Поделиться через

Настройка гибридной сети для Citrix Cloud и Azure

  • Статья

В этой статье описываются архитектуры для однорегионных и многорегионных сред Azure и Citrix Cloud. Он предоставляет рекомендации по проектированию, рекомендации по проектированию и компоненты, которые можно реализовать для успешного развертывания.

Развертывание в одном регионе

При развертывании среды Azure и Citrix Cloud в одном регионе используйте несколько подписок. Несколько подписок Azure обеспечивают гибкость для бизнес-единиц, так как они централизируют политику, аудит и требования к конфигурации. Поэтому в качестве отправной точки рекомендуется использовать выделенную подписку для рабочих нагрузок Citrix в Azure.

Архитектура

Схема, на которой показана эталонная архитектура основных областей проектирования и рекомендации по проектированию в среде Azure и Citrix Cloud multisubscription.

Скачайте файл Visio для этой архитектуры.

Компоненты

Эта архитектура состоит из следующих компонентов.

  • серверы служб домен Active Directory (AD DS) и серверы пользовательской системы доменных имен (DNS)
  • Группы безопасности сети
  • Наблюдатель за сетями Azure
  • Исходящий интернет через путь azure виртуальная сеть по умолчанию
  • Azure ExpressRoute или Azure VPN-шлюз для гибридного подключения к локальным средам
  • Частные конечные точки Azure
  • Файлы Azure учетные записи хранения или Azure NetApp Files
  • Azure Key Vault
  • Коллекция вычислений Azure

Дополнительные сведения см. в разделе "Сравнение параметров хранилища профилей".

Эта архитектура также включает следующие компоненты Citrix в целевой зоне Azure:

  • Citrix Cloud Connector устанавливает соединение между Citrix Cloud и расположениями ресурсов.

  • Citrix Virtual Delivery Agent (VDA) устанавливается на золотом изображении или целевом устройстве, на котором размещаются приложения или настольные компьютеры. Этот агент можно использовать для подключения, подготовки и оркестрации приложений и рабочих столов как постоянных или не постоянных компьютеров. VDA совместима с физическими устройствами или виртуальными устройствами, включая Windows Server, клиент Windows и ОС Linux.

  • Citrix Workspace — это облачная служба, которая обеспечивает пользователям безопасный доступ к информации, приложениям и другому содержимому. Citrix Workspace интегрирует ресурсы Azure и локальные ресурсы, чтобы пользователи имели единый доступ ко всем ресурсам из любого расположения и на любом устройстве.

Необязательные компоненты Citrix

Следующие компоненты Citrix в целевой зоне Azure являются необязательными. Рассмотрите эти компоненты, если вам нужна расширенная функциональность.

  • Citrix Федеративная служба проверки подлинности динамически выдает сертификаты для пользователей, чтобы они могли войти в среду Windows Server Active Directory. Этот метод аналогичен использованию смарт-карты. Citrix Федеративная служба проверки подлинности включает единый вход при использовании проверки подлинности на основе языка разметки утверждений безопасности. Вы можете использовать широкий спектр вариантов проверки подлинности и поставщиков удостоверений партнеров, таких как Okta и Ping.

  • Citrix StoreFront — это альтернативная внутренняя точка доступа пользователей для Citrix Workspace. StoreFront — это самоуправляемые и легко агрегированные ресурсы в нескольких локальных средах и средах Azure. Вы можете использовать StoreFront в сценарии lift-and-shift для поддержания доступа пользователей к существующим развертываниям Citrix при перемещении рабочих нагрузок в Azure.

  • Контроллер доставки приложений Citrix (ADC) или NetScaler — это альтернативная точка доступа внешних пользователей для Citrix Workspace и Citrix Gateway Service. Citrix ADC — это самоуправляемое виртуальное устройство в клиенте Azure, которое предоставляет безопасный прокси-сервер для внешнего подключения и проверки подлинности. Вы можете интегрировать Citrix ADC с StoreFront или Workspace. Используйте Citrix ADC в сценарии лифта и смены, чтобы обеспечить доступ пользователей к существующим развертываниям Citrix при перемещении рабочих нагрузок в Azure.

