共用方式為

設定 Citrix Cloud 和 Azure 的混合式網路功能

  • 發行項

本文章說明單一區域和多區域 Azure 和 Citrix Cloud 環境的架構。 它提供您可以針對成功部署實作的設計考慮、設計建議和元件。

單一區域部署

當您將 Azure 和 Citrix Cloud 環境部署至單一區域時,要使用多個訂用帳戶。 多個 Azure 訂用帳戶可提供業務單位的靈活度,因為它們集中了原則、稽核和設定需求。 因此,作為起點,我們建議您針對 Azure 上的 Citrix 工作負載使用專用訂用帳戶。

架構

圖表顯示 Azure 和 Citrix Cloud 多個訂用帳戶環境中,主要設計區域和設計最佳做法的參考架構。

下載此架構的 Visio 檔案

元件

此架構由下列元件組成:

  • Active Directory Domain Services (AD DS) 伺服器和自訂網域名稱系統 (DNS) 伺服器
  • 網路安全性群組
  • Azure 網路監看員
  • 透過預設 Azure 虛擬網路路徑的輸出網際網路
  • Azure ExpressRoute 或 Azure VPN 閘道 (適用於內部部署環境的混合式連線)
  • Azure 私人端點
  • Azure 檔案儲存體帳戶或 Azure NetApp Files
  • Azure Key Vault
  • Azure Compute Gallery

如需詳細資訊,請參閱比較設定檔儲存體選項

此架構也包含下列 Azure 登陸區域內的 Citrix 元件:

  • Citrix Cloud Connector 會建立 Citrix Cloud 與資源位置之間的連線。

  • Citrix Virtual Delivery Agent (VDA) 安裝在裝載應用程式或桌面的黃金映像或目標裝置上。 此代理程式可用來為應用程式和桌面進行連線、佈建及協調,使它們成為持續性或非持續性機器。 VDA 與實體裝置或虛擬設備相容,包括 Windows Server、Windows 用戶端和 Linux OS。

  • Citrix Workspace 是雲端服務,可讓使用者安全地存取資訊、應用程式和其他內容。 Citrix Workspace 整合 Azure 資產和內部部署資產,讓使用者有個能夠從任何位置和任何裝置存取其所有資源的單一存取點。

選擇性 Citrix 元件

Azure 登陸區域內的下列 Citrix 元件是選擇性元件。 如果您需要進階功能,請考慮這些元件。

  • Citrix 同盟驗證服務會動態為使用者發行憑證,讓他們可以登入 Windows Server Active Directory 環境。 這個方法類似於使用智慧卡。 當您使用安全性聲明標記語言式驗證時,Citrix 同盟驗證服務會啟用單一登入。 您可以使用多種驗證選項和合作夥伴識別提供者,例如 Okta 和 Ping。

  • Citrix StoreFront 是 Citrix Workspace 的替代內部使用者存取點。 StoreFront 是由自我管理,可順暢跨多個內部部署環境和 Azure 環境進行資源彙總。 您可以在隨即轉移案例中使用 StoreFront,在將工作負載移至 Azure 時,維護使用者對現有 Citrix 部署的存取權。

  • Citrix 應用程式傳遞控制器 (ADC) 或 NetScaler 是 Citrix Workspace 和 Citrix Gateway Service 的替代外部使用者存取點。 Citrix ADC 是 Azure 租用戶內的自我管理虛擬設備,可為外部連線和驗證提供安全的 Proxy。 您可以將 Citrix ADC 與 StoreFront 或 Workspace 整合。 在隨即轉移案例中使用 Citrix ADC,在您將工作負載移至 Azure 時,維持使用者對現有 Citrix 部署的存取權。

  • Citrix Provisioning 是以網路為基礎的映像管理解決方案,您可以部署在 Azure 租用戶內,啟用多達數千部非持續性機器的可調整部署。 Citrix Provisioning 會透過 Azure 虛擬網路串流傳送集中式映像檔,提供快速的更新,並將儲存需求降到最低。

  • Citrix App Layering 設備是 App Layering 技術的中央元件,裝載管理主控台。 您可以使用 App Layering 來建立和管理分層、分層指派和映像範本。 您也可以協助管理單一 OS 執行個體和應用程式執行個體,以及從分層組成映像,在具有數個黃金映像的環境中,降低負荷量。

Citrix 設計考量

請參考 Citrix 科技提供的系統、工作負載、使用者和網路指引。 本指引與雲端採用架構設計原則一致。

Azure 上的 Citrix 解決方案需要為每個使用者保留的特定輸送量、許多通訊協定和連接埠,以及其他網路考慮。 您必須適當地調整所有網路設備的大小,例如 Citrix ADC 和防火牆,以處理災害復原案例期間的負載增加。 如需詳細資訊,請參閱 Azure 特定考量

網路分割

另請參考 Citrix 對 Azure 網路分割和邏輯分割子網路的相關指引 。 使用下列指導方針來協助規劃初始網路功能。

依工作負載類型分割

建立個別的單一工作階段和多重工作階段虛擬網路或子網路,使每個網路類型皆得以成長,而不會影響其他網路類型的可擴縮性。

例如,如果您以虛擬桌面基礎結構 (VDI) 填入共用多重工作階段和單一工作階段子網路,您可能需要建立新的主機單位來支援應用程式。 新的主機單位會要求您建立多個機器目錄以支援應用程式規模調整,或將現有的應用程式目錄移轉至新的子網路。

