次の方法で共有

Citrix Cloud と Azure のハイブリッド ネットワークを構成する

  • [アーティクル]

この記事では、単一リージョンおよびマルチリージョンの Azure および Citrix Cloud 環境のアーキテクチャについて説明します。 デプロイを成功させるために実装できる設計上の考慮事項、設計上の推奨事項、コンポーネントが用意されています。

単一リージョンのデプロイ

Azure と Citrix Cloud 環境を 1 つのリージョンにデプロイする場合は、複数のサブスクリプションを使用します。 複数の Azure サブスクリプションによって、ポリシー、監査、構成の要件が一元化されるため、ビジネス ユニットにアジリティがもたらされます。 そのため、出発点として、Azure 上の Citrix ワークロード専用のサブスクリプションを使用することをお勧めします。

Architecture

Azure および Citrix Cloud マルチサブスクリプション環境における主要な設計領域と設計のベストプラクティスの参照アーキテクチャを示した図。

このアーキテクチャの Visio ファイルをダウンロードします。

コンポーネント

このアーキテクチャは、次のコンポーネントで構成されます。

  • Active Directory Domain Services (AD DS) サーバーとカスタム ドメイン ネーム システム (DNS) サーバー
  • ネットワーク セキュリティ グループ
  • Azure Network Watcher
  • 既定の Azure Virtual Network パス経由の送信インターネット
  • オンプレミス環境へのハイブリッド接続のための Azure ExpressRoute または Azure VPN Gateway
  • Azure プライベート エンドポイント
  • Azure Files ストレージ アカウントまたは Azure NetApp Files
  • Azure Key Vault
  • Azure Compute Gallery

詳細については、プロファイル ストレージ オプションの比較に関する記事を参照してください。

このアーキテクチャには、Azure ランディング ゾーン内の次の Citrix コンポーネントも含まれています。

  • Citrix Cloud Connector は Citrix Cloud とリソースの場所との間の接続を確立します。

  • Citrix Virtual Delivery Agent(VDA) は、アプリまたはデスクトップをホストするゴールデン イメージまたはターゲット デバイスにインストールされます。 このエージェントを使用して、アプリとデスクトップを永続的または非永続的なマシンとして接続、プロビジョニング、オーケストレーションできます。 VDA は、Windows Server、Windows クライアント、Linux OS などの物理デバイスまたは仮想デバイスと互換性があります。

  • Citrix Workspace は、情報、アプリ、その他のコンテンツへの安全なアクセスをユーザーに提供するクラウド サービスです。 Citrix Workspace は Azure アセットとオンプレミスのアセットを統合することで、任意の場所と任意のデバイスからユーザーがすべてのリソースに 1 か所からアクセスできるようにします。

オプションの Citrix コンポーネント

Azure ランディング ゾーン内の次の Citrix コンポーネントはオプションです。 高度な機能が必要な場合は、これらのコンポーネントを検討してください。

  • Citrix Federated Authentication Service では、ユーザーが Windows Server Active Directory 環境にサインインできるように、ユーザーに証明書を動的に発行します。 この方法はスマートカードの使用に似ています。 Citrix Federated Authentication Service によって、Security Assertion Markup Language ベースの認証を使用するときにシングル サインオンが有効になります。 Okta や Ping など、さまざまな認証オプションとパートナー ID プロバイダーを使用できます。

  • Citrix StoreFront は、Citrix Workspace の代替の内部ユーザー アクセス ポイントです。 StoreFront は自己管理型であり、複数のオンプレミス環境と Azure 環境間でリソースをシームレスに集約します。 リフトアンドシフト シナリオで StoreFront を使用して、ワークロードを Azure に移行しながら、既存の Citrix デプロイ環境へのユーザー アクセスを維持できます。

  • Citrix Application Delivery Controller(ADC) または NetScaler は、Citrix Workspace および Citrix Gateway Service の代替外部ユーザー アクセス ポイントです。 Citrix ADC は、外部接続と認証のためのセキュリティで保護されたプロキシを提供する、Azure テナント内の自己管理型仮想アプライアンスです。 Citrix ADC を StoreFront または Workspace と統合できます。 リフトアンドシフト シナリオで Citrix ADC を使用して、ワークロードを Azure に移行しながら、既存の Citrix デプロイ環境へのユーザー アクセスを維持します。

