Citrix Cloud 및 Azure용 하이브리드 네트워킹 구성
이 문서에서는 단일 지역 및 다중 지역 Azure 및 Citrix Cloud 환경의 아키텍처에 대해 설명합니다. 성공적인 배포를 위해 구현할 수 있는 설계 고려 사항, 설계 권장 사항 및 구성 요소를 제공합니다.
단일 지역 배포
Azure 및 Citrix Cloud 환경을 단일 지역에 배포하는 경우, 여러 구독을 사용하세요. 여러 Azure 구독은 정책, 감사 및 구성 요구 사항을 중앙 집중화하므로 비즈니스 부서에 민첩성을 제공합니다. 따라서 시작점으로 Azure에서 Citrix 워크로드 전용 구독을 사용하는 것이 좋습니다.
아키텍처
이 아키텍처의 Visio 파일을 다운로드합니다.
구성 요소
이 아키텍처는 다음과 같은 구성 요소로 이루어져 있습니다:
- ADDS(Active Directory 도메인 서비스) 서버 및 사용자 지정 DNS(도메인 이름 시스템) 서버
- 네트워크 보안 그룹
- Azure Network Watcher
- 기본 Azure 가상 네트워크 경로를 통한 아웃바운드 인터넷
- 온-프레미스 환경에 대한 하이브리드 연결을 위한 Azure ExpressRoute 또는 Azure VPN Gateway
- Azure 프라이빗 엔드포인트
- Azure 파일 스토리지 계정 또는 Azure NetApp 파일
- Azure Key Vault
- Azure Compute Gallery
자세한 내용은 프로필 저장 옵션 비교하기를 참조하세요.
이 아키텍처에는 Azure 랜딩 존 내에 다음과 같은 Citrix 구성 요소도 포함되어 있습니다:
Citrix Cloud Connector는 Citrix Cloud와 리소스 위치 간의 연결을 설정합니다.
앱 또는 데스크톱을 호스팅하는 골든 이미지 또는 대상 디바이스에 Citrix 가상 전송 에이전트(VDA)가 설치됩니다. 이 에이전트는 앱과 데스크톱을 영구 또는 비영구 머신으로 연결, 프로비저닝 및 오케스트레이션하는 데 사용할 수 있습니다. VDA는 Windows Server, Windows 클라이언트, Linux OS를 포함한 물리적 장치 또는 가상 장치와 호환됩니다.
Citrix Workspace는 사용자에게 정보, 앱 및 기타 콘텐츠에 대한 안전한 액세스를 제공하는 클라우드 서비스입니다. Citrix Workspace는 Azure 자산과 온프레미스 자산을 통합하여 사용자가 모든 위치 및 기기에서 모든 리소스에 단일 지점으로 액세스할 수 있도록 합니다.
선택적 Citrix 구성 요소
Azure 랜딩 존 내의 다음 Citrix 구성 요소는 선택 사항입니다. 고급 기능이 필요한 경우 이러한 구성 요소를 고려하세요.
Citrix Federated Authentication Service 는 사용자가 Windows Server Active Directory environment.에 로그인할 수 있도록 인증서를 동적으로 발급합니다. 이 방법은 스마트카드를 사용하는 것과 유사합니다. Security Assertion Markup Language 기반 인증을 사용하는 경우 Citrix Federated 인증 서비스를 통해 Single Sign-On을 사용할 수 있습니다. 다양한 인증 옵션과 Okta 및 Ping과 같은 파트너 ID 공급업체를 사용할 수 있습니다.
Citrix StoreFront는 Citrix Workspace의 대체 내부 사용자 액세스 지점입니다. StoreFront는 자체 관리형이며 여러 온프레미스 환경 및 Azure 환경 전반에서 리소스를 원활하게 집계합니다. 리프트 앤 시프트 시나리오에서 StoreFront를 사용하여 워크로드를 Azure로 이동하는 동안 기존 Citrix 배포에 대한 사용자 액세스를 유지할 수 있습니다.
Citrix ADC(Application Delivery Controller) 또는 NetScaler는 Citrix Workspace 및 Citrix Gateway Service의 대체 외부 사용자 액세스 지점입니다. Citrix ADC는 외부 연결 및 인증을 위한 보안 프록시를 제공하는 Azure 테넌트 내의 자체 관리형 가상 어플라이언스입니다. Citrix ADC를 스토어프론트 또는 워크스페이스와 통합할 수 있습니다. 리프트 앤 시프트 시나리오에서 Citrix ADC를 사용하여 워크로드를 Azure로 이동하는 동안 기존 Citrix 배포에 대한 사용자 액세스를 유지합니다.
