Share via

Hybride netwerken met Citrix Cloud en Azure

  • Artikel

In dit artikel wordt een referentiearchitectuur beschreven met belangrijke ontwerpgebieden en aanbevolen procedures voor het ontwerpen van een Azure- en Citrix Cloud-omgeving met meerdere abonnementen.

Architectuur

In het volgende architectuurdiagram ziet u een Azure- en Citrix Cloud-omgeving met meerdere abonnementen.

Diagram of a reference architecture that demonstrates major design areas and design best practices in an Azure and Citrix Cloud multisubscription environment.

Download het Visio-bestand.

Onderdelen

U kunt deze architectuur implementeren met de volgende onderdelen:

  • Active Directory-domein Services -servers (AD DS) en aangepaste DNS-servers (Domain Name System)
  • Netwerkbeveiligingsgroepen
  • Azure Network Watcher
  • Uitgaand internet via een standaardpad naar een virtueel Azure-netwerk
  • Azure ExpressRoute of Azure VPN Gateway voor hybride connectiviteit met on-premises
  • Privé-eindpunten van Azure
  • Opslagaccounts voor Azure Files of Azure NetApp Files : profielopslagopties vergelijken
  • Azure Key Vault

Dit scenario bevat ook de volgende Citrix-onderdelen binnen de Azure-landingszone:

  • Citrix Cloud Verbinding maken or brengt een verbinding tot stand tussen Citrix Cloud en uw resourcelocaties.
  • Citrix Virtual Delivery Agent (VDA) wordt geïnstalleerd op een hoofdinstallatiekopieën of doelapparaat dat als host fungeert voor uw apps of desktops. Deze agent maakt connectiviteit, inrichting en indeling van deze resources mogelijk als permanente of niet-permanente machines. De VDA is compatibel met fysieke of virtuele apparaten en Windows Server, Windows Client of Linux OS.
  • Citrix Workspace is een cloudservice die veilige toegang biedt tot de informatie, apps en andere inhoud die relevant is voor eindgebruikersrollen. Citrix Workspace integreert Azure- en on-premises assets, waardoor geïntegreerde toegang tot alle resources van uw gebruikers op één locatie op elk apparaat mogelijk is.

Optionele Citrix-onderdelen

De volgende Citrix-onderdelen binnen de Azure-landingszone zijn optioneel. Houd rekening met deze onderdelen als u geavanceerde functionaliteit nodig hebt.

  • Citrix Federated Authentication Service geeft dynamisch certificaten uit voor gebruikers, zodat ze zich kunnen aanmelden bij een Active Directory-omgeving alsof ze een smartcard hadden. Met deze service wordt eenmalige aanmelding ingeschakeld bij het gebruik van verificatie op basis van Security Assertion Markup Language (SAML). U kunt een breed scala aan verificatieopties en id-providers van derden gebruiken, zoals Okta en Ping.
  • Citrix StoreFront is een alternatief intern gebruikerstoegangspunt voor Citrix Workspace. StoreFront is zelfbeheerd en voegt naadloos resources samen in meerdere on-premises en Azure-omgevingen. Lift- en shift-scenario's maken vaak gebruik van StoreFront om gebruikerstoegang tot bestaande Citrix-implementaties te behouden tijdens het verplaatsen van workloads naar Azure.
  • Citrix ADC (NetScaler) is een alternatief extern gebruikerstoegangspunt voor Citrix Workspace en Gateway Service. Citrix ADC is een zelfbeheerd virtueel apparaat binnen uw Azure-tenant dat een beveiligde proxy biedt voor externe connectiviteit en verificatie. U kunt Citrix ADC integreren met StoreFront of Workspace. Lift-and-shift-scenario's maken vaak gebruik van Citrix ADC om gebruikerstoegang tot bestaande Citrix-implementaties te behouden tijdens het verplaatsen van workloads naar Azure.
  • Citrix Provisioning is een oplossing voor installatiekopieënbeheer op basis van een netwerk die u in uw Azure-tenant kunt implementeren om schaalbare implementatie van maximaal duizenden niet-permanente machines mogelijk te maken. Citrix Provisioning ondersteunt snelle updates en verminderde opslagvereisten door gecentraliseerde installatiekopieën via een virtueel Azure-netwerk te streamen.
  • Citrix App Layering-apparaat is het centrale onderdeel voor de App Layering-technologie die als host fungeert voor de beheerconsole en waarmee lagen, laagtoewijzingen en afbeeldingssjablonen kunnen worden gemaakt en beheerd. App Layering helpt bij het beheren van één besturingssysteem- en app-exemplaren en het opstellen van installatiekopieën van lagen, waardoor de inspanning in omgevingen met veel gouden afbeeldingen aanzienlijk wordt verminderd.

