参考架构:Citrix虚拟应用程序和桌面服务- GCP架构与托管服务的微软活动目录的csp

介绍

本文档的目的是为希望使用Google云平台(GCP)作为Citrix虚拟应用程序和桌面服务资源位置的Citrix服务提供商(csp)提供设计和架构指导微软活动目录的托管服务．

本文档不打算提供如何为csp部署Citrix虚拟应用程序和桌面服务的逐步指导。它假定理解CSP虚拟应用程序和桌面参考架构，为csp提供了深入的思杰虚拟应用和桌面服务环境的设计和部署考虑。

另一方面，有关在GCP上构建Citrix虚拟应用程序和桌面服务的设计注意事项的详细指导，请参阅谷歌云上的Citrix虚拟化参考体系结构。

我们首先回顾您需要了解的最常见的GCP元素，以便轻松地使用本文档。Google已经创建了自己的方法来命名和组织GCP中的组件，因此理解它们对于成功的设计和部署至关重要。

接下来，我们将回顾托管AD服务的详细信息，它与传统Microsoft Active Directory的异同，以及您可以用作CSP来提供GCP托管资源位置的部署模型。

最后，我们将介绍在GCP中部署托管AD服务域所需的步骤。

术语

虽然有几个服务在不同的公共云提供商之间提供类似的功能，但术语可能不同。按照GCP文档的描述，下面是您在遵循此参考体系结构时需要理解的最常见的GCP元素。

• VPC网络:GCP的虚拟网络对象。GCP中的VPC (Virtual Private Cloud network)是全局的，即可以在每个GCP区域为VPC部署子网。部署vpc时可以选择“自动模式”，即自动创建所有子网和CIDR范围;也可以选择“自定义模式”，即手动创建子网和CIDR范围。不同项目下不重叠的VPC可以通过VPC对等连接实现互联。
• VPC凝视:通过VPC对等连接，可以将原本无法连接的VPC连接起来。此时，GCP AD管理服务会自动创建一个VPC对等体，连接我们的VPC和AD管理服务的VPC。
• 共享VPC:共享VPC可以跨多个项目使用，无需为每个项目创建单独的VPC，也无需使用VPC对等。
• GCP组织:组织表示GCP资源层次结构中的根节点。要创建组织，需要使用GCP Cloud Identity或Google Workspace(以前称为G-Suite)。不需要组织，但强烈建议为您的生产环境部署一个组织，以便更好地组织和管理资源。
• 文件夹:文件夹用于组织GCP中的资源，它们可以包含更多的文件夹或项目。例如，您可以创建文件夹，以按部门、环境类型或任何其他标准分隔项目。文件夹并不总是必需的，但与组织一样，为了更好地组织资源，建议使用文件夹。
• 项目:项目在GCP中提供资源的抽象分组，并且GCP中的所有资源必须属于一个项目。正常情况下，一个业务群组内的虚拟机实例与另一个业务群组内的虚拟机实例不能通信，除非使用VPC对等或共享VPC。
• 计费帐户:帐单帐户表示用于支付GCP消费的支付配置文件。一个帐单帐户可以链接到多个项目，但一个项目只能链接到一个帐单帐户。
• 我:GCP的身份和访问管理平台用于授予用户对GCP资源执行操作的权限。该平台还用于部署和管理服务帐户。
• 服务帐户:服务帐户是一个GCP帐户，不与实际用户连接，而是代表虚拟机实例或应用程序。服务帐户可以被授予对各种GCP api执行不同操作的权限。将Citrix虚拟应用程序和桌面服务连接到GCP并启用机器创建服务需要一个服务帐户。
• 全球教育运动:Google Compute Engine是一个GCP平台，您可以在其中部署计算资源，包括VM实例、磁盘、实例模板、实例组等。
• 全球教育运动实例:GCE实例是部署在GCE平台上的任何虚拟机。云连接器、黄金映像、AD管理VM和环境中的任何其他虚拟机都被视为GCE实例。
• 实例模板:可以用来在GCP中部署vm和实例组的“基线”资源。Citrix MCS进程将黄金映像复制到实例模板中，然后使用实例模板部署目录机器。
• 云DNS:用于管理DNS区域和记录的GCP服务。随着AD托管服务的创建，云DNS将自动配置为将DNS查询转发给托管域控制器。

GCP上的受管AD服务

GCP的微软活动目录的托管服务是谷歌云平台上的一个完全托管的活动目录服务。该服务为您提供了一个功能齐全的Active Directory林/域，而无需构建和维护Windows Server VM实例。

