参考架构:远程PC访问
远程PC访问概述
Citrix远程PC访问解决方案使终端用户能够安全地访问他们的物理窗口,桌面电脑和笔记本电脑在他们的办公室,从任何地方和任何设备使用完整的堆栈的HDX功能,以获得最佳的用户体验。
安装在Office PC上的虚拟传送代理(VDA),将其状态与云连接器(Citrix Cloud)或交付控制器(内部部署)注册。它允许管理员在VDI实现中管理物理PC,包括访问,策略和全HDX堆栈的用户体验功能。
一个用户可以同时访问多个桌面,包括一个以上的“Remote PC access”或“Remote PC access”和VDI桌面的组合。这个解决方案是Citrix虚拟应用程序和桌面的扩展,因此为用户提供和管理对他们的办公室pc的远程访问就像它对虚拟应用程序和桌面一样简单。
Citrix远程PC访问解决方案的示例用例
在本节中,我们讨论了组织可以插入Citrix远程PC访问或用Citrix远程PC访问替换现有繁琐的远程访问解决方案的使用情况,以提供最优惠访问的最佳用户体验。
用例# 1
一个部署了本地Citrix虚拟应用和桌面解决方案的客户,也希望通过提供与他们的办公室pc的连接,让终端用户能够远程访问,当用户需要在家工作时。为了满足这一需求,Citrix管理员通常会从Citrix Virtual Apps解决方案发布RDP客户端应用程序,该解决方案允许用户通过HDX连接访问RDP客户端应用程序。用户在RDP客户端输入他们的桌面IP地址或机器名,然后用户验证从虚拟应用服务器建立RDP连接。然后,这个连接使用Virtual Apps服务器作为协议转换代理服务器来访问物理PC和所需的资源,而不是端到端单一协议。
客户可以用远程PC访问HDX解决方案取代限制性的RDP代理解决方案,并安全地集成到现有的Citrix虚拟应用程序和桌面解决方案中。使用Remote PC Access,用户可以通过安全的HDX连接,通过单点登录访问Office PC,消除了多个身份验证提示。同时,允许企业管理员通过应用HDX限制策略控制办公PC的访问,只允许HDX访问指定的桌面。受限制的HDX策略有助于启用/禁用剪贴板重定向、打印机重定向和客户端驱动器映射。
用例# 2
某企业有一个VPN解决方案,允许员工远程接入企业网络。为此,网络管理员开启了双因素认证的VPN隧道。VPN认证完成后,用户可以创建自己的RDP链路来访问局域网内的机器。用户通过VPN安全连接访问远程桌面和应用程序。在此解决方案中,管理员需要应用网络访问控制来确保用户从允许的系统连接,并应用策略来启用/禁用某些协议来限制数据访问。组织的安全策略坚持认为,只有当远程用户的pc上的预认证扫描有效时,才允许用户连接,有时需要特定的操作系统补丁级别,以保持远离病毒和恶意软件的安全范围。该组织发现,用户对VPN解决方案不满意,因为经常断开和拒绝VPN连接时,发生反病毒更新和其他安全故障。
IT团队可以实现Citrix Remote PC Access解决方案来替代VPN/RDP解决方案。他们可以部署一个专门的远程PC接入站点,允许用户访问分配给他们的办公室物理PC。通过使用Remote PC Access,用户能够通过HDX连接无缝访问他们的Office PC,并使用足够的SmartAccess安全策略(禁用客户端驱动器、剪贴板映射和打印机连接)。Citrix HDX策略允许企业管理员通过阻止Key-logging和screen capture技术来控制用户对桌面及其数据的访问。
用例# 3
一个现有的Citrix云虚拟应用和桌面服务客户,希望从Citrix获得更多的价值,以实现令人兴奋的新方式,在现有的Citrix部署的基础上,提供对Office pc的远程访问。
为了实现上述需求,IT管理员可以部署远程PC访问解决方案,以实现对Office PC的远程访问,并集成到现有的Citrix部署中。要为最终用户启用访问,Citrix管理员可以在Citrix Cloud上创建远程PC访问机目录和交付组,并将这些机器分配给相应的用户。这允许终端用户使用现有的Citrix URL访问他们的Office pc。现有的Citrix HDX和SmartAccess策略仍然允许Citrix管理员控制对办公桌面及其数据的访问。
