Delen via

Hybride netwerken configureren voor Citrix Cloud en Azure

  • Artikel

In dit artikel worden architecturen beschreven voor omgevingen met één regio en meerdere regio's in Azure en Citrix Cloud. Het biedt ontwerpoverwegingen, ontwerpaanvelingen en onderdelen die u kunt implementeren voor een succesvolle implementatie.

Implementatie met één regio

Wanneer u uw Azure- en Citrix Cloud-omgeving in één regio implementeert, gebruikt u meerdere abonnementen. Meerdere Azure-abonnementen bieden flexibiliteit voor bedrijfseenheden omdat ze beleids-, audit- en configuratievereisten centraliseren. Daarom raden we u aan om een speciaal abonnement te gebruiken voor Citrix-workloads in Azure.

Architectuur

Diagram met een referentiearchitectuur van belangrijke ontwerpgebieden en aanbevolen procedures voor ontwerpen in een Azure- en Citrix Cloud-omgeving met meerdere subscriptie.

Een Visio-bestand van deze architectuur downloaden.

Onderdelen

Deze architectuur bestaat uit de volgende onderdelen:

  • Active Directory-domein Services -servers (AD DS) en aangepaste DNS-servers (Domain Name System)
  • Netwerkbeveiligingsgroepen
  • Azure Network Watcher
  • Uitgaand internet via een standaardpad naar een virtueel Azure-netwerk
  • Azure ExpressRoute of Azure VPN Gateway voor hybride connectiviteit met on-premises omgevingen
  • Privé-eindpunten van Azure
  • Azure Files-opslagaccounts of Azure NetApp Files
  • Azure Key Vault
  • Azure Compute Gallery

Zie Opties voor profielopslag vergelijken voor meer informatie.

Deze architectuur bevat ook de volgende Citrix-onderdelen in de Azure-landingszone:

  • De Citrix Cloud Connector brengt een verbinding tot stand tussen Citrix Cloud en de resourcelocaties.

  • Citrix Virtual Delivery Agent (VDA) wordt geïnstalleerd op een gouden installatiekopieën of doelapparaat dat als host fungeert voor apps of desktops. Deze agent kan worden gebruikt om verbinding te maken met apps en desktops, in te richten en te organiseren als permanente of niet-permanente machines. De VDA is compatibel met fysieke apparaten of virtuele apparaten, waaronder Windows Server, Windows-client en Linux-besturingssysteem.

  • Citrix Workspace is een cloudservice die gebruikers beveiligde toegang biedt tot informatie, apps en andere inhoud. Citrix Workspace integreert Azure-assets en on-premises assets, zodat gebruikers vanaf elke locatie en op elk apparaat toegang hebben tot al hun resources.

Optionele Citrix-onderdelen

De volgende Citrix-onderdelen binnen de Azure-landingszone zijn optioneel. Houd rekening met deze onderdelen als u geavanceerde functionaliteit nodig hebt.

  • Citrix Federated Authentication Service geeft dynamisch certificaten uit voor gebruikers, zodat ze zich kunnen aanmelden bij een Windows Server Active Directory-omgeving. Deze methode is vergelijkbaar met het gebruik van een smartcard. Citrix Federated Authentication Service schakelt eenmalige aanmelding in wanneer u verificatie op basis van Security Assertion Markup Language gebruikt. U kunt een breed scala aan verificatieopties en partneridentiteitsproviders gebruiken, zoals Okta en Ping.

  • Citrix StoreFront is een alternatief intern gebruikerstoegangspunt voor Citrix Workspace. StoreFront is zelfbeheerd en voegt naadloos resources samen in meerdere on-premises omgevingen en Azure-omgevingen. U kunt StoreFront gebruiken in een lift-and-shift-scenario om gebruikerstoegang tot bestaande Citrix-implementaties te behouden terwijl u workloads naar Azure verplaatst.

  • Citrix Application Delivery Controller (ADC) of NetScaler is een alternatief extern gebruikerstoegangspunt voor Citrix Workspace en Citrix Gateway Service. Citrix ADC is een zelfbeheerd virtueel apparaat binnen uw Azure-tenant dat een beveiligde proxy biedt voor externe connectiviteit en verificatie. U kunt Citrix ADC integreren met StoreFront of Workspace. Gebruik Citrix ADC in een lift-and-shift-scenario om gebruikerstoegang tot bestaande Citrix-implementaties te behouden terwijl u workloads naar Azure verplaatst.

