Dela via

Konfigurera hybridnätverk för Citrix Cloud och Azure

  • Artikel

Den här artikeln beskriver arkitekturer för azure- och Citrix Cloud-miljöer med en region och flera regioner. Den innehåller designöverväganden, designrekommendationer och komponenter som du kan implementera för en lyckad distribution.

Distribution med en region

När du distribuerar din Azure- och Citrix Cloud-miljö till en enda region använder du flera prenumerationer. Flera Azure-prenumerationer ger flexibilitet för affärsenheter eftersom de centraliserar princip-, gransknings- och konfigurationskrav. Som utgångspunkt rekommenderar vi därför att du använder en dedikerad prenumeration för Citrix-arbetsbelastningar i Azure.

Arkitektur

Diagram som visar en referensarkitektur med viktiga designområden och metodtips för design i en Azure- och Citrix Cloud-miljö med flera prenumerationer.

Ladda ned en Visio-fil med den här arkitekturen.

Komponenter

Den här arkitekturen består av följande komponenter:

  • Active Directory-domän Services-servrar (AD DS) och anpassade DNS-servrar (Domain Name System)
  • Nätverkssäkerhetsgrupper
  • Azure Network Watcher
  • Utgående Internet via en standardsökväg för virtuellt Azure-nätverk
  • Azure ExpressRoute eller Azure VPN Gateway för hybridanslutning till lokala miljöer
  • Privata Slutpunkter i Azure
  • Azure Files-lagringskonton eller Azure NetApp Files
  • Azure Key Vault
  • Azure Compute Gallery

Mer information finns i Jämför lagringsalternativ för profiler.

Den här arkitekturen innehåller även följande Citrix-komponenter i Azure-landningszonen:

  • Citrix Cloud Connector upprättar en anslutning mellan Citrix Cloud och resursplatserna.

  • Citrix Virtual Delivery Agent (VDA) installeras på en gyllene avbildning eller målenhet som är värd för appar eller skrivbord. Den här agenten kan användas för att ansluta till, etablera och orkestrera appar och skrivbord som beständiga eller icke-beständiga datorer. VDA är kompatibelt med fysiska enheter eller virtuella enheter, inklusive Windows Server, Windows-klienten och Linux-operativsystemet.

  • Citrix Workspace är en molntjänst som ger användarna säker åtkomst till information, appar och annat innehåll. Citrix-arbetsytan integrerar Azure-tillgångar och lokala tillgångar så att användarna har en enda åtkomstpunkt till alla sina resurser från valfri plats och på valfri enhet.

Valfria Citrix-komponenter

Följande Citrix-komponenter i Azure-landningszonen är valfria. Tänk på de här komponenterna om du behöver avancerade funktioner.

  • Citrix Federated Authentication Service utfärdar dynamiskt certifikat för användare så att de kan logga in i en Windows Server Active Directory-miljö. Den här metoden liknar att använda ett smartkort. Citrix Federated Authentication Service möjliggör enkel inloggning när du använder språkbaserad autentisering baserad på säkerhetskontroll. Du kan använda ett brett utbud av autentiseringsalternativ och partneridentitetsprovidrar, till exempel Okta och Ping.

  • Citrix StoreFront är en alternativ intern användaråtkomstpunkt för Citrix Workspace. StoreFront är självhanterat och aggregerar sömlöst resurser i flera lokala miljöer och Azure-miljöer. Du kan använda StoreFront i ett lift-and-shift-scenario för att upprätthålla användaråtkomst till befintliga Citrix-distributioner när du flyttar arbetsbelastningar till Azure.

  • Citrix Application Delivery Controller (ADC) eller NetScaler är en alternativ extern användaråtkomstpunkt för Citrix Workspace och Citrix Gateway Service. Citrix ADC är en självhanterad virtuell installation i din Azure-klientorganisation som tillhandahåller säker proxy för extern anslutning och autentisering. Du kan integrera Citrix ADC med StoreFront eller Arbetsyta. Använd Citrix ADC i ett lift-and-shift-scenario för att upprätthålla användaråtkomst till befintliga Citrix-distributioner när du flyttar arbetsbelastningar till Azure.

