren können.

Bereitstellung in einer Region

Wenn Sie Ihre Azure- und Citrix Cloud-Umgebung in einer einzelnen Region bereitstellen, verwenden Sie mehrere Abonnements. Mehrere Azure-Abonnements bieten Flexibilität für Geschäftseinheiten, da sie Richtlinien-, Überwachungs- und Konfigurationsanforderungen zentralisieren. Als Ausgangspunkt empfehlen wir, ein dediziertes Abonnement für Citrix-Workloads in Azure zu verwenden.

Aufbau

Diagramm, das eine Referenzarchitektur der wichtigsten Designbereiche und bewährte Designpraktiken in einer Multisubskriptionsumgebung von Azure und Citrix Cloud zeigt.

Laden Sie eine Visio-Datei dieser Architektur herunter.

Komponenten

Diese Architektur umfasst die folgenden Komponenten:

  • AD DS-Servers (Active Directory Domain Services) und benutzerdefinierte DNS-Servers (Domain Name System)
  • Netzwerksicherheitsgruppen
  • Azure Network Watcher
  • Ausgehende Internetverbindungen über einen Azure Virtual Network-Standardpfad
  • Azure ExpressRoute oder Azure VPN Gateway für Hybridkonnektivität mit lokalen Umgebungen
  • Private Azure-Endpunkte
  • Azure Files Speicherkonten oder Azure NetApp Files
  • Azure Key Vault
  • Azure Compute Gallery

Weitere Informationen finden Sie unter Vergleichen von Profilspeicheroptionen.

Diese Architektur umfasst auch die folgenden Citrix-Komponenten innerhalb der Azure-Zielzone:

  • Der Citrix Cloud Connector stellt eine Verbindung zwischen Citrix Cloud und den Ressourcenstandorten her.

  • Citrix Virtual Delivery Agent (VDA) wird in einem goldenen Image oder auf einem Zielgerät installiert, das Apps oder Desktops hostet. Dieser Agent kann verwendet werden, um eine Verbindung mit Apps und Desktops als persistente oder nicht persistente Computer herzustellen, bereitzustellen und zu koordinieren. Der VDA ist kompatibel mit physischen oder virtuellen Geräten, einschließlich Windows Server, Windows Client und Linux OS.

  • Citrix Workspace ist ein Clouddienst, der Benutzern einen sicheren Zugang zu Informationen, Anwendungen und anderen Inhalten bietet. Citrix Workspace integriert Azure-Ressourcen und lokale Ressourcen, sodass Benutzer über einen einzigen Zugriffspunkt auf alle ihre Ressourcen von jedem Standort und auf jedem Gerät aus zugreifen können.

Optionale Citrix-Komponenten

Die folgenden Citrix-Komponenten innerhalb der Azure-Zielzone sind optional. Berücksichtigen Sie diese Komponenten, wenn Sie erweiterte Funktionen benötigen.

  • Der Citrix Verbundauthentifizierungsdienst stellt dynamisch Zertifikate für Benutzer aus, damit sie sich bei einer Windows Server Active Directory-Umgebung anmelden können. Diese Methode ähnelt der Verwendung einer Smartcard. Citrix Federated Authentication Service ermöglicht Single Sign-On, wenn Sie die auf Security Assertion Markup Language basierende Authentifizierung verwenden. Sie können eine Vielzahl von Authentifizierungsoptionen und Partneridentitätsanbietern wie Okta und Ping verwenden.

  • Citrix StoreFront ist ein alternativer interner Benutzerzugriffspunkt für Citrix Workspace. StoreFront ist selbstverwaltet und aggregiert Ressourcen in mehreren lokalen und Azure-Umgebungen nahtlos. Sie können StoreFront in einem Lift-and-Shift-Szenario verwenden, um den Benutzerzugriff auf bestehende Citrix-Bereitstellungen aufrechtzuerhalten, während Sie Workloads nach Azure verschieben.

