Compartir vía

Configuración de redes híbridas para Citrix Cloud y Azure

  • Artículo

En este artículo se describen las arquitecturas para entornos de Azure y Citrix Cloud de una sola región y de varias regiones. Proporciona consideraciones de diseño, recomendaciones de diseño y componentes que puede implementar para una implementación correcta.

Implementación en una sola región

Al implementar el entorno de Azure y Citrix Cloud en una sola región, use varias suscripciones. Varias suscripciones de Azure proporcionan agilidad para las unidades de negocio porque centralizan los requisitos de directiva, auditoría y configuración. Por lo tanto, como punto de partida, se recomienda usar una suscripción dedicada para cargas de trabajo de Citrix en Azure.

Arquitectura

Diagrama que ilustra una arquitectura de referencia de las principales áreas y los procedimientos recomendados de diseño en un entorno de varias suscripciones de Azure y Citrix Cloud.

Descargue un archivo Visio de esta arquitectura.

Componentes

Esta arquitectura consta de los siguientes componentes:

  • Servidores de Active Directory Domain Services (AD DS) y servidores del sistema de nombres de dominio personalizados (DNS)
  • Grupos de seguridad de red
  • Azure Network Watcher
  • Internet saliente a través de una ruta de acceso predeterminada de Azure Virtual Network
  • Azure ExpressRoute o Azure VPN Gateway para la conectividad híbrida en entornos locales
  • Puntos de conexión privados de Azure
  • Cuentas de almacenamiento de Azure Files Storage o Azure NetApp Files
  • Azure Key Vault
  • Azure Compute Gallery

Para obtener más información, consulte Comparación de las opciones de almacenamiento de perfil.

Esta arquitectura también incluye los siguientes componentes de Citrix dentro de la zona de aterrizaje de Azure:

  • Citrix Cloud Connector establece una conexión entre Citrix Cloud y las ubicaciones de recursos.

  • Citrix Virtual Delivery Agent (VDA) se instala en una imagen maestra o un dispositivo de destino que hospeda las aplicaciones o escritorios. Este agente se puede usar para conectarse, aprovisionar y orquestar aplicaciones y escritorios como máquinas persistentes o no persistentes. El VDA es compatible con dispositivos físicos o virtuales, incluidos Windows Server, el cliente de Windows y el sistema operativo Linux.

  • Citrix Workspace es un servicio en la nube que proporciona a los usuarios acceso seguro a la información, las aplicaciones y otro contenido. Citrix Workspace integra recursos de Azure y recursos locales para que los usuarios tengan un único punto de acceso a todos sus recursos desde cualquier ubicación y en cualquier dispositivo.

Componentes opcionales de Citrix

Los siguientes componentes de Citrix dentro de la zona de aterrizaje de Azure son opcionales. Tenga en cuenta estos componentes si necesita funcionalidad avanzada.

  • Citrix Federated Authentication Service emite certificados de forma dinámica para los usuarios para que puedan iniciar sesión en un entorno de Windows Server Active Directory. Este método es similar al uso de una tarjeta inteligente. Citrix Federated Authentication Service habilita el inicio de sesión único cuando se utiliza la autenticación basada en Lenguaje de Marcado para Confirmaciones de Seguridad. Puede usar una amplia gama de opciones de autenticación y proveedores de identidades de partners, como Okta y Ping.

  • Citrix StoreFront es un punto de acceso de usuarios interno alternativo para Citrix Workspace. StoreFront se administra automáticamente y agrega recursos perfectamente a varios entornos locales y de Azure. Puede usar StoreFront en un escenario de migrar mediante lift-and-shift para mantener el acceso de los usuarios a las implementaciones de Citrix existentes al mover cargas de trabajo a Azure.

  • Citrix Application Delivery Controller (ADC) o NetScaler es un punto de acceso de usuarios externo alternativo para Citrix Workspace y Citrix Gateway Service. Citrix ADC es un dispositivo virtual que se administra automáticamente dentro del inquilino de Azure y proporciona un proxy seguro para la conectividad externa y la autenticación. Puede integrar Citrix ADC con StoreFront o Workspace. Use Citrix ADC en un escenario de migrar mediante lift-and-shift para mantener el acceso de los usuarios a las implementaciones de Citrix existentes al mover cargas de trabajo a Azure.