用例# 4
某企业客户选择部署“远程PC接入”解决方案,提供办公PC接入。考虑使用Citrix Remote PC Access,因为在PC刷新周期中,将办公PC迁移到Citrix VDI更容易,这样组织就可以节省资本支出成本。
使用VDI,组织可以避免通过扩展当前硬件的使用,避免与PC刷新相关联的升级或硬件采集成本,并消除在管理它们时花费无数的IT小时。迁移到基于云的VDI(DAAS)有助于提高成本节约,减少行政投资并提供未来工作空间的额外好处。
Citrix云上远程PC访问的概念架构
远程PC访问通过Citrix云与工作空间和网关服务
在这种架构中,控制平面托管在Citrix Cloud上,并由Citrix与工作区和网关服务(使用户能够通过Citrix Cloud环境连接远程PC访问)一起管理。
Citrix远程PC接入部署的概念架构如下所示。让我们回顾一下针对Citrix云和内部部署的远程PC访问解决方案的设计框架,以了解远程PC访问解决方案的工作流程。
远程PC访问通过Citrix云与工作空间和内部网关
在这种架构中,控制平面托管在Citrix Cloud上,由Citrix和Workspace一起管理。包括内部网关,使用户能够通过互联网连接到远程PC访问解决方案。
远程PC访问通过Citrix云与内部网关和StoreFront
在这种架构中,控制平面托管在Citrix Cloud上,由Citrix和Workspace一起管理。本地的店面和网关,使用户可以通过本地的店面和网关通过互联网连接到远程PC访问。
上面讨论了Citrix远程PC访问部署的概念架构。让我们回顾一下Citrix Cloud的远程PC接入解决方案的设计框架,针对该架构的每一层,了解远程PC接入的工作流程。
用户层
这一层描述了Citrix环境的最终用户和用于连接到办公资源的终端设备。
通过“Citrix远程PC接入解决方案”,用户可以通过Internet远程连接到办公电脑。用户使用他们的个人设备,如台式机、笔记本电脑和平板设备连接到他们的办公室PC,因此建议在个人终端设备上安装最新的Citrix Workspace应用程序客户端。此外,如果用户无法在设备上安装完整版的Workspace应用,他们也可以使用HTML5版本的Workspace。
用户导航到Citrix云工作区URLhttps://customer.cloud.com通过浏览器从终端设备通过互联网访问办公室PC。登录页面显示给用户,以使用各种身份验证方法验证他们的身份。身份验证之后,将向用户显示资源页面,其中显示分配的应用程序和桌面。用户单击远程PC Access桌面要启动桌面的图标。安装在其端点设备上的Citrix Workspace应用程序启动桌面,并提供无缝和最佳的HDX体验,好像用户正常从办公室工作。
访问层
这一层描述了终端用户如何连接到Citrix远程PC访问环境,并提供了通过Citrix Cloud访问方法的设计细节、资源位置连接、Citrix Gateway和本地访问方法的StoreFront需求。
Citrix工作区平台是Citrix Cloud的一个基本组件,枚举并向用户交付所有的数字工作空间资源。用户访问工作区,它是向用户提供其资源的Citrix Cloud托管门户。例如,他们通过导航到公司的cloud.com URL来实现https://customer.cloud.com)或自定义URL。一旦到达,系统会提示用户输入他们的凭证以访问他们的资源。
Workspace支持各种身份验证方法:Active Directory,具有Active Directory +一次性密码的双因素身份验证和Azure AD。将来正在添加更多身份验证选项。有关更多详细信息,请参阅工作区文档.