  • Citrix Application Delivery Controller (ADC) oder NetScaler ist ein alternativer externer Benutzerzugriffspunkt für Citrix Workspace und Citrix Gateway Service. Citrix ADC ist ein selbstverwaltetes virtuelles Gerät in Ihrem Azure-Mandanten, das einen sicheren Proxy für externe Konnektivität und Authentifizierung bereitstellt. Sie können Citrix ADC in StoreFront oder Workspace integrieren. Verwenden Sie Citrix ADC in einem Lift-and-Shift-Szenario, um den Benutzerzugriff auf bestehende Citrix-Bereitstellungen aufrechtzuerhalten, während Sie Workloads nach Azure verschieben.

  • Citrix Provisioning ist eine netzwerkbasierte Imageverwaltungslösung, die Sie in Ihrem Azure-Mandanten bereitstellen können, um eine skalierbare Bereitstellung von bis zu Tausenden nicht persistenter Computer zu ermöglichen. Citrix Provisioning streamt zentralisierte Images über ein virtuelles Azure-Netzwerk, das schnelle Updates bereitstellt und Speicheranforderungen minimiert.

  • Die Citrix App Layering-Appliance ist die zentrale Komponente für die App Layering-Technologie, die die Verwaltungskonsole hostet. Sie können App-Layering verwenden, um Ebenen, Layerzuweisungen und Bildvorlagen zu erstellen und zu verwalten. Sie können auch dabei helfen, einzelne Betriebssysteminstanzen und App-Instanzen zu verwalten und Bilder aus Ebenen zu verfassen, wodurch der Aufwand in Umgebungen mit mehreren goldenen images reduziert wird.

Entwurfsüberlegungen für Citrix

Berücksichtigen Sie die System-, Workload-, Benutzer- und Netzwerkanleitungen für Citrix-Technologien. Dieser Leitfaden richtet sich an die Designprinzipien von Cloud Adoption Framework.

Die Lösung mit Citrix in Azure erfordert eine bestimmte Durchsatzleistung für jeden Benutzer, verschiedene Protokolle und Ports sowie andere Überlegungen zum Netzwerk. Sie müssen alle Netzwerkappliances, wie z. B. Citrix ADC und Firewalls, angemessen dimensionieren, um Laststeigerungen während Notfallwiederherstellungsszenarien zu bewältigen. Weitere Informationen finden Sie unter Azure-spezifische Überlegungen.

Netzwerksegmentierung

Beachten Sie auch die Citrix-Anleitung für Azure-Netzwerksegmentierung und logisch segmentierte Subnetze. Verwenden Sie die folgenden Richtlinien, um Ihre anfänglichen Netzwerke zu planen.

Segmentieren nach Workloadtypen

Erstellen Sie separate virtuelle Netzwerke oder Subnetze für einzelne und mehrere Sitzungen, um Wachstum für die einzelnen Netzwerktypen zu ermöglichen, ohne die Skalierbarkeit der anderen zu beeinträchtigen.

Wenn Sie beispielsweise ein gemeinsam genutztes Subnetz für einzelne und mehrere Sitzungen mit einer virtuellen Desktopinfrastruktur (VDI) betreiben, müssen Sie möglicherweise eine neue Hostingeinheit erstellen, um Anwendungen zu unterstützen. Eine neue Hosting-Einheit erfordert, dass Sie entweder mehrere Computerkataloge erstellen, um die Skalierung von Anwendungen zu unterstützen, oder dass Sie die vorhandenen Anwendungskataloge in ein neues Teilnetz migrieren.

Wenn Sie Workload-Abonnements in einer Architektur mit mehreren Abonnements verwenden, müssen Sie die Beschränkungen von Citrix Machine Creation Services (MCS) für die Anzahl der virtuellen Maschinen (VMs) pro Azure-Abonnement kennen. Berücksichtigen Sie beim Entwerfen Ihres virtuellen Netzwerks und Planen der IP-Adressierung diese Grenzwerte.