Citrix Provisioning은 Azure 테넌트 내에 배포하여 최대 수천 대의 비영구 머신을 확장 가능하게 배포할 수 있는 네트워크 기반 이미지 관리 솔루션입니다. Citrix Provisioning은 Azure 가상 네트워크를 통해 중앙 집중식 이미지를 스트리밍하여 빠른 업데이트를 제공하고 스토리지 요구 사항을 최소화합니다.
Citrix App Layering appliance는 관리 콘솔을 호스팅하는 앱 레이어링 기술의 핵심 구성 요소입니다. App Layering을 사용하여 레이어, 레이어 할당 및 이미지 템플릿을 만들고 관리할 수 있습니다. 또한 단일 OS 인스턴스와 앱 인스턴스를 관리하고 레이어에서 이미지를 구성할 수 있어 여러 개의 골든 이미지가 있는 환경에서도 수고를 덜 수 있습니다.
Citrix 설계 고려 사항
Citrix 기술에 대한 시스템, 워크로드, 사용자 및 네트워크 지침을 고려하십시오. 이 지침은 클라우드 도입 프레임워크 설계 원칙과 일치합니다.
Azure 기반 Citrix 솔루션에는 각 사용자에 대해 일정량의 처리량, 다양한 프로토콜 및 포트, 기타 네트워크 고려 사항이 필요합니다. 재해 복구 시나리오 중 부하 증가를 처리하려면 Citrix ADC 및 방화벽과 같은 모든 네트워크 어플라이언스의 크기를 적절히 조정해야 합니다. 자세한 내용은 Azure 관련 고려 사항을 참조하세요.
네트워크 구분
또한 Azure 네트워크 세분화 및 논리적으로 세분화된 서브넷에 대한 Citrix 지침을 참조하세요. 다음 가이드라인을 참고하여 초기 네트워킹을 계획하세요.
워크로드 유형별 세분화
별도의 단일 세션 및 다중 세션 가상 네트워크 또는 서브넷을 생성하여 다른 네트워크 유형의 확장성에 영향을 주지 않고 각 네트워크 유형의 성장을 가능하게 합니다.
예를 들어 공유 멀티세션 및 단일 세션 서브넷을 가상 데스크톱 인프라(VDI)로 채우는 경우 애플리케이션을 지원하기 위해 새 호스팅 장치를 만들어야 할 수 있습니다. 새 호스팅 장치를 사용하려면 애플리케이션 확장을 지원하기 위해 여러 머신 카탈로그를 만들거나 기존 앱 카탈로그를 새 서브넷으로 마이그레이션해야 합니다.
다중 구독 아키텍처에서 워크로드 구독을 사용하는 경우, Azure 구독당 가상 머신(VM) 수에 대한 Citrix MCS(머신 생성 서비스) 한도를 이해해야 합니다. 가상 네트워크를 설계할 때와 IP 주소를 계획할 때 이러한 제한 사항을 고려하세요.
테넌트, 사업부 또는 보안 구역별로 세분화하기
Citrix 서비스 공급자 아키텍처와 같은 멀티테넌트 배포를 실행하는 경우, 네트워크 또는 서브넷 간에 테넌트를 격리하는 것이 좋습니다. 기존 보안 표준에 따라 네트워크 수준에서 특정 격리 요구 사항이 필요한 경우 조직 내에서 별도의 사업부 또는 보안 구역을 격리하는 것을 고려하세요.
워크로드별 네트워크를 넘어 비즈니스 단위를 세분화하면 전체 환경의 복잡성이 증가합니다. 이 방법이 복잡성을 감수할 가치가 있는지 결정합니다. 이 방법을 규칙이 아닌 예외로 사용하고, 적절한 근거와 예상 규모를 고려하여 적용하세요. 예를 들어, 금융을 지원하는 1,000명의 계약업체를 위한 네트워크를 만들어 표준 단일 세션 VDI 네트워크 이상의 보안 요구 사항을 수용할 수 있습니다.
애플리케이션 보안 그룹을 사용하여 공유 가상 네트워크에서 특정 VM만 비즈니스 단위 애플리케이션 백엔드에 액세스할 수 있도록 허용할 수 있습니다. 예를 들어 마케팅 팀이 멀티세션 VDA 네트워크에서 사용하는 CRM(고객 관계 관리) 백엔드 액세스를 CRM 머신 카탈로그 VM으로 제한할 수 있습니다.
여러 지역에 배포
워크로드를 여러 지역에 배포하는 경우 각 지역에 허브, 공유 리소스 스포크 및 VDA 스포크를 배포해야 합니다. 구독 모델과 네트워킹 모델을 신중하게 선택하세요. Citrix 배포 내부 및 외부의 Azure 설치 공간 증가에 따라 모델을 결정합니다.