  • Citrix Provisioning is een netwerkoplossing voor installatiekopieënbeheer die u in uw Azure-tenant kunt implementeren om schaalbare implementatie van maximaal duizenden niet-permanente machines mogelijk te maken. Citrix Provisioning streamt gecentraliseerde installatiekopieën via een virtueel Azure-netwerk, dat snelle updates biedt en opslagvereisten minimaliseert.

  • Het Citrix App Layering-apparaat is het centrale onderdeel voor de App Layering-technologie die als host fungeert voor de beheerconsole. U kunt App-lagen gebruiken om lagen, laagtoewijzingen en afbeeldingssjablonen te maken en te beheren. U kunt ook helpen bij het beheren van exemplaren van één besturingssysteem en app-exemplaren en het opstellen van installatiekopieën van lagen, wat de inspanning vermindert in omgevingen met verschillende gouden afbeeldingen.

Overwegingen voor Citrix-ontwerp

Houd rekening met de systeem-, workload-, gebruikers- en netwerkrichtlijnen voor Citrix-technologieën. Deze richtlijnen zijn afgestemd op de ontwerpprincipes van Cloud Adoption Framework.

De Citrix on Azure-oplossing vereist een bepaalde hoeveelheid doorvoer voor elke gebruiker, verschillende protocollen en poorten en andere netwerkoverwegingen. U moet alle netwerkapparaten, zoals Citrix ADC en firewalls, de juiste grootte geven om belastingsverhogingen tijdens noodherstelscenario's af te handelen. Zie Azure-specifieke overwegingen voor meer informatie.

Netwerksegmentatie

Houd ook rekening met de Citrix-richtlijnen voor azure-netwerksegmentatie en logisch gesegmenteerde subnetten. Gebruik de volgende richtlijnen om uw eerste netwerk te plannen.

Segmenteren op workloadtypen

Maak afzonderlijke virtuele netwerken of subnetten met één sessie en meerdere sessies om groei van elk netwerktype mogelijk te maken zonder dat dit van invloed is op de schaalbaarheid van het andere netwerktype.

Als u bijvoorbeeld een gedeelde multisessie en een subnet met één sessie vult met VDI (Virtual Desktop Infrastructure), moet u mogelijk een nieuwe hostingeenheid maken ter ondersteuning van toepassingen. Voor een nieuwe hostingeenheid moet u meerdere machinecatalogussen maken ter ondersteuning van het schalen van toepassingen of dat u de bestaande app-catalogi migreert naar een nieuw subnet.

Als u workloadabonnementen gebruikt in een architectuur met meerdere subscriptie, begrijpt u mcS-limieten (Citrix Machine Creation Services) voor het aantal virtuele machines (VM's) per Azure-abonnement. Houd rekening met deze limieten wanneer u uw virtuele netwerk ontwerpt en wanneer u IP-adressering plant.

Segmenteren op tenant, bedrijfseenheid of beveiligingszone

Als u een implementatie met meerdere tenants uitvoert, zoals een Citrix Service Provider-architectuur, raden we u aan tenants tussen netwerken of subnetten te isoleren. Als uw bestaande beveiligingsstandaarden specifieke isolatievereisten op netwerkniveau nodig hebben, kunt u overwegen afzonderlijke bedrijfseenheden of beveiligingszones binnen uw organisatie te isoleren.

Als u bedrijfseenheden segmenteren buiten workloadspecifieke netwerken, neemt de complexiteit van de algehele omgeving toe. Bepaal of deze methode de toegenomen complexiteit waard is. Gebruik deze methode als uitzondering in plaats van de regel en pas deze toe met de juiste reden en geprojecteerde schaal. U kunt bijvoorbeeld een netwerk maken voor 1000 contractanten die ondersteuning bieden voor financiën om tegemoet te komen aan de beveiligingsbehoeften buiten het standaard VDI-netwerk voor één sessie.

U kunt toepassingsbeveiligingsgroepen gebruiken om alleen specifieke VM's toegang te geven tot back-ends van bedrijfseenheidtoepassingen in een gedeeld virtueel netwerk. U kunt bijvoorbeeld de back-endtoegang tot de CRM-machinecatalogus-VM's beperken die het marketingteam gebruikt in het multisession VDA-netwerk.

Implementatie met meerdere regio's

Wanneer u uw workload in meerdere regio's implementeert, moet u hubs, gedeelde resource spokes en VDA-spokes in elke regio implementeren. Selecteer zorgvuldig een abonnementsmodel en een netwerkmodel. Bepaal uw modellen op basis van de groei van uw Azure-footprint binnen en buiten de Citrix-implementatie.