如果您在多訂用帳戶架構中使用工作負載訂用帳戶,請瞭解 Citrix Machine Creation Services (MCS) 會限制每個 Azure 訂用帳戶的虛擬機 (VM) 數目。 當您設計虛擬網路,以及規劃 IP 定址時,請考慮這些限制。

依租用戶、業務單位或安全性區域分割

如果您執行多租用戶部署,例如 Citrix Service Provider 架構,建議您隔離網路或子網路之間的租用戶。 如果您現有的安全性標準需要網路層級的特定隔離需求,請考慮隔離組織內的個別業務單位或安全性區域。

如果您將業務單位分割到工作負載特定網路之外,整體環境的複雜度就會增加。 判斷這個方法是否值得增加複雜度。 使用此方法作為例外狀況,而不是規則,並以正確的理由和預期規模加以套用。 例如,您可以為支援財務的 1,000 名約聘人員建立網路,以因應超出標準單一工作階段 VDI 網路的安全性需求。

您可以使用應用程式安全性群組 ,只允許特定 VM 存取共用虛擬網路上的業務單位應用程式後端。 例如,您可能會限制客戶關係管理 (CRM) 後端存取行銷團隊在多重工作階段 VDA 網路中所使用的 CRM 機器目錄 VM。

多重區域部署

當您在多個區域中部署工作負載時,應該在每個區域中部署中樞、共用資源輪輻和 VDA 輪輻。 請仔細選取訂用帳戶模型和網路模型。 根據 Citrix 部署內外 Azure 使用量的成長,決定您的模型。

您可能會有小型 Citrix 部署,以及許多針對 Azure API 進行大量讀取和寫入的其他資源,這可能會對 Citrix 環境造成負面影響。 或者,您可能有數個 Citrix 資源會耗用過多的可用 API 呼叫,減少了訂用帳戶內其他資源的可用性。

針對大規模部署,請隔離工作負載,讓您可以有效地擴充部署,並防止對客戶的 Citrix 環境產生負面影響。 下列架構圖表顯示位於多重區域 Azure 和 Citrix Cloud 環境中的單一區域。

架構

圖表顯示大規模 Azure 和 Citrix Cloud 多個訂用帳戶環境中,主要設計區域和設計最佳做法的參考架構。

下載此架構的 Visio 檔案

Citrix 設計建議

針對大規模部署,請考慮下列建議。

將虛擬網路與 VDA 輪輻對等互連

若要進行大規模的部署,請建立專用的共用服務和管理輪輻,並直接與 VDA 輪輻對等互連。 此設定可將延遲降至最低,並防止您在中樞網路中達到網路限制。 下列各點詳細勾勒此方法,並對應至前述圖表。

  • (A) 中樞虛擬網路組態:使用中樞虛擬網路作為防火牆與跨單位網路和外部網路連線的中心點。

  • (B) 共用資源輪輻對等互連:確保您將中樞虛擬網路與共用資源輪輻對等互連,以提供 Citrix Cloud Connector 443 個輸出連線。

  • (C) 共用資源輪輻虛擬網路:在共用資源輪輻虛擬網路中裝載所有必要和選擇性 Citrix 元件,並且裝載共用服務,例如設定檔儲存體帳戶和 Azure 計算資源庫。 若要將延遲降至最低並改善效能,請直接將這些網路與 VDA 輪輻對等互連。

  • (D) VDA 工作負載輪輻設定:只裝載 VDA 工作負載輪輻中的 VDA。 從 VM 和服務路由傳送所有網路流量。 例如,如果資源輪輻位於特定資料中心區域內,您可以將設定檔流量直接路由傳送至共用資源輪輻。 將離開資料中心區域的所有網路流量 (例如網際網路輸出、混合式或跨區域連線) 路由傳送至中樞虛擬網路。

  • (E) Compute Gallery 版本複本:指定您想要保留在 Compute Gallery 中的複本數量。 在多 VM 部署案例中,將 VM 部署分散到不同的複本。 使用此方法,當您建立執行個體時,就不會因為大量載入單一複本而發生節流問題。

了解資源限制

當您在 Azure 上設計大規模 Citrix 受控資料庫服務的部署時,請瞭解 Citrix 的相關限制Azure 的相關限制。 這些限制會影響 Citrix 和 Azure 環境的設計、設定和管理。 它們也會影響虛擬桌面和應用程式的效能、可擴縮性和可用性。 限制可能隨時改變,因此請經常檢查更新。 如果目前的限制不符合您的需求,請立即連絡您的 Microsoft 和 Citrix 代表。

參與者

本文由 Microsoft 維護。 原始投稿人如下。

主要作者:

若要查看非公開的 LinkedIn 設定檔,請登入 LinkedIn。

下一步

若要深入瞭解 Azure 網路最佳做法,以及如何根據隔離、連線和位置需求來規劃虛擬網路,請參閱規劃虛擬網路

檢閱在 Azure 上部署 Citrix 特定的管理與監視相關重要設計考慮和建議。