  • Citrix Provisioning es una solución de administración de imágenes basada en la red que puede implementar en el inquilino de Azure para habilitar la implementación escalable de hasta miles de máquinas no persistentes. Citrix Provisioning transmite imágenes centralizadas a través de una red virtual de Azure, que proporciona actualizaciones rápidas y minimiza los requisitos de almacenamiento.

  • El dispositivo de capa de aplicaciones de Citrix es el componente central de la tecnología de capa de aplicaciones que hospeda la consola de administración. Puede usar la capa de aplicaciones para crear y administrar capas, asignaciones de capas y plantillas de imagen. También puede ayudar a administrar instancias de sistema operativo únicas e instancias de aplicación y crear imágenes a partir de capas, lo que reduce el esfuerzo en entornos que tienen varias imágenes doradas.

Consideraciones de diseño de Citrix

Tenga en cuenta las instrucciones del sistema, la carga de trabajo, el usuario y la red para las tecnologías citrix. Esta guía se alinea con los principios de diseño de Cloud Adoption Framework.

La solución Citrix en Azure requiere cierta cantidad de rendimiento para cada usuario, varios protocolos y puertos, y otras consideraciones de red. Debe dimensionar adecuadamente todos los dispositivos de red, como Citrix ADC y firewalls, para controlar los aumentos de carga durante los escenarios de recuperación ante desastres. Para obtener más información, consulte Consideraciones específicas de Azure.

Segmentación de red

Consulte también las Instrucciones de Citrix para la segmentación de red de Azure y las subredes con segmentación lógica. Use las instrucciones siguientes para ayudar a planificar las redes iniciales.

Segmentación por tipos de carga de trabajo

Cree redes virtuales o subredes de sesión única y multisesión independientes para permitir el crecimiento de cada tipo de red sin que ello afecte a la escalabilidad del otro tipo de red.

Por ejemplo, si rellena una subred multisesión compartida y una sola sesión con infraestructura de escritorio virtual (VDI), es posible que tenga que crear una nueva unidad de hospedaje para admitir las aplicaciones. Una nueva unidad de hospedaje requiere crear varios catálogos de máquinas para admitir el escalado de aplicaciones o migrar los catálogos de aplicaciones existentes a una nueva subred.

Si usa suscripciones de carga de trabajo en una arquitectura de varias suscripciones, conozca los límites de Citrix Machine Creation Services (MCS) sobre el número de máquinas virtuales por suscripción de Azure. Tenga en cuenta estos límites al diseñar la red virtual y al planificar el direccionamiento IP.

Segmentación por inquilino, unidad de negocio o zona de seguridad

Si va a ejecutar una implementación multiinquilino, como una arquitectura de proveedor de servicios de Citrix, se recomienda aislar los inquilinos entre redes o subredes. Si los estándares de seguridad existentes tienen requisitos de aislamiento específicos a nivel de red, considere la posibilidad de aislar las unidades de negocio independientes o las zonas de seguridad dentro de la organización.

Si segmenta las unidades de negocio más allá de las redes específicas de la carga de trabajo, la complejidad del entorno general aumenta. Determine si este método merece la pena por su mayor complejidad. Use este método como excepción en lugar de la regla y aplíquelo con la justificación correcta y la escala proyectada. Por ejemplo, podría crear una red para 1000 contratistas que admitan subvenciones para satisfacer las necesidades de seguridad además de la red VDI de sesión única estándar.

Puede usar grupos de seguridad de aplicaciones para permitir que solo máquinas virtuales específicas accedan al back-end de las aplicaciones de unidad de negocio de una red virtual compartida. Por ejemplo, podría limitar el acceso al back-end de administración de las relaciones con el cliente (CRM) a las máquinas virtuales del catálogo de máquinas CRM que usa el equipo de marketing en la red VDA multisesión.

Implementaciones en varias regiones

Al implementar la carga de trabajo en varias regiones, debe implementar concentradores, radios de recursos compartidos y radios VDA en cada región. Seleccione cuidadosamente un modelo de suscripción y un modelo de red. Determine los modelos en función del crecimiento de la superficie de Azure dentro y fuera de la implementación de Citrix.

Es posible que tenga una implementación pequeña de Citrix y un gran número de otros recursos que leen y escriben en gran medida en la API de Azure, lo que puede afectar negativamente al entorno de Citrix. Como alternativa, puede tener varios recursos de Citrix que consumen un número excesivo de llamadas API disponibles, lo que reduce la disponibilidad de otros recursos dentro de la suscripción.