Mogelijk hebt u een kleine Citrix-implementatie en een groot aantal andere resources die zwaar worden gelezen en geschreven tegen de Azure-API, wat de Citrix-omgeving negatief kan beïnvloeden. U kunt ook verschillende Citrix-resources hebben die een overmatig aantal beschikbare API-aanroepen verbruiken, waardoor de beschikbaarheid voor andere resources in het abonnement wordt verminderd.

Voor grootschalige implementaties kunt u workloads isoleren, zodat u implementaties effectief kunt uitschalen en een negatief effect op de Citrix-omgeving van de klant kunt voorkomen. In het volgende architectuurdiagram ziet u één regio in een azure- en Citrix Cloud-omgeving met meerdere regio's.

Architectuur

Diagram met een referentiearchitectuur van belangrijke ontwerpgebieden en aanbevolen procedures voor het ontwerpen van grootschalige Azure- en Citrix Cloud-multisubscriptionomgevingen.

Een Visio-bestand van deze architectuur downloaden.

Aanbevelingen voor Citrix-ontwerp

Bekijk de volgende aanbevelingen voor uw grootschalige implementaties.

Virtuele netwerken peeren met VDA-spokes

Voor grootschalige implementaties maakt u toegewezen gedeelde service- en beheerspaken en koppelt u deze rechtstreeks aan uw VDA-spokes. Deze configuratie minimaliseert de latentie en voorkomt dat u netwerklimieten in uw hubnetwerken bereikt. De volgende punten illustreren deze benadering en komen overeen met het voorgaande diagram.

  • (A) Configuratie van virtueel hubnetwerk: gebruik het virtuele hubnetwerk als het centrale punt voor firewalls en connectiviteit voor cross-premises netwerken en externe netwerken.

  • (B) Gedeelde spoke-peering van resources: zorg ervoor dat u uw virtuele hubnetwerk koppelt aan de gedeelde resource-spoke om de Citrix Cloud-connectors te voorzien van uitgaande 443-connectiviteit.

  • (C) Virtuele netwerken met gedeelde resource spokes: host alle vereiste en optionele Citrix-onderdelen en host gedeelde services, zoals profielopslagaccounts en Azure-rekengalerieën, in de virtuele netwerken met gedeelde spoke-resources. Als u de latentie wilt minimaliseren en de prestaties wilt verbeteren, koppelt u deze netwerken rechtstreeks aan de VDA-spokes.

  • (D) VDA-workload spokes-configuratie: alleen de VDA's hosten in de VDA-workload spokes. Routeer al het netwerkverkeer van VM's en services. U kunt profielverkeer bijvoorbeeld rechtstreeks routeren naar een gedeelde resource-spoke als de resource-spoke zich in een specifieke datacenterregio bevindt. Routeer al het netwerkverkeer dat de datacenterregio verlaat, zoals uitgaand internetverkeer, hybride of connectiviteit tussen regio's, naar het virtuele hubnetwerk.

  • (E) Replica's van de computegalerie: geef het aantal replica's op dat u wilt behouden in de computegalerie. In implementatiescenario's met meerdere VM's distribueert u VM-implementaties over verschillende replica's. Gebruik deze methode zodat wanneer u een exemplaar maakt, beperking niet optreedt vanwege een overbelasting van één replica.

Inzicht in resourcebeperkingen

Wanneer u een implementatie ontwerpt voor een grootschalige, door Citrix beheerde databaseservice in Azure, begrijpt u de beperkingen en azure-beperkingen van Citrix. Deze beperkingen zijn van invloed op uw ontwerp, configuratie en beheer van Citrix- en Azure-omgevingen. Ze zijn ook van invloed op de prestaties, schaalbaarheid en beschikbaarheid van virtuele bureaubladen en toepassingen. De limieten zijn dynamisch, dus controleer regelmatig op updates. Als de huidige limieten niet aan uw behoeften voldoen, neemt u onmiddellijk contact op met uw Microsoft- en Citrix-vertegenwoordigers.

Medewerkers

Dit artikel wordt onderhouden door Microsoft. De tekst is oorspronkelijk geschreven door de volgende Inzenders.

Belangrijkste auteurs:

Als u niet-openbare LinkedIn-profielen wilt zien, meldt u zich aan bij LinkedIn.

Volgende stappen

Zie Virtuele netwerken plannen voor meer informatie over aanbevolen procedures voor Azure-netwerken en het plannen van virtuele netwerken op basis van isolatie, connectiviteit en locatievereisten.

Bekijk de kritieke ontwerpoverwegingen en aanbevelingen voor beheer en bewaking die specifiek zijn voor de implementatie van Citrix in Azure.