你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
为 Citrix Cloud 和 Azure 配置混合网络
本文介绍单区域和多区域 Azure 和 Citrix 云环境的体系结构。 它提供可为成功部署实现的设计注意事项、设计建议和组件。
单区域部署
在你将 Azure 和 Citrix Cloud 环境部署到单个区域时,请使用多个订阅。 多个 Azure 订阅为业务部门提供了敏捷性,因为它们会集中策略、审核和配置要求。 因此,作为起点,我们建议对 Azure 上的 Citrix 工作负荷使用专用订阅。
体系结构
下载此体系结构的 Visio 文件。
组件
该体系结构包括以下组件:
- Active Directory 域服务 (AD DS) 服务器和自定义域名系统 (DNS) 服务器
- 网络安全组
- Azure 网络观察程序
- 通过默认 Azure 虚拟网络路径实现的出站 Internet
- 用于与本地环境建立混合连接的 Azure ExpressRoute 或 Azure VPN 网关
- Azure 专用终结点
- Azure 文件存储帐户或 Azure NetApp 文件
- Azure Key Vault
- Azure Compute Gallery
有关详细信息,请参阅比较配置文件存储选项。
此体系结构还包括 Azure 登陆区域中的以下 Citrix 组件:
Citrix Cloud Connector 会在 Citrix Cloud 与资源位置之间建立连接。
Citrix 虚拟交付代理 (VDA) 安装在托管应用或桌面的黄金映像或目标设备上。 此代理可用于作为持久计算机或非持久性计算机连接、预配和协调应用和桌面。 VDA 与物理设备或虚拟设备(包括 Windows Server、Windows 客户端和 Linux OS)兼容。
Citrix 工作区是一项云服务,可让用户安全地访问信息、应用和其他内容。 Citrix 工作区集成了 Azure 资产和本地资产,以便用户能够从任何位置以及在任何设备上通过单一点访问其所有资源。
可选的 Citrix 组件
Azure 登陆区域中的以下 Citrix 组件是可选组件。 如果需要高级功能,请考虑这些组件。
Citrix 联合身份验证服务会为用户动态颁发证书,以便他们可以登录到 Windows Server Active Directory 环境。 此方法类似于使用智能卡。 使用基于安全断言标记语言的身份验证时,Citrix 联合身份验证服务会启用单一登录。 你可以使用广泛的身份验证选项和合作伙伴标识提供者,例如 Okta 和 Ping。
Citrix StoreFront 是 Citrix 工作区的替代内部用户接入点。 StoreFront 是自托管接入点,可跨多个本地环境和 Azure 环境无缝聚合资源。 在直接迁移方案中,你可以使用 StoreFront 在将工作负荷移动到 Azure 时保持对现有 Citrix 部署的用户访问权限。
Citrix 应用程序交付控制器 (ADC) 或 NetScaler 是 Citrix 工作区和 Citrix 网关服务的替代外部用户接入点。 Citrix ADC 是 Azure 租户中的自托管虚拟设备,可为外部连接和身份验证提供安全代理。 你可以将 Citrix ADC 与 StoreFront 或工作区集成。 在直接迁移方案中使用 Citrix ADC,在将工作负荷移动到 Azure 时,保持对现有 Citrix 部署的用户访问权限。
Citrix 预配是一种基于网络的映像管理解决方案,此解决方案可在 Azure 租户中部署,以实现多达数千台非永久性计算机的可缩放部署。 Citrix 预配会通过 Azure 虚拟网络流式传输集中式映像,从而提供快速更新并最大限度地减少存储要求。
Citrix 应用分层设备是托管管理控制台的应用分层技术的中心组件。 你可以使用应用分层来创建和管理层、层分配和映像模板。 你还可以帮助管理单个 OS 实例和应用实例,并从层构建映像,从而在具有多个黄金映像的环境中减少工作量。
Citrix 设计注意事项
请考虑 Citrix 技术的系统、工作负荷、用户和网络指南。 本指南符合云采用框架设计原则。
Azure 上的 Citrix 解决方案要求每个用户具有一定量的吞吐量、各种协议和端口以及其他网络考虑因素。 你必须适当调整所有网络设备(如 Citrix ADC 和防火墙)的大小,才能在灾难恢复方案中处理负载增加。 有关详细信息,请参阅 Azure 特定注意事项。
网络分段
另请考虑 Azure 网络分段和逻辑分段子网的 Citrix 指南。 使用以下准则来帮助规划你的初始网络。
按工作负荷类型分段
