快速部署中的网络连接
简介
本文详细介绍了在使用Citrix Managed Azure订阅时如何创建到企业资源的网络连接。
使用您自己的客户管理的Azure订阅时,不需要创建网络连接。
在创建Quick Deploy目录时,您可以指示用户是否以及如何从其Citrix桌面和应用程序访问其企业内部网络上的位置和资源。使用连接时,必须在创建目录之前创建连接。
使用Citrix Managed Azure订阅时,有以下选项:
创建目录后,不能更改目录的连接类型。
所有网络连接的要求
- 在创建连接时,必须具有有效的DNS服务器条目.
- 当使用Secure DNS或第三方DNS提供商时,必须将分配给Citrix DaaS(以前是Citrix Virtual Apps and台式机服务)使用的地址范围添加到允许列表中的DNS提供商的IP地址中。该地址范围在创建连接时指定。
- 使用该连接的所有服务资源(域加入的机器)必须能够到达您的网络时间协议(NTP)服务器,以确保时间同步。
没有连接
配置目录时没有连接,用户无法访问本地网络或其他网络上的资源。这是使用快速创建创建目录时的唯一选择。
关于Azure VNet对等连接
虚拟网络对等连接两个Azure虚拟网络(VNet):您的和Citrix DaaS VNet。对等还有助于用户从内部网络访问文件和其他项目。
如下图所示,您使用Azure VNet创建连接,从Citrix Managed Azure订阅对等到公司Azure订阅中的VNet。
下面是VNet对等的另一个例子。
在创建目录时,用户可以通过加入本地域来访问他们的网络资源(例如文件服务器)。(即加入文件共享等所需资源所在的AD域。)您的Azure订阅连接到这些资源(在图形中,使用VPN或Azure ExpressRoute)。在创建目录时,您提供域、OU和帐户凭据。
重要的是:
- 在此服务中使用Azure VNet对等之前,请了解它。
- 在创建使用VNet对等连接的目录之前,先创建VNet对等连接。
Azure VNet对等自定义路由
自定义或用户定义路由覆盖Azure的默认系统路由,用于在VNet对等网络、本地网络和Internet中的虚拟机之间定向流量。如果期望Citrix DaaS资源访问某些网络,但不能通过VNet对等连接,则可以使用自定义路由。例如,您可以创建一个自定义路由,强制将流量通过网络设备发送到Internet或本地网络子网。
使用自定义路由:
- 您必须在Citrix DaaS环境中拥有现有的Azure虚拟网络网关或网络设备(如Citrix SD-WAN)。
- 添加自定义路由时,必须使用Citrix DaaS的目的地VNet信息更新公司的路由表,以确保端到端连通性。
- 自定义路由在Citrix DaaS中按输入顺序显示。这个显示顺序不会影响Azure选择路由的顺序。
在使用自定义路由之前,请阅读Microsoft的文章虚拟网络流量路由了解如何使用自定义路由、下一跳类型以及Azure如何为出站流量选择路由。
您可以在创建Azure VNet对等连接或Citrix DaaS环境中的现有对等连接时添加自定义路由。当您准备在VNet对等中使用自定义路由时,请参考本文中的以下部分:
- 对于使用新的Azure VNet对等的自定义路由:创建Azure VNet对等连接
- 对于已有Azure VNet对等的自定义路由:管理现有Azure VNet对等连接的自定义路由
Azure VNet对等需求和准备
- Azure订阅所有者的凭据。这必须是Azure活动目录帐户。此服务不支持其他帐户类型,例如live.com或外部Azure AD帐户(在不同的租户中)。
- Azure订阅、资源组和虚拟网络(VNet)。
- 设置Azure网络路由,以便Citrix Managed Azure订阅中的vda可以与您的网络位置通信。
- 从VNet打开Azure网络安全组到指定的IP范围。
活动目录:对于域加入场景,我们建议您在对等VNet中运行某种形式的Active Directory服务。这充分利用了Azure VNet对等技术的低延迟特性。
例如,配置可能包括Azure活动目录域服务(aadd)、VNet中的域控制器VM或Azure AD连接到本地活动目录。
启用aadd后,如果不删除管理域,则无法将管理域移动到其他VNet。因此,选择正确的VNet来启用托管域非常重要。在继续之前,请回顾一下微软的文章Azure AD域服务的网络注意事项.