  • Citrix Provisioning är en nätverksbaserad lösning för avbildningshantering som du kan distribuera i din Azure-klientorganisation för att möjliggöra skalbar distribution av upp till tusentals icke-beständiga datorer. Citrix Provisioning strömmar centraliserade avbildningar via ett virtuellt Azure-nätverk, vilket ger snabba uppdateringar och minimerar lagringskraven.

  • Citrix App Layering-installationen är den centrala komponenten för App Layering-tekniken som är värd för hanteringskonsolen. Du kan använda App Layering för att skapa och hantera lager, lagertilldelningar och bildmallar. Du kan också hjälpa till att hantera enskilda OS-instanser och appinstanser och skapa bilder från lager, vilket minskar arbetet i miljöer med flera gyllene bilder.

Designöverväganden för Citrix

Tänk på system-, arbetsbelastnings-, användar- och nätverksvägledning för Citrix-tekniker. Den här vägledningen överensstämmer med designprinciperna för Cloud Adoption Framework.

Citrix på Azure-lösningen kräver en viss mängd dataflöde för varje användare, olika protokoll och portar och andra nätverksöverväganden. Du måste ha rätt storlek på alla nätverksinstallationer, till exempel Citrix ADC och brandväggar, för att hantera belastningsökningar under haveriberedskapsscenarier. Mer information finns i Azure-specifika överväganden.

Nätverkssegmentering

Tänk också på Citrix-vägledningen för Azure-nätverkssegmentering och logiskt segmenterade undernät. Använd följande riktlinjer för att planera ditt första nätverk.

Segmentera efter arbetsbelastningstyper

Skapa separata virtuella nätverk eller undernät för en enskild session och flera sessioner för att möjliggöra tillväxt av varje nätverkstyp utan att påverka skalbarheten för den andra nätverkstypen.

Om du till exempel fyller ett delat undernät för flera sessioner och en session med virtuell skrivbordsinfrastruktur (VDI) kan du behöva skapa en ny värdenhet för att stödja program. En ny värdenhet kräver att du antingen skapar flera datorkataloger för att stödja skalningsprogram eller att du migrerar befintliga appkataloger till ett nytt undernät.

Om du använder arbetsbelastningsprenumerationer i en arkitektur med flera prenumerationer kan du förstå GRÄNSERNA för Citrix Machine Creation Services (MCS) för antalet virtuella datorer per Azure-prenumeration. Tänk på dessa gränser när du utformar ditt virtuella nätverk och när du planerar för IP-adressering.

Segmentera efter klientorganisation, affärsenhet eller säkerhetszon

Om du kör en multitenantdistribution, till exempel en Citrix Service Provider-arkitektur, rekommenderar vi att du isolerar klientorganisationer mellan nätverk eller undernät. Om dina befintliga säkerhetsstandarder behöver specifika isoleringskrav på nätverksnivå bör du överväga att isolera separata affärsenheter eller säkerhetszoner i din organisation.

Om du segmentera affärsenheter utöver arbetsbelastningsspecifika nätverk ökar komplexiteten i den övergripande miljön. Avgör om den här metoden är värd den ökade komplexiteten. Använd den här metoden som ett undantag i stället för regeln och använd den med rätt motivering och beräknad skala. Du kan till exempel skapa ett nätverk för 1 000 entreprenörer som stöder finansiering för att tillgodose säkerhetsbehov utöver VDI-standardnätverket för en session.

Du kan använda programsäkerhetsgrupper för att endast tillåta att specifika virtuella datorer får åtkomst till serverdelar för affärsenhetsprogram i ett delat virtuellt nätverk. Du kan till exempel begränsa åtkomsten för hantering av kundrelationer (CRM) till de virtuella CRM-datorkatalogdatorer som marknadsföringsteamet använder i VDA-nätverket för flera sessioner.

Distribution av flera regioner

När du distribuerar din arbetsbelastning i flera regioner bör du distribuera hubbar, delade resursekrar och VDA-ekrar i varje region. Välj noggrant en prenumerationsmodell och en nätverksmodell. Fastställ dina modeller baserat på tillväxten av ditt Azure-fotavtryck i och utanför Citrix-distributionen.