  • Citrix Provisioning — это сетевое решение для управления образами, которое можно развернуть в клиенте Azure, чтобы обеспечить масштабируемое развертывание до тысяч неизменяемых компьютеров. Citrix Provisioning передает централизованные образы через виртуальную сеть Azure, которая обеспечивает быстрые обновления и минимизирует требования к хранилищу.

  • Устройство Citrix App Layering — это центральный компонент технологии слоя приложений, на котором размещается консоль управления. С помощью слоя приложений можно создавать слои, назначения слоев и шаблоны изображений и управлять ими. Кроме того, вы можете управлять отдельными экземплярами ОС и экземплярами приложений и создавать образы из слоев, что сокращает усилия в средах с несколькими золотыми изображениями.

Рекомендации по проектированию Citrix

Рассмотрим системные, рабочие нагрузки , пользователей и сетевые рекомендации по технологиям Citrix. Это руководство соответствует принципам проектирования Cloud Adoption Framework.

Для решения Citrix в Azure требуется определенная пропускная способность для каждого пользователя, различных протоколов и портов и других сетевых рекомендаций. Для обработки нагрузки во время сценариев аварийного восстановления необходимо соответствующим образом размер всех сетевых устройств, таких как Citrix ADC и брандмауэры. Дополнительные сведения см . в рекомендациях, относящихся к Azure.

сегментация сети.

Кроме того, ознакомьтесь с рекомендациями Citrix по сегментации сети Azure и логически сегментированных подсетей. Используйте следующие рекомендации, чтобы спланировать начальную сеть.

Сегментирование по типам рабочей нагрузки

Создайте отдельные односеансовые и многосессионные виртуальные сети или подсети, чтобы обеспечить рост каждого типа сети, не влияя на масштабируемость другого типа сети.

Например, если заполнить общую многосессию и односеансовую подсеть инфраструктурой виртуальных рабочих столов (VDI), может потребоваться создать новую единицу размещения для поддержки приложений. Для поддержки масштабирования приложений требуется создать несколько каталогов компьютеров или перенести существующие каталоги приложений в новую подсеть.

Если вы используете подписки рабочей нагрузки в архитектуре с несколькими подписками, ознакомьтесь со ограничениями Citrix Machine Create Services (MCS) для количества виртуальных машин на одну подписку Azure. Учитывайте эти ограничения при разработке виртуальной сети и при планировании IP-адресации.

Сегментирование по клиенту, бизнес-единице или зоне безопасности

При запуске мультитенантного развертывания, например архитектуры поставщика услуг Citrix, рекомендуется изолировать арендаторы между сетями или подсетями. Если существующие стандарты безопасности требуют конкретных требований к изоляции на уровне сети, рассмотрите возможность изоляции отдельных бизнес-единиц или зон безопасности в организации.

Если сегментирование бизнес-единиц за пределами сетей, относящихся к рабочей нагрузке, увеличивается сложность общей среды. Определите, стоит ли этот метод повысить сложность. Используйте этот метод как исключение, а не правило, и примените его с правильным обоснованием и прогнозируемым масштабированием. Например, вы можете создать сеть для 1000 подрядчиков, которые поддерживают финансы для удовлетворения потребностей безопасности за пределами стандартной односеансовой сети VDI.

Группы безопасности приложений можно использовать, чтобы разрешить только определенным виртуальным машинам доступ к серверной части приложения бизнес-подразделения в общей виртуальной сети. Например, вы можете ограничить внутренний доступ к виртуальным машинам каталога компьютеров CRM, которые группа маркетинга использует в сети VDA с несколькими адресами.

Развертывание с несколькими агрегатами

При развертывании рабочей нагрузки в нескольких регионах необходимо развернуть концентраторы, общие периферийные ресурсы и периферийные компоненты VDA в каждом регионе. Тщательно выберите модель подписки и сетевую модель. Определите модели на основе роста объема ресурсов Azure внутри и за пределами развертывания Citrix.

Возможно, у вас может быть небольшое развертывание Citrix и большое количество других ресурсов, которые считывают и записывают в azure API, что может негативно повлиять на среду Citrix. Кроме того, у вас может быть несколько ресурсов Citrix, которые используют чрезмерное количество доступных вызовов API, что снижает доступность для других ресурсов в подписке.