VNet IP范围:创建连接时,必须提供一个可用的CIDR地址空间(IP地址和网络前缀),该CIDR地址空间在网络资源和正在连接的Azure vnet中是唯一的。这是分配给Citrix DaaS的对等VNet中的vm的IP范围。
确保指定的IP范围不与Azure和内部部署网络中使用的任何地址重叠。
例如,如果您的Azure VNet的地址空间为10.0.0.0 /16,则在Citrix DaaS中创建VNet对等连接,例如192.168.0.0 /24。
在本例中,使用10.0.0.0 /24的IP范围创建对等连接将被视为重叠地址范围。
如果地址重叠,可能会导致VNet对等连接创建失败。它也不能正确地用于站点管理任务。
要了解VNet对等,请参阅以下Microsoft文章。
- 虚拟网络对等
- Azure VPN网关
- 在Azure门户中创建站点到站点连接
- VPN网关常见问题(搜索“重叠”)
创建Azure VNet对等连接
从管理>快速部署,扩大网络连接在右边。如果你已经建立了连接,它们就会被列出。
- 选择添加连接.
在添加Azure VNet对等盒子。
选择验证Azure帐户.
Citrix DaaS自动将您带到Azure登录页面,以验证您的Azure订阅。在您登录到Azure(使用全局管理员帐户凭据)并接受条款之后,您将返回到连接创建详细信息对话框。
- 键入Azure VNet对等体的名称。
- 选择Azure订阅、资源组和要对等的VNet。
- 指示所选VNet是否使用Azure虚拟网络网关。有关信息,请参阅Microsoft文章Azure VPN网关.
如果你回答了是的在上一步(VNet使用Azure虚拟网络网关)中,指示是否要启用虚拟网络网关路由传播。启用后,Azure自动学习(添加)通过网关的所有路由。
您可以稍后在连接上更改此设置细节页面。然而,改变它会导致路由模式改变和VDA流量中断。此外,如果稍后禁用它,则必须手动添加到vda将使用的网络的路由。
输入IP地址并选择网络掩码。将显示要使用的地址范围,以及该范围支持的地址数量。确保IP范围不会与Azure和内部部署网络中使用的任何地址重叠。
- 例如,如果您的Azure VNet的地址空间为10.0.0.0 /16,则在Citrix DaaS中创建VNet对等连接,例如192.168.0.0 /24。
- 在本例中,使用10.0.0.0 /24的IP地址范围创建VNet对等连接被认为是重叠地址范围。
如果地址重叠,可能会导致VNet对等连接创建失败。对于站点管理任务,它也不能正常工作。
- 指示是否要向VNet对等连接添加自定义路由。如果您选择是的,输入以下信息:
- 为自定义路由键入友好的名称。
- 输入目的IP地址和网络前缀。网络前缀必须在16 ~ 24之间。
选择流量路由的下一跳类型。如果您选择虚拟设备,输入设备的内部IP地址。
有关下一跳类型的详细信息,请参见定制的路线部分虚拟网络流量路由.
- 若要为连接创建另一个自定义路由,请选择添加路由.
- 选择添加VNet对等.
创建连接后,它列在下面网络连接> Azure VNet对等体在右边的管理>快速部署仪表板。创建目录时,此连接将包含在可用网络连接列表中。
查看Azure VNet对等连接详细信息
- 从管理>快速部署,扩大网络连接在右边。
- 选择要显示的Azure VNet对等连接。
细节包括:
- 使用此连接的目录、机器、映像和堡垒的数量。
- 区域、已分配的网络空间、被窥视的VNets。
- VNet对等连接当前配置的路由。
管理现有Azure VNet对等连接的自定义路由
您可以向已有的连接添加新的自定义路由,也可以修改已有的自定义路由,包括禁用或删除自定义路由。
重要的是:
修改、禁用或删除自定义路由会改变连接的流量,并可能中断可能处于活动状态的任何用户会话。
添加自定义路由。
- 从管理>快速部署,扩大网络连接在右边。
- 选择要删除的连接。
- 从连接详细信息中选择路线然后选择添加路由.
- 输入友好的名称、目的IP地址和前缀以及要使用的下一跳类型。如果您选择虚拟设备作为下一跳类型,输入设备的内部IP地址。
- 是否启用自定义路由。缺省情况下,使能自定义路由。
- 选择添加路由.
修改或禁用一条自定义路由。
- 从管理>快速部署,扩大网络连接在右边。
- 选择要删除的连接。
- 从连接详细信息中选择路线然后定位要管理的自定义路由。
从省略号菜单中选择编辑.
- 根据需要对目的IP地址和前缀或下一跳类型进行必要的更改。
- 启用或禁用自定义路由启用此路由?中,选择是的或没有.
- 选择保存.
删除一条自定义路由。
- 从管理>快速部署,扩大网络连接在右边。
- 选择要删除的连接。
- 从连接详细信息中选择路线然后定位要管理的自定义路由。
- 从省略号菜单中选择删除.
- 选择删除路由可能会中断已激活的会话确认删除自定义路由的影响。
- 选择删除路线.
删除Azure VNet对等连接
在删除Azure VNet对等连接之前,请删除与之关联的所有编目。看到删除目录.
- 从管理>快速部署,扩大网络连接在右边。
- 选择要删除的连接。
- 从连接详细信息中选择删除连接.