云连接器是安装在资源位置的组件,以将资源连接到Citrix Cloud。在资源位置安装的一组云连接器可以访问Citrix Cloud上的客户的Active Directory域以进行身份验证。工作区配置有多个选项,可为包含传统的上部署Citrix Gateway和店面的用户配置各种身份验证方法和访问流,可用于访问环境。
当用户访问Citrix云工作区URL (https://customer.cloud.com),要求他们输入Active Directory域凭据以及各种身份验证方法,然后通过Cloud Connector对其所在的Active Directory域进行验证。
一旦凭证被验证,用户就会看到工作空间资源页面,在那里他们可以访问分配的虚拟应用程序、桌面和Remote PC access资源。当用户选择远程PC接入桌面(Office PC)启动时,用户使用Workspace应用程序通过SSL连接到网关(HDX)。HDX连接是从用户的个人设备到Citrix云上的Citrix网关服务。
Citrix网关服务提供安全的远程访问解决方案,具有多种身份和访问管理(IdAM)功能,为SaaS应用程序、异构虚拟应用程序和桌面、远程PC访问等提供统一的体验。然后,网关服务通过SSL建立到本地云连接器的连接,并通过TCP端口1494/2598连接到远程PC访问桌面,以提供无缝的HDX体验。
控制层
这一层描述了用于支持和控制Citrix环境的管理组件的详细信息,其中包括Citrix Cloud服务的站点设计。对于Citrix环境,交付控制器、SQL数据库、Studio、Director和Licensing是控制层中的核心组件,这些组件在Citrix Cloud上提供并由Citrix管理。
云供应的交付控制器与内部云连接器通信,以更新资源状态和用于身份验证的Active Directory。Citrix管理员使用Citrix Cloud门户来管理虚拟应用和桌面环境和授权。的“管理”按钮允许管理员启动Citrix Studio来管理环境。使用Citrix Studio,可以与Citrix策略一起创建用于远程PC访问的机器目录和交付组,以保护环境。
Citrix Cloud Portal中的“监视器”选项卡允许Citrix管理员访问Citrix Director控制台,以便在会话控制,报告,警报等内监控应用程序和桌面基础架构。
资源层
这一层捕获关于最终用户从Citrix环境中访问的资源的信息。
资源层主要关注所有Office pc在部署中的位置,它被称为Citrix云上的资源位置。资源位置是客户的Citrix工作负载和其他操作工具所在的位置,无论它是公共云还是私有云、分支机构还是数据中心。资源位置包含不同的资源,这取决于客户正在使用哪个Citrix Cloud服务以及他们想要提供给订阅者的服务。
Citrix Cloud可以为一个云订阅拥有多个资源位置。安装在Office PC上的Citrix虚拟交付代理将PC的状态注册到云连接器。云连接器帮助更新资源状态到Citrix Cloud上的交付控制器。网络管理员为Office pc配置必要的防火墙规则,以便与云连接器进行通信。
Citrix管理员可以创建多个用于远程PC访问的机器目录和交付组,以按位置、部门或其他因素识别Office PC。所有这些资源都可以从Citrix Cloud使用Citrix Director控制台进行监控。
平台层
此图层描述了用于Citrix环境的组件和云配置方法,这些方法关注硬件,存储和虚拟化详细信息。
在此用于远程PC访问的架构中,核心控制基础架构组件正在驻留在Citrix Cloud中并由Citrix管理,因此要求仅在数据中心部署云连接器,以便VDA(Office PC)可以与云连接器通信使用Citrix Cloud注册其状态。
要驻留云连接器虚拟机,管理员需要使用所需的资源来部署服务器硬件。Citrix管理员在服务器硬件上安装和配置Citrix Hypervisor,以创建用于云连接器的虚拟机。创建虚拟机之后,Citrix Admin从虚拟机访问Citrix Cloud门户,并使用其订阅帐户安装云连接器。
运营层
这一层主要关注在资源位置内管理Citrix工作负载和远程PC访问桌面所需的工具或组件。
对于Citrix Cloud架构,关键工具是Cloud Portal,用于访问驻留在Citrix Cloud上的控制基础设施。云门户允许管理员访问Citrix Studio和Citrix Director控制台。Citrix Studio帮助管理员配置机器目录、交付组和Citrix策略。
Citrix Director帮助监控完整的Citrix环境。通过使用Cloud门户,管理员可以监视Cloud Connector的状态,还可以帮助配置各种身份验证方法和不同的访问方法。
基于本地部署的远程PC访问的概念架构
使用本地部署的Citrix远程PC访问的概念架构如下所示。
让我们回顾一下远程PC访问解决方案的设计框架,该解决方案针对该体系结构上的每一层进行现场部署,以了解工作流程。