소규모 Citrix 배포와 Azure API를 많이 읽고 쓰는 기타 리소스가 많을 수 있으며, 이는 Citrix 환경에 부정적인 영향을 미칠 수 있습니다. 또는 사용 가능한 API 호출을 과도하게 많이 소비하여 구독 내의 다른 리소스에 대한 가용성을 감소시키는 여러 Citrix 리소스가 있을 수 있습니다.
스케일 아웃 배포의 경우 워크로드를 격리하여 효과적으로 배포를 확장하고 고객의 Citrix 환경에 부정적인 영향을 미치지 않도록 합니다. 다음 아키텍처 다이어그램은 다중 지역 Azure 및 Citrix Cloud 환경에 있는 단일 리전을 보여줍니다.
아키텍처
이 아키텍처의 Visio 파일을 다운로드합니다.
Citrix 설계 권장 사항
대규모 배포에 대한 다음 권장 사항을 고려하세요.
VDA 스포크가 있는 피어 가상 네트워크
대규모 배포의 경우 전용 공유 서비스 및 관리 스포크를 생성하여 VDA 스포크와 직접 피어링하세요. 이 구성은 지연 시간을 최소화하고 허브 네트워크의 네트워킹 제한에 도달하는 것을 방지합니다. 다음 사항은 이 접근 방식을 설명하는 것으로, 앞의 다이어그램과 일치합니다.
(A) 허브 가상 네트워크 구성: 허브 가상 네트워크를 방화벽 및 사내 네트워크와 외부 네트워크 간 연결의 중심점으로 사용합니다.
(B) 공유 리소스 스포크 피어링: 허브 가상 네트워크를 공유 리소스 스포크와 피어링하여 Citrix Cloud Connectors에 443 아웃바운드 연결을 제공해야 합니다.
(C) 공유 리소스 스포크 가상 네트워크: 공유 리소스 스포크 가상 네트워크에서 모든 필수 및 선택적 Citrix 구성 요소를 호스팅하고 프로필 스토리지 계정 및 Azure 컴퓨팅 갤러리와 같은 공유 서비스를 호스팅합니다. 지연 시간을 최소화하고 성능을 개선하려면 이러한 네트워크를 VDA 스포크와 직접 피어링하세요.
(D) VDA 워크로드 스포크 구성: VDA 워크로드 스포크에서 VDA만 호스팅합니다. VM 및 서비스의 모든 네트워크 트래픽을 라우팅합니다. 예를 들어 리소스 스포크가 특정 데이터센터 지역 내에 있는 경우 프로필 트래픽을 공유 리소스 스포크로 직접 라우팅할 수 있습니다. 인터넷 송신, 하이브리드 또는 지역 간 연결과 같이 데이터센터 지역을 벗어나는 모든 네트워크 트래픽을 허브 가상 네트워크로 라우팅합니다.
(E) 갤러리 버전 복제본 계산: 컴퓨팅 갤러리 계산에 보관할 복제본의 수를 지정합니다. 다중 가상 머신 배포 시나리오에서는 가상 머신 배포를 여러 복제본에 분산합니다. 이 방법을 사용하면 인스턴스를 생성할 때 단일 복제본의 과부하로 인해 스로틀링이 발생하지 않습니다.
리소스 제한 이해
Azure에서 대규모 Citrix 관리형 데이터베이스 서비스를 위한 배포를 설계할 때는 Citrix 제한 사항 및 Azure 제한 사항을 이해해야 합니다. 이러한 제한 사항은 Citrix 및 Azure 환경의 설계, 구성 및 관리에 영향을 미칩니다. 또한 Virtual Desktop 및 애플리케이션의 성능, 확장성, 가용성에도 영향을 미칩니다. 제한은 유동적이므로 자주 업데이트를 확인하세요. 현재 제한이 요구 사항을 충족하지 못하는 경우 즉시 Microsoft 및 Citrix 담당자에게 문의하세요.
참가자
Microsoft에서 이 문서를 유지 관리합니다. 원래 다음 기여자가 작성했습니다.
주요 작성자:
- 벤 마틴 바우어 | 선임 클라우드 엔드포인트 기술 전문가
- Jen Sheerin | 선임 고객 엔지니어
- 라비 바르마 아달라 | 선임 클라우드 솔루션 설계자, Azure Core 인프라
비공개 LinkedIn 프로필을 보려면 LinkedIn에 로그인합니다.
다음 단계
Azure 네트워킹 모범 사례 및 격리, 연결 및 위치 요구 사항에 따라 가상 네트워크를 계획하는 방법에 대해 자세히 알아보려면 가상 네트워크 계획하기를 참조하세요.
Azure 기반 Citrix 배포와 관련된 관리 및 모니터링에 대한 중요한 설계 고려 사항 및 권장 사항을 검토합니다.