En el caso de las implementaciones a gran escala, aísle las cargas de trabajo para que pueda escalar horizontalmente de forma eficaz las implementaciones y evitar un efecto negativo en el entorno de Citrix del cliente. En el diagrama de arquitectura siguiente se muestra una sola región que se encuentra en un entorno de Azure y Citrix Cloud multiregion.

Arquitectura

Diagrama que ilustra una arquitectura de referencia de las principales áreas y los procedimientos recomendados de diseño para un entorno de varias suscripciones de Azure y Citrix Cloud a gran escala.

Descargue un archivo Visio de esta arquitectura.

Recomendaciones de diseño de Citrix

Tenga en cuenta las siguientes recomendaciones para las implementaciones a gran escala.

Emparejamiento de redes virtuales con radios VDA

En el caso de las implementaciones a gran escala, cree radios de administración y servicios compartidos dedicados y emparéjelos directamente con los radios VDA. Esta configuración minimiza la latencia y evita que alcance los límites de red en las redes centrales. Los puntos siguientes muestran este enfoque y corresponden al diagrama anterior.

  • (A) Configuración de red virtual del concentrador: use la red virtual del concentrador como punto central para firewalls y conectividad para redes entre locales y redes externas.

  • (B) Emparejamiento de radios de recursos compartidos: asegúrese de emparejar la red virtual del concentrador con el radio de recursos compartidos para proporcionar a Citrix Cloud Connectors conectividad de salida 443.

  • (C) Redes virtuales de radio de recursos compartidos: hospede todos los componentes de Citrix necesarios y opcionales, y hospede servicios compartidos, como cuentas de almacenamiento de perfiles y galerías de proceso de Azure, en las redes virtuales radiales de recursos compartidos. Para minimizar la latencia y mejorar el rendimiento, empareje estas redes directamente con los radios VDA.

  • (D) Configuración de radios de carga de trabajo de VDA: hospede solo los VDA en los radios de carga de trabajo de VDA. Enrute todo el tráfico de red desde máquinas virtuales y servicios. Por ejemplo, puede enrutar el tráfico de perfil directamente a un radio de recurso compartido si el radio del recurso está dentro de una región específica del centro de datos. Enrute todo el tráfico de red que sale de la región del centro de datos, como la salida de Internet, la conectividad híbrida o entre regiones, a la red virtual del centro de conectividad.

  • (E) Réplicas de versión de la Galería de proceso: especifique el número de réplicas que desea mantener en la Galería de procesos. En escenarios de implementación de varias máquinas virtuales, distribuya las implementaciones de máquinas virtuales entre distintas réplicas. Use este enfoque para que, al crear una instancia, no se produzca una limitación debido a la sobrecarga de una sola réplica.

Comprender las limitaciones de recursos

Al diseñar una implementación para un servicio de base de datos administrado de Citrix a gran escala en Azure, conozca las limitaciones de Citrix y las limitaciones de Azure. Estas limitaciones afectan al diseño, la configuración y la administración de los entornos de Citrix y Azure. También afectan al rendimiento, la escalabilidad y la disponibilidad de escritorios virtuales y aplicaciones. Los límites son dinámicos, así que compruebe si hay actualizaciones con frecuencia. Si los límites actuales no satisfacen sus necesidades, póngase en contacto con los representantes de Microsoft y Citrix.

Colaboradores

Microsoft mantiene este artículo. Originalmente lo escribieron los siguientes colaboradores.

Creadores de entidad de seguridad:

  • Ben Martin Baur | Especialista técnico sénior en puntos de conexión de nube
  • Jen Sheerin | Ingeniero superior de clientes
  • Ravi Varma Addala | Arquitecto sénior de soluciones en la nube, infraestructura principal de Azure

Para ver los perfiles no públicos de LinkedIn, inicie sesión en LinkedIn.

Pasos siguientes

Para más información sobre los procedimientos recomendados de las redes de Azure y cómo planear redes virtuales en función de los requisitos de aislamiento, conectividad y ubicación, consulte Planear redes virtuales.

Revise las consideraciones y recomendaciones de diseño críticas para la administración y la supervisión específicas de la implementación de Citrix en Azure.