  • Citrix Provisioning は、Azure テナント内にデプロイできるネットワーク ベースのイメージ管理ソリューションであり、最大数千台の非永続的なマシンのスケーラブルなデプロイを可能にします。 Citrix Provisioning は、Azure 仮想ネットワーク経由で一元化されたイメージをストリーミングします。これによって迅速な更新が実現され、ストレージ要件が最小限に抑えられます。

  • Citrix App Layering アプライアンス は、管理コンソールをホストする App Layering テクノロジの中心的なコンポーネントです。 App Layering を使用して、レイヤー、レイヤー割り当て、イメージ テンプレートを作成および管理できます。 単一の OS インスタンスとアプリ インスタンスを管理し、レイヤーからイメージを作成することもできます。これにより、複数のゴールデン イメージを持つ環境での労力が軽減されます。

Citrix の設計に関する考慮事項

Citrix テクノロジのシステム、ワークロード、ユーザー、ネットワークのガイダンスを検討します。 このガイダンスはクラウド導入フレームワーク設計原則に沿っています。

Citrix on Azure ソリューションでは、ユーザーごとに一定量のスループット、さまざまなプロトコルとポート、その他のネットワークに関する考慮事項が必要です。 Citrix ADC やファイアウォールなど、すべてのネットワーク アプライアンスのサイズを適切に設定して、ディザスター リカバリー シナリオ中の負荷増加に対処する必要があります。 詳細については、Azure に固有の考慮事項に関する記事を参照してください。

ネットワークのセグメント化

Azure ネットワーク セグメンテーションと論理的にセグメント化されたサブネットに関する Citrix のガイダンスも検討してください。 最初のネットワークを計画するには、次のガイドラインを参考にしてください。

ワークロードの種類別のセグメント化

シングル セッションとマルチ セッションの仮想ネットワークまたはサブネットを別々に作成して、他のネットワーク タイプのスケーラビリティに影響を与えずに、各ネットワーク タイプを拡張できるようにします。

たとえば、共有マルチセッションおよびシングルセッション サブネットを仮想デスクトップ インフラストラクチャ (VDI) で満たす場合、アプリケーションをサポートするために新しいホスティング ユニットを作成する必要がある場合があります。 新しいホスティング ユニットでは、アプリケーションのスケーリングをサポートするために複数のマシン カタログを作成するか、既存のアプリ カタログを新しいサブネットに移行する必要があります。

マルチサブスクリプション アーキテクチャでワークロード サブスクリプションを使用する場合は、Azure サブスクリプションあたりの仮想マシン (VM) の数に関する Citrix Machine Creation Services (MCS) の制限を理解してください。 仮想ネットワークを設計するとき、および IP アドレス指定を計画するときはこれらの制限を考慮してください。

テナント、事業単位、またはセキュリティ ゾーン別のセグメント化

Citrix Service Provider アーキテクチャなどのマルチテナント デプロイを実行する場合は、ネットワークまたはサブネット間でテナントを分離することをお勧めします。 既存のセキュリティ標準でネットワーク レベルで特定の分離要件が必要な場合は、組織内の個別のビジネス ユニットまたはセキュリティ ゾーンを分離することを検討してください。

ワークロード固有のネットワークを超えてビジネス ユニットをセグメント化すると、環境全体の複雑さが増します。 この方法が複雑さを増す価値があるかどうかを判断します。 この方法をルールではなく例外として使用し、適切な理由と予想される範囲のもとで適用します。 たとえば、標準のシングルセッション VDI ネットワークを超えるセキュリティ ニーズに対応するために、財務をサポートする 1,000 人の請負業者向けのネットワークを作成できます。

アプリケーション セキュリティ グループを使用すると、特定の VM のみが共有仮想ネットワーク上のビジネス ユニット アプリケーション バックエンドにアクセスできるようにすることができます。 たとえば、マーケティング チームがマルチセッション VDA ネットワークで使用する CRM マシン カタログ VM への顧客関係管理 (CRM) バックエンド アクセスを制限できます。

複数リージョンのデプロイ

ワークロードを複数のリージョンにデプロイする場合は、ハブ、共有リソース スポーク、VDA スポークを各リージョンにデプロイする必要があります。 サブスクリプション モデルとネットワーク モデルを慎重に選択します。 Citrix デプロイの内外での Azure フットプリントの増加に基づいてモデルを決定します。

