Compartilhar via

Configurar a rede híbrida para Citrix Cloud e Azure

  • Artigo

Este artigo descreve arquiteturas para ambientes Azure e Citrix Cloud de região única e multirregião. Ele fornece considerações de design, recomendações de design e componentes que você pode implementar para uma implantação bem-sucedida.

Implantação em uma região

Ao implantar seu ambiente do Azure e do Citrix Cloud em uma única região, use várias assinaturas. Várias assinaturas do Azure fornecem agilidade para unidades de negócios porque centralizam os requisitos de política, auditoria e configuração. Portanto, como ponto de partida, recomendamos que você use uma assinatura dedicada para cargas de trabalho Citrix no Azure.

Arquitetura

Diagrama que mostra uma arquitetura de referência das principais áreas de design e práticas recomendadas de design em um ambiente de várias assinaturas do Azure e do Citrix Cloud.

Baixe um Arquivo Visio dessa arquitetura.

Componentes

Esta arquitetura é formada pelos seguintes componentes:

  • Servidores AD DS (Active Directory Domain Services) e servidores DNS (Sistema de Nomes de Domínio) personalizados
  • Grupos de segurança de rede
  • Observador de Rede do Azure
  • Internet de saída por meio de um caminho padrão da Rede Virtual do Azure
  • Azure ExpressRoute ou Gateway de VPN do Azure para conectividade híbrida com ambientes locais
  • Pontos de extremidade privados do Azure
  • Contas de armazenamento de Arquivos do Azure ou Azure NetApp Files
  • Cofre de Chave do Azure
  • Galeria de Computação do Azure

Para obter mais informações, consulte Comparar opções de armazenamento de perfil.

Essa arquitetura também inclui os seguintes componentes Citrix na zona de destino do Azure:

  • O Citrix Cloud Connector estabelece uma conexão entre o Citrix Cloud e os locais de recursos.

  • O Citrix Virtual Delivery Agent (VDA) é instalado em uma golden image ou dispositivo de destino que hospeda aplicativos ou desktops. Esse agente pode ser usado para se conectar, provisionar e orquestrar aplicativos e áreas de trabalho como computadores persistentes ou não persistentes. O VDA é compatível com dispositivos físicos ou virtuais, incluindo Windows Server, cliente Windows e sistema operacional Linux.

  • O Citrix Workspace é um serviço em nuvem que fornece aos usuários acesso seguro a informações, aplicativos e outros conteúdos. O Citrix Workspace integra ativos do Azure e ativos locais para que os usuários tenham um único ponto de acesso a todos os seus recursos de qualquer local e em qualquer dispositivo.

Componentes Citrix opcionais

Os seguintes componentes Citrix na zona de destino do Azure são opcionais. Considere esses componentes se precisar de funcionalidade avançada.

  • O Citrix Federated Authentication Service emite certificados dinamicamente para os usuários para que eles possam entrar em um ambiente do Windows Server Active Directory. Esse método é semelhante ao uso de um cartão inteligente. O Citrix Federated Authentication Service permite o logon único quando você usa a autenticação baseada em Security Assertion Markup Language. Você pode usar uma ampla variedade de opções de autenticação e provedores de identidade de parceiros, como Okta e Ping.

  • O Citrix StoreFront é um ponto de acesso de usuário interno alternativo para o Citrix Workspace. O StoreFront é autogerenciado e agrega recursos perfeitamente em vários ambientes locais e ambientes do Azure. Você pode usar o StoreFront em um cenário lift-and-shift para manter o acesso do usuário às implantações existentes da Citrix enquanto move cargas de trabalho para o Azure.

  • O Citrix Application Delivery Controller (ADC) ou NetScaler é um ponto de acesso de usuário externo alternativo para o Citrix Workspace e o Citrix Gateway Service. O Citrix ADC é uma solução de virtualização autogerenciada em seu locatário do Azure que fornece proxy seguro para conectividade e autenticação externas. Você pode integrar o Citrix ADC ao StoreFront ou ao Workspace. Use o Citrix ADC em um cenário lift-and-shift para manter o acesso do usuário às implantações existentes da Citrix enquanto você move cargas de trabalho para o Azure.