托管AD服务建立在高可用性、谷歌管理的基础设施上，并作为托管服务交付。每个目录跨多个GCP区域部署，监控会自动检测并替换故障的域控制器。你不需要安装软件，谷歌会处理所有的补丁和软件更新。

AD托管服务在隔离的GCP项目和VPC网络中，自动部署和管理高可用性的Active Directory域控制器。基于ad的工作负载到达Active Directory时，会自动部署VPC对等服务。此外，Google Cloud DNS自动配置为将所有DNS查询转发到托管AD服务。

托管广告服务注意事项

虽然传统的Microsoft Active Directory环境和GCP中的托管AD服务之间有许多相似之处，但在部署GCP的托管AD服务时，必须牢记一些注意事项。

1. 域控制器访问受到限制，您只能通过部署管理实例和安装远程服务器管理工具来管理域。
2. 在GCP共享资源位置添加新的客户/项目时，需要部署共享VPC。项目必须属于共享VPC，才能访问被管理的AD域。与共享VPC有对等关系的业务群组中的资源无法到达“AD管域”。欲了解更多详情，请查看GCPVPC对等要求Page和Google Cloud Platform (GCP)支持与Citrix虚拟应用和桌面共享VPC技术区PoC指南。
3. 不提供域管理员/企业管理员帐户权限，这些帐户仅供GCP为您管理域。
4. AD对象不能在任何默认容器(如/Computers)中创建，它们是只读的。在使用Citrix的MCS供应技术时，这个限制会导致一个常见的错误，您必须在可写的容器/OU中为MCS管理的vda创建机器帐户。如果不选择这样的位置，MCS将无法创建机器帐户。
5. AD集成的部分特性(如证书服务)无法安装。因此，这个限制会影响需要使用Citrix的联邦身份验证服务(FAS)技术的csp(需要AD集成证书服务)。这些客户必须使用Windows Server虚拟机实例在Google Cloud上构建和管理他们自己的Active Directory。
6. 服务创建了两个主要的组织单元(ou)。的“云”OU，它承载所有管理的AD资源。您对该OU及其任何子OU拥有完全的控制权。和“云服务对象”OU, GCP使用该OU管理域。资源和OU本身是只读的，除了一些属性是可写的。
7. 服务自动创建多个AD用户组允许不同的AD管理功能。您可以管理这些用户组的成员关系。
8. 在创建服务时创建帐户，默认名称为“setupadmin”．该帐户用于管理域。查看此页的权限的完整列表“setupadmin”帐户。
9. 可以将信任配置为对本地Active Directory环境的单向出站信任。通过此配置，可管理AD服务域为“信任”托管计算机帐户的域，而本地域是“可信的”托管用户帐户的域。此模型通常用于Resource Forest部署，将在下一节中进行解释。

托管AD服务林设计注意事项

在Citrix服务提供商的环境中，托管AD服务可以部署在两种不同的Active Directory林设计模型下。

部署Managed AD服务的第一种简单方法是使用组织林设计模型。在此模型中，GCP管理的AD服务托管用户帐户和资源(计算机帐户)，以及任何管理帐户。

在正常情况下，组织林允许将信任配置为与另一个组织林建立关系。但是，请记住，GCP管理的AD服务仅支持单向出站信任。

第二种森林设计模式是资源型森林。在此模型中，单向出站信任被配置为与本地Active Directory环境建立关系。

如前所述，在此部署模型中，受管AD服务是“信任”托管资源的林中，而本地AD是“可信的”用户身份所在的森林。换句话说，受管AD服务域允许本地域的用户访问其资源。

注意:
记住思杰云连接器技术细节在设计活动目录林模型时。云连接器无法遍历森林信任，除非在该森林中部署了一组云连接器，否则来自本地Active Directory的用户帐户在Citrix Cloud中不可见。

体系结构

我们知道，并非所有的云计算服务提供商都处于采用云计算的同一阶段。有关Citrix在GCP上的各种设计模式的深入解释，请查看本节在Google Cloud参考架构上的Citrix虚拟化。

此外，我们假设csp完全了解Citrix云多租户和客户管理功能。这些特性将在CSP虚拟应用程序和桌面参考架构．

管理服务的微软活动目录为csp设计模式

用于csp的Microsoft Active Directory托管服务设计模式侧重于在使用托管AD服务的同时，利用GCP托管资源位置将csp可用的不同体系结构模型组合在一起。