Overwegingen voor Citrix-ontwerp

Ontwerprichtlijnen voor Citrix DaaS in Microsoft Azure zijn beschikbaar op Citrix TechZone - Ontwerprichtlijnen voor Citrix DaaS op Microsoft Azure. In deze richtlijnen worden de systeem-, workload-, gebruikers- en netwerkoverwegingen voor Citrix-technologieën benadrukt in overeenstemming met de ontwerpprincipes van Het Cloud Adoption Framework.

De Citrix on Azure-oplossing vereist een bepaalde hoeveelheid doorvoer voor elke gebruiker, verschillende protocollen en poorten en andere netwerkoverwegingen. Alle netwerkapparaten, zoals Citrix ADC en firewalls, moeten de juiste grootte hebben om belastingsverhogingen af te handelen tijdens scenario's voor herstel na noodgevallen. Zie Ontwerpbeslissing: Specifieke overwegingen voor Azure voor meer informatie.

Netwerksegmentatie

Citrix biedt ook richtlijnen voor azure-netwerksegmentatie en logisch gesegmenteerde subnetten. Wanneer u de richtlijnen voor netwerksegmentatie voor Citrix-workloads bekijkt, gebruikt u de volgende richtlijnen om u te helpen bij de eerste planning:

Segmenteren op workloadtypen

Maak afzonderlijke virtuele netwerken of subnetten met één sessie en meerdere sessies om groei van elk netwerktype mogelijk te maken zonder dat dit van invloed is op de schaalbaarheid van het andere type.

Als u bijvoorbeeld een gedeelde multisessie en een subnet met één sessie vult met VDI (Virtual Desktop Infrastructure), moet u mogelijk een nieuwe hostingeenheid maken ter ondersteuning van toepassingen. Voor een nieuwe hostingeenheid moet u meerdere machinecatalogussen maken ter ondersteuning van het schalen van toepassingen of het migreren van de bestaande app-catalogi naar een nieuw subnet.

Als u workloadabonnementen gebruikt als onderdeel van een architectuur met meerdere abonnementen, begrijpt u mcS-limieten (Citrix Machine Creation Service) voor het aantal virtuele machines (VM's) per Azure-abonnement. Houd rekening met deze limieten in het ontwerp van uw virtuele netwerk en wanneer u IP-adressering plant.

Segmenteren op tenant, bedrijfseenheid of beveiligingszone

Als u een multitenant-implementatie uitvoert, zoals een Citrix Service Provider-architectuur, is het raadzaam om tenants tussen netwerken of subnetten te isoleren. Als uw bestaande beveiligingsstandaarden specifieke isolatievereisten op netwerkniveau nodig hebben, kunt u overwegen afzonderlijke bedrijfseenheden of beveiligingszones binnen uw organisatie te isoleren.

Weeg segmentatie van bedrijfseenheden af buiten workloadspecifieke netwerken tegen het effect van verhoogde complexiteit op de algehele omgeving. Deze methodologie moet de uitzondering zijn in plaats van de regel en moet worden toegepast met de juiste reden en geprojecteerde schaal. U kunt bijvoorbeeld een netwerk maken voor 1000 contractanten die financiering ondersteunen om tegemoet te komen aan de beveiligingsbehoeften buiten het standaard VDI-netwerk voor één sessie.

U kunt toepassingsbeveiligingsgroepen gebruiken om alleen specifieke VM's toegang te geven tot back-ends van bedrijfseenheidtoepassingen in een gedeeld virtueel netwerk. U kunt bijvoorbeeld de back-endtoegang voor customer relations management (CRM) beperken tot de CRM-machinecatalogus-VM's die Marketing gebruikt in het multisession VDA-netwerk.

Volgende stappen

Zie Virtuele netwerken plannen voor meer informatie over aanbevolen procedures voor Azure-netwerken en het plannen van virtuele netwerken op basis van isolatie, connectiviteit en locatievereisten.

Bekijk de kritieke ontwerpoverwegingen en aanbevelingen voor beheer en bewaking die specifiek zijn voor de implementatie van Citrix in Azure.