关于SD-WAN连接
Citrix SD-WAN优化Citrix DaaS所需的所有网络连接。思杰SD-WAN与HDX技术协同工作,为ICA和带外思杰DaaS流量提供服务质量和连接可靠性。Citrix SD-WAN支持以下网络连接:
- 用户与虚拟桌面之间的多流ICA连接
- 从虚拟桌面到网站、SaaS应用程序和其他云属性的互联网访问
- 从虚拟桌面访问本地资源(如Active Directory、文件服务器和数据库服务器)
- 实时/交互式流量通过RTP从工作区应用程序中的媒体引擎传输到云托管的统一通信服务(如Microsoft Teams)
- 从YouTube和Vimeo等网站获取视频的客户端
如下图所示,您从Citrix Managed Azure订阅到您的站点创建了一个SD-WAN连接。在创建连接期间,SD-WAN VPX设备是在Citrix Managed Azure订阅中创建的。从SD-WAN的角度来看,该位置被视为一个分支。
SD-WAN连接要求及准备
如果不满足以下要求,则无法使用SD-WAN网络连接选项。
- Citrix云服务授权:Citrix DaaS(原Citrix Virtual Apps and台式机服务)和SD-WAN Orchestrator。
- 已安装并配置的SD-WAN部署。部署必须包括一个主控制节点(MCN),无论是在云中还是在本地,并使用SD-WAN Orchestrator进行管理。
VNet IP范围:提供一个可用的CIDR地址空间(IP地址和网络前缀),该CIDR地址空间在所连接的网络资源中是唯一的。这是分配给Citrix DaaS VNet内的虚拟机的IP范围。
确保您指定的IP范围不与您在云和本地网络中使用的任何地址重叠。
- 例如,如果网络的地址空间为10.0.0.0 /16,则在Citrix DaaS中创建诸如192.168.0.0 /24之类的连接。
- 在本例中,使用10.0.0.0 /24 IP范围创建连接将被视为重叠地址范围。
如果地址重叠,则可能无法成功创建连接。它也不能正确地用于站点管理任务。
连接配置过程包括您(Citrix DaaS管理员)和SD-WAN Orchestrator管理员必须完成的任务。此外,要完成任务,还需要SD-WAN Orchestrator管理员提供的信息。
我们建议您在实际创建连接之前,先阅读本文档中的指导以及SD-WAN文档。
创建SD-WAN连接
重要的是:
SD-WAN的配置请参见用于Citrix DaaS集成的SD-WAN配置.
- 从管理>快速部署,扩大网络连接在右边。
- 选择添加连接.
- 在添加网络连接页面中,单击SD-WAN框中的任意位置。
- 下一页总结了前面的内容。阅读完毕后,选择开始配置SD-WAN.
在配置SD-WAN页,输入SD-WAN Orchestrator管理员提供的信息。
- 部署模式:如果您选择高可用性,将创建两个VPX设备(建议用于生产环境)。如果您选择独立的,将创建一个设备。以后不能更改此设置。要更改为部署模式,您必须删除并重新创建分支和所有关联的编目。
- 名称:键入SD-WAN站点的名称。
- 办事处的吞吐量及数目:此信息由SD-WAN Orchestrator管理员提供。
- 地区:VPX设备将被创建的区域。
- VDA子网和SD-WAN子网:此信息由SD-WAN Orchestrator管理员提供。看到SD-WAN连接要求及准备有关避免冲突的信息。
- 完成后,选择创建分支.
- 下一页总结了在管理>快速部署仪表板。阅读完毕后,选择明白了吗.
- 从管理>快速部署下的新SD-WAN条目网络连接显示配置过程的进度。当条目和消息一起变成橙色时
等待SD-WAN管理员激活,通知SD-WAN Orchestrator管理员。 - 有关SD-WAN Orchestrator管理员任务,请参见SD-WAN Orchestrator产品文档.
- 当SD-WAN Orchestrator管理员完成时,下的SD-WAN条目网络连接变成绿色,有信息
您可以使用此连接创建目录.
查看SD-WAN连接详细信息
- 从管理>快速部署,扩大网络连接在右边。
- 选择SD-WAN如果这不是唯一的选择。
- 选择要显示的连接。
显示内容包括:
- Details选项卡:配置连接时指定的信息。
- 分支连接选项卡:每个分支和MCN的名称、云连通性、可用性、带宽层、角色和位置。
删除SD-WAN连接
在删除SD-WAN连接之前,请删除与之关联的所有编目。看到删除目录.
- 从管理>快速部署,扩大网络连接在右边。
- 如果SD-WAN不是唯一的选择,请选择SD-WAN。
- 选择要删除的连接,以展开其详细信息。
- 在细节选项卡上,选择删除连接.
- 确认删除操作。