用户层
这一层描述了Citrix环境的最终用户和用于连接到办公资源的终端设备。
通过“Citrix远程PC接入解决方案”,用户可以通过Internet远程连接到办公电脑。用户使用他们的个人设备,如台式机、笔记本电脑和平板设备连接到他们的办公室PC,因此建议在个人终端设备上安装最新的Citrix Workspace应用程序客户端。此外,用户可以使用HTML5版本的工作区,而他们无法在设备上安装完整版本的工作区应用程序。
用户导航到本地Citrix网关URL//m.giftsix.company.com通过浏览器从终端设备通过互联网访问办公室PC和其他资源。登录页面显示给用户,使用多因素身份验证验证他们的身份。通过身份验证后,将向用户显示资源页面,其中显示分配的应用程序和桌面。用户单击远程PC接入办公桌面要启动桌面的图标。安装在其端点设备上的Citrix Workspace应用程序启动桌面,并提供无缝和最佳的HDX体验,好像用户正常从办公室工作。
访问层
这一层描述了终端用户如何连接到Citrix远程PC访问环境,并提供了本地部署的访问方法的设计细节。
用户访问现有的Citrix Gateway URL(//m.giftsix.company.com),它也被配置为Citrix虚拟应用程序和桌面解决方案来访问远程PC访问。当导航到Citrix网关URL时,用户会看到一个登录页面,其中包含多种身份验证方法,包括Active Directory。Citrix Gateway支持各种身份验证方法,详细信息请参阅产品文档。
验证凭据后,将使用传统的Citrix StoreFront / Workspace资源页面呈现用户,可以访问已分配的虚拟应用程序,桌面和远程PC访问。当用户选择远程PC访问(Office PC)启动时,用户将通过SSL连接到带有HDX的网关的Workspace应用程序。HDX连接由用户的个人设备建立到带有SSL的本地Citrix网关,然后通过TCP端口1494/2598连接到Office PC,以提供无缝的HDX体验。
控制层
这一层描述了与用于支持和控制Citrix环境的管理组件有关的详细信息,其中包括本地Citrix环境的站点设计。
内部部署的控制层包括支持整个Citrix解决方案的所有基础设施相关组件,其中包括Citrix交付控制器、SQL数据库和许可。
通过选择Remote PC Access,只需创建Machine Catalog和Delivery Groups,即可轻松配置现有的虚拟应用和桌面部署。
客户还可以选择使用新的远程PC访问站点、许可证和SQL数据库部署新的交付控制器,为远程PC访问提供专用环境,这些控制器可以与现有的StoreFront和Citrix Gateway集成,实现统一无缝访问。使用Citrix Studio,可以与Citrix策略一起创建用于远程PC访问的机器目录和交付组,以保护环境。
资源层
资源层捕获有关Office PC在企业网络中的位置以及如何为远程PC访问配置这些机器的信息。
在这种体系结构中,Office PC驻留在客户环境的局域网段上。这些办公室电脑安装了虚拟递送代理(VDAs),以向现场递送控制器注册。Citrix管理员可以配置远程PC访问机目录和交付组,以允许终端用户访问。
部署VDA可以由现有的电子软件交付(ESD)系统进行管理,例如微软系统中心配置管理器(SCCM)。升级的最佳实践是重新启动,卸载VDA软件,重新启动,安装最新的VDA,然后重新启动最后一次。
Citrix Director使Citrix管理员能够监控远程PC访问环境以及现有的Citrix虚拟应用程序和桌面环境。
平台层
这一层描述了Citrix环境使用的硬件组件和云发放方法,主要关注硬件、存储和虚拟化的细节。
对于本地环境,平台层覆盖服务器硬件需求,以承载核心控制组件。核心组件包括两个或多个交付控制器、一个License Server、两台用于SQL Database配置Cluster或Always On的虚拟机、用于Citrix Director的虚拟机等组件。
为了托管这些组件,企业管理员部署了具有大量资源的服务器硬件。Citrix管理员在服务器硬件上安装和配置Citrix Hypervisor,以便为所有组件创建虚拟机。一旦创建了虚拟机,Citrix管理员就已经配置了远程PC访问站点。StoreFront配置了新的交付控制器,以便为最终用户枚举Remote PC Access资源。
运营层
这一层主要关注在资源位置内管理Citrix工作负载和远程PC访问桌面所需的工具和组件。对于本地环境,操作层主要关注Citrix Studio和Citrix Director等工具,它们有助于控制基础设施和监控完整的Citrix环境。
Citrix Studio帮助管理员创建多个机器目录和交付组,并为远程PC访问解决方案应用Citrix HDX策略。思杰董事协助监控环境。
来源
此参考体系结构的目标是帮助您规划自己的实现。为了使这项工作更容易,我们想为您提供源图,您可以在您自己的详细设计和实现指南中进行调整:源图.