  • O Citrix Provisioning é uma solução de gerenciamento de imagens baseada em rede que você pode implantar em seu locatário do Azure para permitir a implantação escalonável de até milhares de máquinas não persistentes. O Citrix Provisioning transmite imagens centralizadas em uma rede virtual do Azure, o que fornece atualizações rápidas e minimiza os requisitos de armazenamento.

  • O dispositivo Citrix App Layering é o componente central da tecnologia App Layering que hospeda o console de gerenciamento. Você pode usar o App Layering para criar e gerenciar camadas, atribuições de camada e modelos de imagem. Você também pode ajudar a gerenciar instâncias únicas do sistema operacional e instâncias do aplicativo e compor imagens a partir de camadas, o que reduz o esforço em ambientes que têm várias golden images.

Considerações sobre o design da Citrix

Considere as diretrizes de sistema, carga de trabalho, usuário e rede para tecnologias Citrix. Essas diretrizes estão alinhadas aos princípios de design do Cloud Adoption Framework.

A solução Citrix no Azure requer uma certa quantidade de taxa de transferência para cada usuário, vários protocolos e portas e outras considerações de rede. Você deve dimensionar adequadamente todos os dispositivos de rede, como Citrix ADC e firewalls, para lidar com aumentos de carga durante cenários de recuperação de desastres. Para obter mais informações, consulte Considerações específicas do Azure.

Segmentação de rede

Considere também as diretrizes da Citrix para segmentação de rede do Azure e sub-redes segmentadas logicamente. Use as diretrizes a seguir para ajudar a planejar sua rede inicial.

Segmentar por tipos de carga de trabalho

Crie redes virtuais ou sub-redes separadas de sessão única e multissessão para permitir o crescimento de cada tipo de rede sem afetar a escalabilidade do outro tipo de rede.

Por exemplo, se você preencher uma sub-rede compartilhada de várias sessões e de sessão única com infraestrutura de área de trabalho virtual (VDI), talvez seja necessário criar uma nova unidade de hospedagem para dar suporte a aplicativos. Uma nova unidade de hospedagem requer que você crie vários catálogos de máquinas para dar suporte ao dimensionamento de aplicativos ou que migre os catálogos de aplicativos existentes para uma nova sub-rede.

Se você usar assinaturas de carga de trabalho em uma arquitetura de várias assinaturas, entenda os limites do Citrix Machine Creation Services (MCS) para o número de máquinas virtuais (VMs) por assinatura do Azure. Considere esses limites ao projetar sua rede virtual e ao planejar o endereçamento IP.

Segmentar por locatário, unidade de negócios ou zona de segurança

Se você executar uma implantação multitenant, como uma arquitetura Citrix Service Provider, recomendamos isolar os tenants entre redes ou sub-redes. Se seus padrões de segurança existentes precisarem de requisitos de isolamento específicos no nível da rede, considere isolar unidades de negócios ou zonas de segurança separadas em sua organização.

Se você segmentar unidades de negócios além de redes específicas de carga de trabalho, a complexidade do ambiente geral aumentará. Determine se esse método vale o aumento da complexidade. Use esse método como uma exceção e não como regra e aplique-o com a justificativa correta e a escala projetada. Por exemplo, você pode criar uma rede para 1.000 prestadores de serviços que oferecem suporte financeiro para acomodar necessidades de segurança além da rede VDI padrão de sessão única.

Você pode usar grupos de segurança de aplicativo para permitir que apenas VMs específicas acessem back-ends de aplicativos da unidade de negócios em uma rede virtual compartilhada. Por exemplo, você pode limitar o acesso de back-end do CRM (gerenciamento de relacionamento com o cliente) às VMs do catálogo de máquinas do CRM que a equipe de marketing usa na rede VDA multissessão.

Implantação multirregional

Ao implantar sua carga de trabalho em várias regiões, você deve implantar hubs, spokes de recursos compartilhados e spokes VDA em cada região. Selecione cuidadosamente um modelo de assinatura e um modelo de rede. Determine seus modelos com base no crescimento do volume do Azure dentro e fora da implantação da Citrix.

Você pode ter uma pequena implantação do Citrix e um grande número de outros recursos que leem e gravam pesadamente na API do Azure, o que pode afetar negativamente o ambiente Citrix. Como alternativa, você pode ter vários recursos Citrix que consomem um número excessivo de chamadas de API disponíveis, o que reduz a disponibilidade de outros recursos dentro da assinatura.