Du kan ha en liten Citrix-distribution och ett stort antal andra resurser som läser och skriver mycket mot Azure-API:et, vilket kan påverka Citrix-miljön negativt. Du kan också ha flera Citrix-resurser som förbrukar ett överdrivet antal tillgängliga API-anrop, vilket minskar tillgängligheten för andra resurser i prenumerationen.

För storskaliga distributioner isolerar du arbetsbelastningar så att du effektivt kan skala ut distributioner och förhindra en negativ effekt på kundens Citrix-miljö. Följande arkitekturdiagram visar en enda region som finns i en Azure- och Citrix Cloud-miljö i flera regioner.

Arkitektur

Diagram som visar en referensarkitektur med viktiga designområden och metodtips för design för en storskalig Azure- och Citrix Cloud-miljö med flera prenumerationer.

Ladda ned en Visio-fil med den här arkitekturen.

Citrix-designrekommendationer

Överväg följande rekommendationer för dina storskaliga distributioner.

Peer-virtuella nätverk med VDA-ekrar

För storskaliga distributioner skapar du dedikerade delade tjänster och hanterings ekrar och peerkopplar dem direkt med dina VDA-ekrar. Den här konfigurationen minimerar svarstiden och förhindrar att du når nätverksgränserna i dina hubbnätverk. Följande punkter illustrerar den här metoden och motsvarar föregående diagram.

  • (A) Konfiguration av virtuellt hubbnätverk: Använd det virtuella hubbnätverket som central punkt för brandväggar och anslutningar för lokala nätverk och externa nätverk.

  • (B) Peering för delad resurs eker: Se till att du peerkopplar ditt virtuella hubbnätverk med den delade resursen eker för att tillhandahålla Citrix Cloud Connectors med 443 utgående anslutning.

  • (C) Virtuella nätverk med delad resurseker: Värd för alla nödvändiga och valfria Citrix-komponenter och värd för delade tjänster, till exempel profillagringskonton och Azure-beräkningsgallerier, i de virtuella nätverken för delad resurseker. Om du vill minimera svarstiden och förbättra prestandan kan du peer-koppla dessa nätverk direkt till VDA-ekrarna.

  • (D) KONFIGURATION av VDA-arbetsbelastningsekrar: Värdhantera endast VDA:erna i VDA-arbetsbelastningens ekrar. Dirigera all nätverkstrafik från virtuella datorer och tjänster. Du kan till exempel dirigera profiltrafik direkt till en delad resurseker om resursekern finns i en specifik datacenterregion. Dirigera all nätverkstrafik som lämnar datacenterregionen, till exempel utgående internet, hybridanslutningar eller anslutningar mellan regioner, till det virtuella hubbnätverket.

  • (E) Versionsrepliker för beräkningsgalleriet: Ange antalet repliker som du vill behålla i Beräkningsgalleriet. I distributionsscenarier för flera virtuella datorer distribuerar du VM-distributioner mellan olika repliker. Använd den här metoden så att begränsning inte sker när du skapar en instans på grund av överlagring av en enskild replik.

Förstå resursbegränsningar

När du utformar en distribution för en storskalig Citrix-hanterad databastjänst i Azure kan du förstå Citrix-begränsningar och Azure-begränsningar. Dessa begränsningar påverkar din design, konfiguration och hantering av Citrix- och Azure-miljöer. De påverkar även prestanda, skalbarhet och tillgänglighet för virtuella skrivbord och program. Gränserna är dynamiska, så sök efter uppdateringar ofta. Kontakta dina Microsoft- och Citrix-representanter om de aktuella gränserna inte uppfyller dina behov.

Deltagare

Den här artikeln underhålls av Microsoft. Det har ursprungligen skrivits av följande medarbetare.

Huvudsakliga författare:

Om du vill se icke-offentliga LinkedIn-profiler loggar du in på LinkedIn.

Nästa steg

Mer information om metodtips för Azure-nätverk och hur du planerar för virtuella nätverk baserat på krav på isolering, anslutning och plats finns i Planera virtuella nätverk.

Granska viktiga designöverväganden och rekommendationer för hantering och övervakning som är specifika för distributionen av Citrix i Azure.