Segmentieren nach Mandant, Geschäftseinheit oder Sicherheitszone

Wenn Sie eine mehrinstanzenfähige Bereitstellung betreiben, z. B. eine Citrix Service Provider-Architektur, empfehlen wir, dass Sie Mandanten zwischen Netzwerken oder Subnetzen isolieren. Wenn Ihre geltenden Sicherheitsstandards spezifische Isolationsanforderungen auf der Netzwerkebene erfordern, sollten Sie erwägen, separate Geschäftseinheiten oder Sicherheitszonen innerhalb Ihrer Organisation zu isolieren.

Wenn Sie Geschäftseinheiten über workload-spezifische Netzwerke hinaus segmentieren, erhöht sich die Komplexität der Gesamtumgebung. Bestimmen Sie, ob diese Methode die erhöhte Komplexität wert ist. Verwenden Sie diese Methodik eher als eine Ausnahme als die Regel und setzen Sie sie mit der richtigen Begründung und dem geplanten Umfang um. Sie können beispielsweise ein Netzwerk für 1.000 Auftragnehmer erstellen, die das Finanzwesen unterstützen, um Sicherheitsanforderungen zu erfüllen, die über das VDI-Standardnetzwerk mit nur einer Sitzung hinausgehen.

Sie können mithilfe von Anwendungssicherheitsgruppen nur bestimmten VMs den Zugriff auf Anwendungs-Back-Ends einer Geschäftseinheit in einem gemeinsam genutzten virtuellen Netzwerk erlauben. Sie können beispielsweise den Back-End-Zugriff im Kundenbeziehungsmanagement (CRM) auf die VMs des CRM-Computerkatalogs beschränken, die die Marketingabteilung im VDA-Netzwerk für mehrere Sitzungen verwendet.

Bereitstellung in mehreren Regionen

Wenn Sie Ihre Workload in mehreren Regionen bereitstellen, sollten Sie Hubs, freigegebene Ressourcenspeichen und VDA-Speichen in den einzelnen Regionen bereitstellen. Wählen Sie sorgfältig ein Abonnementmodell und ein Netzwerkmodell aus. Ermitteln Sie Ihre Modelle basierend auf dem Wachstum Ihres Azure-Fußabdrucks innerhalb und außerhalb der Citrix-Bereitstellung.

Möglicherweise verfügen Sie über eine kleine Citrix-Bereitstellung und eine große Anzahl anderer Ressourcen, die stark gegen die Azure-API lesen und schreiben, was sich negativ auf die Citrix-Umgebung auswirken kann. Alternativ können Sie über mehrere Citrix-Ressourcen verfügen, die eine übermäßige Anzahl verfügbarer API-Aufrufe verbrauchen, wodurch die Verfügbarkeit für andere Ressourcen innerhalb des Abonnements reduziert wird.

Isolieren Sie Workloads für umfangreiche Bereitstellungen, sodass Sie Bereitstellungen effektiv skalieren und negative Auswirkungen auf die Citrix-Umgebung des Kunden verhindern können. Das folgende Architekturdiagramm zeigt eine einzelne Region, die sich in einer Multiregion-Azure- und Citrix Cloud-Umgebung befindet.

Aufbau

Diagramm, das eine Referenzarchitektur der wichtigsten Designbereiche und bewährte Designpraktiken für eine großangelegte Multisubskriptionsumgebung von Azure und Citrix Cloud zeigt.

Laden Sie eine Visio-Datei dieser Architektur herunter.

Entwurfsempfehlungen für Citrix

Beachten Sie die folgenden Empfehlungen für Ihre umfangreichen Bereitstellungen.

Virtuelle Peernetzwerke mit VDA-Spokes

Erstellen Sie für umfangreiche Bereitstellungen dedizierte gemeinsame Dienst- und Verwaltungs-Spokes, und peeren Sie direkt mit Ihren VDA-Spokes. Diese Konfiguration minimiert die Latenz und verhindert, dass Sie Netzwerkgrenzwerte in Ihren Hubnetzwerken erreichen. Die folgenden Punkte veranschaulichen diesen Ansatz und entsprechen dem vorherigen Diagramm.