创建单独的单会话和多会话虚拟网络或子网,以实现每个网络类型的增长,而不影响其他网络类型的可伸缩性。
例如,如果使用虚拟桌面基础结构 (VDI) 填充共享多会话和单会话子网,则可能需要创建新的托管单元来支持应用程序。 新的托管单元要求创建多个计算机目录来支持缩放应用程序,或者将现有应用程序目录迁移到新的子网。
如果在多订阅体系结构中使用工作负荷订阅,请了解每个 Azure 订阅的虚拟机 (VM) 数的 Citrix 计算机创建服务 (MCS) 限制。 在设计虚拟网络时以及规划 IP 寻址时,请考虑这些限制。
按租户、业务部门或安全区域分段
如果运行多租户部署(例如 Citrix 服务提供商体系结构),则建议在网络或子网之间隔离租户。 如果现有的安全标准需要网络级别的特定隔离要求,请考虑隔离组织内的独立业务部门或安全区域。
如果将业务部门划分到特定于工作负载的网络之外,则整个环境的复杂性会增加。 确定此方法与增加的复杂性相比是否值得。 使用此方法作为例外而不是规则,并以正确的理由和预计的规模应用它。 例如,你可以为 1,000 个承包商创建一个网络,这些承包商支持融资以满足超出标准单会话 VDI 网络的安全需求。
你可以使用应用程序安全组,以仅允许特定 VM 访问共享虚拟网络上的业务部门应用程序后端。 例如,您可以限制客户关系管理 (CRM) 后端对营销团队在多会话 VDA 网络中使用的 CRM 计算机目录 VM 的访问。
多区域部署
在多个区域中部署工作负荷时,应在每个区域中部署中心、共享的资源分支和 VDA 分支。 仔细选择订阅模型和网络模型。 根据 Citrix 部署内外 Azure 占用空间的增长来确定模型。
你可能有一个小型 Citrix 部署,以及针对 Azure API 大量读取和写入的其他资源,这可能会对 Citrix 环境产生负面影响。 或者,你可能有多个 Citrix 资源消耗过多的可用 API 调用,从而减少了订阅中其他资源的可用性。
对于大规模部署,请隔离工作负荷,以便可以有效地横向扩展部署,并防止对客户的 Citrix 环境产生负面影响。 以下体系结构图显示了位于多区域 Azure 和 Citrix Cloud 环境中的单个区域。
体系结构
下载此体系结构的 Visio 文件。
Citrix 设计建议
请针对大规模部署考虑以下建议。
将虚拟网络与 VDA 分支对等互连
对于大规模部署,请创建专用的共享服务和管理分支,并与 VDA 分支直接对等互连。 此配置可最大程度地减少延迟,并阻止你在中心网络中达到网络限制。 以下几点说明了此方法,它们与上图相对应。
(A) 中心虚拟网络配置:使用中心虚拟网络作为防火墙的中心点,以及跨界网络和外部网络连接。
(B) 共享资源分支对等互连:确保将中心虚拟网络与共享资源分支对等互连,以便为 Citrix Cloud Connector 提供 443 个出站连接。
(C) 共享资源分支虚拟网络:在共享资源分支虚拟网络中托管所有必需和可选的 Citrix 组件并托管共享服务,例如配置文件存储帐户和 Azure 计算库。 为了最大程度地减少延迟并提高性能,请将这些网络直接与 VDA 分支对等互连。
(D) VDA 工作负荷分支配置:仅托管 VDA 工作负荷分支中的 VDA。 路由来自 VM 和服务的所有网络流量。 例如,如果资源分支位于特定数据中心区域,则可以将配置文件流量直接路由到共享资源分支。 将所有离开数据中心区域(例如 Internet 出口、混合或跨区域连接)的网络流量路由到中心虚拟网络。
(E) 计算库版本副本:指定要保留在计算库中的副本数。 在多 VM 部署方案中,跨不同副本分发 VM 部署。 使用此方法,以便在创建实例时,由于重载单个副本而不会发生限制。
了解资源限制
在 Azure 上为大规模 Citrix 托管数据库服务设计部署时,请了解 Citrix 限制和 Azure 限制。 这些限制会影响 Citrix 和 Azure 环境的设计、配置和管理。 它们还会影响虚拟桌面和应用程序的性能、可伸缩性和可用性。 限制是动态限制,因此,请经常检查更新。 如果当前限制不符合你的需求,请及时联系 Microsoft 和 Citrix 代表。
作者
本文由 Microsoft 维护, 它最初是由以下贡献者撰写的。
主要作者:
- Ben Martin Baur | 高级云终结点技术专家
- Jen Sheerin | 高级客户工程师
- Ravi Varma Addala | Azure Core 基础结构部门高级云解决方案架构师
要查看非公开的 LinkedIn 个人资料,请登录到 LinkedIn。
后续步骤
若要详细了解 Azure 网络最佳做法以及如何根据隔离、连接和位置要求规划虚拟网络,请参阅规划虚拟网络。
查看特定于 Azure 上的 Citrix 部署的管理和监控的关键设计注意事项和建议。