Citrix のデプロイが小さく、Azure API に対して読み取りと書き込みが頻繁に行われるその他のリソースが多数存在する場合があります。この場合は Citrix 環境に悪影響を及ぼす可能性があります。 また、使用可能な API 呼び出しの数が多すぎると、サブスクリプション内の他のリソースの可用性が低下する Citrix リソースが複数存在する場合もあります。

大規模なデプロイの場合は、ワークロードを分離してデプロイを効果的にスケールアウトし、顧客の Citrix 環境に悪影響を及ぼさないようにします。 次のアーキテクチャ図は、マルチリージョン Azure と Citrix Cloud 環境にある 1 つのリージョンを示しています。

Architecture

大規模な Azure および Citrix Cloud マルチサブスクリプション環境における主要な設計領域と設計のベストプラクティスの参照アーキテクチャを示した図。

このアーキテクチャの Visio ファイルをダウンロードします。

Citrix の設計に関する推奨事項

大規模なデプロイでは次の推奨事項を検討してください。

VDA スポークを使用して仮想ネットワークをピアリングする

大規模なデプロイの場合は、専用の共有サービスと管理スポークを作成し、VDA スポークと直接ピアリングします。 この構成により、待機時間が最小限になり、ハブ ネットワークのネットワーク制限に達するのを防ぐことができます。 次の各ポイントはこのアプローチを示しており、前の図に対応しています。

  • (A) ハブ仮想ネットワークの構成: クロスプレミス ネットワークと外部ネットワークのファイアウォールと接続の中心点としてハブ仮想ネットワークを使用します。

  • (B) 共有リソース スポーク ピアリング: ハブ仮想ネットワークを共有リソース スポークとピアリングして、Citrix Cloud Connectors に 443 の送信接続を提供します。

  • (C) 共有リソース スポーク仮想ネットワーク: 必要なすべての Citrix コンポーネントとオプションの Citrix コンポーネントをホストし、共有リソース スポーク仮想ネットワークでプロファイル ストレージ アカウントや Azure Compute Gallery などの共有サービスをホストします。 待機時間を最小限に抑え、パフォーマンスを向上させるには、これらのネットワークを VDA スポークと直接ピアリングします。

  • (D) VDA ワークロード スポーク構成: VDA ワークロード スポーク内の VDA のみをホストします。 VM とサービスからのすべてのネットワーク トラフィックをルーティングします。 たとえば、リソース スポークが特定のデータセンター リージョン内にある場合は、プロファイル トラフィックを共有リソース スポークに直接ルーティングできます。 インターネット エグレス、ハイブリッド、またはリージョン間接続など、データセンター リージョンから離れるすべてのネットワーク トラフィックをハブ仮想ネットワークにルーティングします。

  • (E) Compute Gallery バージョン レプリカ: Compute Galleryに保持するレプリカの数を指定します。 マルチ VM デプロイ シナリオでは、VM デプロイを異なるレプリカに分散します。 このアプローチを使用することで、インスタンスを作成するときに、1 つのレプリカのオーバーロードによって調整が発生しないようにします。

リソースの制限を理解する

Azure で大規模な Citrix マネージド データベース サービスのデプロイを設計する場合は、Citrix の制限Azure の制限について理解してください。 これらの制限は、Citrix 環境と Azure 環境の設計、構成、管理に影響します。 仮想デスクトップとアプリケーションのパフォーマンス、スケーラビリティ、可用性にも影響します。 制限は状況に応じて変化するため、最新情報を頻繁に確認してください。 現在の制限がニーズを満たしていない場合は、Microsoft と Citrix の担当者にお問い合わせください。

共同作成者

この記事は、Microsoft によって保守されています。 当初の寄稿者は以下のとおりです。

プリンシパルの作成者:

  • Ben Martin Baur | シニア クラウド エンドポイント テクニカル スペシャリスト
  • Jen Sheerin | シニア カスタマー エンジニア
  • Ravi Varma Addala | シニア クラウド ソリューション アーキテクト、Azure Core インフラストラクチャ

パブリックでない LinkedIn プロファイルを表示するには、LinkedIn にサインインします。

次のステップ

Azure ネットワークのベスト プラクティスと、分離、接続、場所の要件に基づいて仮想ネットワークを計画する方法の詳細については、「仮想ネットワークを計画する」を参照してください。

Azure への Citrix のデプロイに固有の管理と監視に関する重要な設計上の考慮事項と推奨事項を確認します。