  • (A) Konfiguration des virtuellen Hubnetzwerks: Verwenden Sie das virtuelle Hubnetzwerk als zentralen Punkt für Firewalls und Konnektivität für lokale Netzwerke und externe Netzwerke.

  • (B) Freigegebenes Ressourcen-Spoke-Peering: Stellen Sie sicher, dass Sie Ihr virtuelles Hubnetzwerk mit der freigegebenen Ressource peering, um Citrix Cloud Connectors mit 443 ausgehender Konnektivität bereitzustellen.

  • (C) Virtuelle Netzwerke mit freigegebener Ressource: Hosten Sie alle erforderlichen und optionalen Citrix-Komponenten, und hosten Sie gemeinsame Dienste, z. B. Profilspeicherkonten und Azure-Compute-Kataloge, in den virtuellen Netzwerken der freigegebenen Ressource. Um die Latenz zu minimieren und die Leistung zu verbessern, peeren Sie diese Netzwerke direkt mit den VDA-Spokes.

  • (D) VDA-Workload-Spoke-Konfiguration: Hosten Sie nur die VDAs in den VDA-Workload-Spokes. Leiten Sie den gesamten Netzwerkdatenverkehr von VMs und Diensten weiter. Beispielsweise können Sie den Profildatenverkehr direkt an eine freigegebene Ressource weiterleiten, wenn sich die Ressource in einer bestimmten Rechenzentrumsregion befindet. Leiten Sie den gesamten Netzwerkdatenverkehr, der die Rechenzentrumsregion verlässt, z. B. Internetausgang, Hybrid- oder regionsübergreifende Konnektivität, an das virtuelle Hubnetzwerk weiter.

  • (E) Compute Gallery-Versionsreplikate: Geben Sie die Anzahl der Replikate an, die Sie im Compute Gallery beibehalten möchten. Verteilen Sie VM-Bereitstellungen in Szenarien mit mehreren VM-Bereitstellungen über verschiedene Replikate hinweg. Verwenden Sie diesen Ansatz, sodass beim Erstellen einer Instanz die Drosselung aufgrund einer Überladung eines einzelnen Replikats nicht auftritt.

Grundlegendes zu Ressourceneinschränkungen

Wenn Sie eine Bereitstellung für einen umfangreichen Citrix verwalteten Datenbank-Service in Azure entwerfen, verstehen Sie Citrix-Einschränkungen und Azure-Einschränkungen. Diese Einschränkungen wirken sich auf Ihr Design, Ihre Konfiguration und Verwaltung von Citrix- und Azure-Umgebungen aus. Sie wirken sich auch auf die Leistung, Skalierbarkeit und Verfügbarkeit virtueller Desktops und Anwendungen aus. Die Grenzwerte sind dynamisch, daher sollten Sie häufig nach Updates suchen. Wenn die aktuellen Grenzwerte Ihre Anforderungen nicht erfüllen, wenden Sie sich umgehend an Ihre Microsoft- und Citrix-Vertreter.

Beitragende

Dieser Artikel wird von Microsoft gepflegt. Er wurde ursprünglich von folgenden Mitwirkenden geschrieben:

Hauptautoren:

Melden Sie sich bei LinkedIn an, um nicht öffentliche LinkedIn-Profile anzuzeigen.

Nächste Schritte

Weitere Informationen zu bewährten Methoden für Azure-Netzwerke und zur Planung virtueller Netzwerke basierend auf Isolations-, Konnektivitäts- und Standortanforderungen finden Sie unter Planen virtueller Netzwerke.

Überprüfen Sie die kritischen Entwurfsüberlegungen und -empfehlungen für Verwaltung und Überwachung spezifisch für die Bereitstellung von Citrix in Azure.