Для крупномасштабных развертываний изолируйте рабочие нагрузки, чтобы эффективно масштабировать развертывания и предотвратить негативное влияние на среду Citrix клиента. На следующей схеме архитектуры показан один регион, который находится в многорегионной среде Azure и Citrix Cloud.

Архитектура

Схема, на которой показана эталонная архитектура основных областей проектирования и рекомендации по проектированию для крупномасштабной среды Azure и Citrix Cloud multisubscription.

Скачайте файл Visio для этой архитектуры.

Рекомендации по проектированию Citrix

Рассмотрим следующие рекомендации для крупномасштабных развертываний.

Одноранговые виртуальные сети с периферийными узлами VDA

Для крупномасштабных развертываний создайте выделенные общие службы и периферийные серверы управления и напрямую с ними с помощью периферийных устройств VDA. Эта конфигурация сводит к минимуму задержку и предотвращает достижение ограничений сети в центральных сетях. Следующие моменты иллюстрируют этот подход и соответствуют приведенной выше схеме.

  • (A) Конфигурация виртуальной сети концентратора: используйте виртуальную сеть концентратора в качестве центральной точки для брандмауэров и подключений для локальных сетей и внешних сетей.

  • (B) Пиринг с общим ресурсом: убедитесь, что виртуальная сеть концентратора связана с общим ресурсом, чтобы обеспечить подключение Citrix Cloud Connectors с 443 исходящим подключением.

  • (C) Общие виртуальные сети периферийных ресурсов: размещение всех необходимых и необязательных компонентов Citrix, а также общих служб узлов, таких как учетные записи хранения профилей и коллекции вычислений Azure, в периферийных виртуальных сетях общего ресурса. Чтобы свести к минимуму задержку и повысить производительность, пиринг этих сетей напрямую с периферийными узлами VDA.

  • (D) Конфигурация периферийных рабочих нагрузок VDA: размещение только виртуальных серверов в периферийных серверах рабочей нагрузки VDA. Маршрутизация всего сетевого трафика из виртуальных машин и служб. Например, можно направлять трафик профиля непосредственно в общий ресурс, если периферийный ресурс находится в определенном регионе центра обработки данных. Перенаправите весь сетевой трафик, который покидает регион центра обработки данных, например исходящий трафик через Интернет, гибридную или межрегионную связь, в виртуальную сеть концентратора.

  • (E) Реплики версий коллекции вычислений: укажите количество реплик, которые требуется сохранить в коллекции вычислений. В сценариях развертывания с несколькими виртуальными машинами распределяйте развертывания виртуальных машин между разными репликами. Используйте этот подход, чтобы при создании экземпляра регулирование не происходило из-за перегрузки одной реплики.

Общие сведения об ограничениях ресурсов

При разработке развертывания для крупномасштабной службы управляемых баз данных Citrix в Azure ознакомьтесь с ограничениями Citrix и ограничениями Azure. Эти ограничения влияют на проектирование, настройку и управление средами Citrix и Azure. Они также влияют на производительность, масштабируемость и доступность виртуальных рабочих столов и приложений. Ограничения являются динамическими, поэтому часто проверяйте наличие обновлений. Если текущие ограничения не соответствуют вашим потребностям, обратитесь к представителям Корпорации Майкрософт и Citrix.

Соавторы

Эта статья поддерживается корпорацией Майкрософт. Первоначально он был написан следующими участниками.

Основные авторы:

  • Бен Мартин Баур | Старший технический специалист по облачной конечной точке
  • Джен Шерин | Старший инженер клиента
  • Ravi Varma Addala | Старший архитектор облачных решений, инфраструктура Azure Core

Чтобы просмотреть недоступные профили LinkedIn, войдите в LinkedIn.

Следующие шаги

Дополнительные сведения о рекомендациях по сети Azure и о планировании виртуальных сетей на основе изоляции, подключения и расположения см. в статье "Планирование виртуальных сетей".

Ознакомьтесь с важными рекомендациями по проектированию и управлению и мониторингу , которые относятся к развертыванию Citrix в Azure.