Para implantações em grande escala, isole as cargas de trabalho para que você possa escalar horizontalmente as implantações com eficiência e evitar um efeito negativo no ambiente Citrix do cliente. O diagrama de arquitetura a seguir mostra uma única região que está em um ambiente multirregional do Azure e do Citrix Cloud.

Arquitetura

Diagrama que mostra uma arquitetura de referência das principais áreas de design e práticas recomendadas de design para um ambiente de várias assinaturas do Azure e do Citrix Cloud em grande escala.

Baixe um Arquivo Visio dessa arquitetura.

Recomendações de design da Citrix

Considere as recomendações a seguir para suas implantações em grande escala.

Redes virtuais pares com spokes VDA

Para implantações em grande escala, crie spokes dedicados de gerenciamento e serviço compartilhado e emparelhe-os diretamente com seus spokes VDA. Essa configuração minimiza a latência e impede que você atinja os limites de rede em suas redes de hub. Os pontos a seguir ilustram essa abordagem e correspondem ao diagrama anterior.

  • (A) Configuração de rede virtual do hub: use a rede virtual do hub como o ponto central para firewalls e conectividade para redes entre locais e redes externas.

  • (B) Emparelhamento spoke de recurso compartilhado: certifique-se de emparelhar sua rede virtual de hub com o spoke de recurso compartilhado para fornecer aos Citrix Cloud Connectors conectividade de saída 443.

  • (C) Redes virtuais spoke de recursos compartilhados: hospede todos os componentes Citrix necessários e opcionais e hospede serviços compartilhados, como contas de armazenamento de perfil e galerias de computação do Azure, nas redes virtuais spoke de recursos compartilhados. Para minimizar a latência e melhorar o desempenho, emparelhe essas redes diretamente com os spokes VDA.

  • (D) Configuração de spokes de carga de trabalho VDA: hospede apenas os VDAs nos spokes de carga de trabalho VDA. Roteie todo o tráfego de rede de VMs e serviços. Por exemplo, você pode rotear o tráfego de perfil diretamente para um spoke de recurso compartilhado se o spoke do recurso estiver dentro de uma região de datacenter específica. Roteie todo o tráfego de rede que sai da região do datacenter, como saída da Internet, conectividade híbrida ou entre regiões, para a rede virtual do hub.

  • (E) Réplicas de versão da Galeria de Computação: especifique o número de réplicas que você deseja manter na Galeria de Computação. Em cenários de implantação de várias VMs, distribua implantações de VM em diferentes réplicas. Use essa abordagem para que, ao criar uma instância, a limitação não ocorra devido à sobrecarga de uma única réplica.

Entender as limitações de recursos

Ao projetar uma implantação para um serviço de banco de dados gerenciado Citrix em grande escala no Azure, entenda as limitações da Citrix e do Azure. Essas limitações afetam o design, a configuração e o gerenciamento de ambientes Citrix e Azure. Eles também afetam o desempenho, a escalabilidade e a disponibilidade de desktops e aplicativos virtuais. Os limites são dinâmicos, portanto, verifique se há atualizações com frequência. Se os limites atuais não atenderem às suas necessidades, entre em contato imediatamente com seus representantes da Microsoft e da Citrix.

Colaboradores

Esse artigo é mantido pela Microsoft. Ele foi originalmente escrito pelos colaboradores a seguir.

Principais autores:

  • Ben Martin Baur - Brasil | Especialista Técnico Sênior de Endpoint de Nuvem
  • Jen Sheerin - Brasil | Engenheiro de Clientes Sênior
  • Ravi Varma Addala | Arquiteto de Soluções de Nuvem Sênior, Azure Core Infrastructure

Para ver perfis não públicos do LinkedIn, entre no LinkedIn.

Próximas etapas

Para saber mais sobre as práticas recomendadas de rede do Azure e como planejar redes virtuais com base em requisitos de isolamento, conectividade e localização, consulte Planejar redes virtuais.

Examine as considerações críticas de design e as recomendações para gerenciamento e monitoramento específicas da implantação do Citrix no Azure.