通过Citrix Cloud部署其托管DaaS产品的合作伙伴可以使用csp提供的独家客户管理和多租户功能。这些多租户特性允许csp在共享的Citrix Cloud控制平面/租户上部署多个客户，或者为他们提供专用的控制平面/租户。

Citrix Cloud可以部署在GCP上的共享或专用资源位置。不同的度量可以帮助CSP确定哪个模型更符合每个客户的特定需求，它们可以基于最终客户的规模、安全性和遵从性需求、成本节约等等。

作为可选组件，GCP组织(1)可用于管理csp GCP订阅上不同项目和文件夹的层次结构。另外，请注意，用于特定最终客户的GCP订阅和资源可能属于最终客户而不是CSP。

共享VPC网络(2)部署在一个资源位置上，多个客户共享组件，如Managed AD Service域、golden映像和Citrix Cloud Connectors。其他客户可以托管在专用vpc和资源位置(3.)，隶属于同一GCP组织。这些客户拥有自己的Managed AD Service域、golden映像和Citrix Cloud Connectors。

受管AD服务可以部署在共享资源位置(4)或在专用资源位置(5）.这个过程会创建一个项目(不能访问)和一个网络，从你的VPC到托管AD服务的VPC。

如前所述，每当在共享资源位置上部署新客户/项目时，新客户/项目必须属于共享VPC，才能访问AD管域。与共享VPC有对等关系的VPC的项目上部署的资源无法到达“AD管域”。这种限制与vpc不具有可传递性有关。共享资源位置与专用资源位置上的AD服务域不相同。

建议使用单独的GCP项目将每个客户的资源(vda)托管在共享资源位置(6）.考虑到这一点，负责支持不同环境的管理员可以更轻松地进行资源管理和申请IAM权限。

此外，根据领先的实践，共享VPC主机项目不会托管任何资源(7）.该项目仅用于部署共享VPC和AD域。

注意:
AD管理域从主机项目部署，实际资源(域控制器和VPC网络)属于Google管理的项目。您无权访问此项目。

共享的思杰云租户(8)，以部署和管理多个客户的资源。这些客户共享Citrix虚拟应用程序和桌面服务组件(如交付控制器、数据库、主管、工作室、许可和api)。

一个专门的思杰工作空间体验（9)为每个客户部署。专用的工作空间体验允许csp对登录页面进行标记，并为每个客户定制访问URL。每个客户使用Citrix网关服务进行身份验证和HDX连接到他们的资源。

一个专用的思杰云租户(10)可以为更大、更复杂的客户提供。这个专用环境提供了一个独立的Citrix虚拟应用程序和桌面服务，以及它的所有组件，以及一个专用的Citrix工作空间体验。部署专用的Citrix Cloud租户不需要额外的Citrix许可成本

为Microsoft Active Directory部署托管服务

在本节中，我们将介绍部署受管AD服务域所需的步骤。本节假设您已经申请了GCP，并且已经部署了项目、VPC网络、防火墙配置和其他GCP组件等资源。

1-在导航菜单上，转到身份与安全>身份>管理的微软广告．

2-上微软活动目录的托管服务屏幕上,单击创建新域．

注:
*管理域控制器部署了“add”和“DNS”角色。
*管理虚拟机需要单独创建。

3-在路上创建一个新域在界面中输入以下信息:

• 完全限定域名:域FQDN，例如“customer.com”
• NetBIOS:自动填充
• 选择网络:可以使用该服务的网络;
• CIDR范围: a /24域控制器所在VPC的CIDR范围

注:
*作为服务一部分部署的VPC不能在GCP控制台进行管理。
* CIDR范围不能与您当前的子网重叠。

4-向下滚动，输入以下信息:

• 地区:用于部署受管AD服务域的GCP区域
• 委托管理:被委派的管理员帐号名
• 点击创建域

注:
*委派的管理员帐户驻留在Users容器中。虽然可以在ADUC控制台中直接重置其密码，但不能将对象移动到其他OU。
*当计算机加入域时，它的AD帐户是在云>计算机OU，而不是默认的Computers容器。
*服务创建最多需要60分钟。

5-一旦创建完成，选择您的域名并单击设置密码．

6-在路上设置密码窗口中,单击确认．

7-在路上新密码窗口，复制密码并单击完成．

一旦创建了服务并准备好使用，您就可以开始部署其他实例并将它们加入域。您还可以完成Citrix虚拟应用程序和桌面服务站点配置。