参考架构:虚拟应用程序和桌面服务
概述
当Covid-19发生时,它迫使Worldwide Co.的所有员工远程工作。Worldwide Co.办公室的用户通常在与他们的办公隔间/办公室相关的公司个人电脑上工作。Worldwide Co.迅速部署了思杰虚拟应用程序和桌面服务,允许用户使用远程PC访问从家中安全地访问他们的工作PC。
在2020年的大流行期间,Worldwide Co.意识到,某些角色的员工在家工作与在办公室工作一样或更有效率。因此,他们希望确保他们的环境允许这些新的永久远程工作者。
虽然许多员工成为永久的远程工作者,但一群员工的角色需要现场,办公室工作。然而,Worldwide Co.希望根据需要为办公室员工提供远程工作的灵活性。
这个参考体系结构展示了Worldwide Co.如何规划他们的Citrix虚拟应用程序和桌面环境。
成功的标准
Worldwide Co.定义了一系列成功标准,这些标准构成了总体设计的基础。
| 成功的标准 | 描述 | 解决方案 |
|---|---|---|
| 灵活的工作方式 | 尽管许多用户都有主要的工作环境,但该解决方案支持工作方式的灵活性,允许用户根据需要在任何地方工作。 | 思杰虚拟应用程序和桌面服务 |
| 降低硬件成本 | 很大一部分用户在办公室使用传统pc办公。该解决方案允许用户远程工作,同时仍具有相同的体验。 | 远程PC接入 |
| 获取资源 | 对于通过不受信任的端点或从不安全的位置访问的用户,必须保护企业资源。 | VPN-less访问 |
| 最小化数据中心的占用空间 | 最大限度地减少数据中心的占地面积,以获得根据需要进行扩展的灵活性和敏捷性,并减少需要管理的物理硬件和设备的数量。 | 思杰虚拟应用程序和桌面服务和云VDI |
| 自适应会话 | 由于终端用户与资源连接的性质不同,体验也会随着终端用户环境的变化而动态变化。 | 自适应技术 |
| 用户体验报告 | 由于IT无法完全控制远程用户和虚拟桌面之间的链接,因此他们需要能够监视整体体验并确定需要改进的地方。 | 性能分析 |
| 最优路由 | 为了减少延迟并改善体验,解决方案必须使用可能的最佳路由。 | Citrix Gateway Service |
| 优化云成本 | 根据计划和使用情况自动缩放工作负载,从而最大限度地降低云计算成本。 | 自动定量 |
| 多因素身份验证 | 考虑到安全性,MFA需要确保另一层身份验证和保护公司资源。 | 定时一次性密码微服务 |
| 优化性能和应用程序响应时间 | 在多用户环境中,避免单个用户垄断CPU资源,对其他用户造成负面影响。 | 工作空间管理- CPU优化 |
| 优化提供给最终用户的映像 | 方便的工具,帮助管理员优化他们的映像 | Citrix优化器 |
| 业务连续性 | 在发生云服务中断时的弹性选项 | 思杰服务连续性 |
概念架构
基于他们上面的需求,Worldwide Co.创建了以下架构。这个体系结构不仅满足以上所有的需求,而且它将为Worldwide Co.提供必要的基础,以便在将来扩展到确定的其他用例。
Citrix虚拟应用程序和桌面架构被划分为多个层。该框架为理解最常见的虚拟桌面/应用程序部署场景的技术体系结构提供了基础。所有层次汇聚在一起,为组织创建一个完整的端到端解决方案。
在高层次上:
- 用户层:这一层描述了用于连接到资源的终端用户环境和端点设备。
- 外部用户:访问Citrix工作区以访问托管在Azure中的Azure虚拟桌面。
- 内部用户:当在办公室时,继续使用他们的物理PC。当远程工作时,他们访问思杰工作区和远程PC访问,以连接到基于办公室的物理PC。
- 接入层:这一层描述了对Citrix环境的外部和内部访问的详细信息。
- Citrix Workspace:一个完整的数字工作空间解决方案,允许您安全地访问与组织中个人角色相关的信息、应用程序和其他内容。
- 网关服务:这种基于云的服务提供具有身份和访问管理(IdAM)功能的安全远程访问,为SaaS(软件即服务)应用程序、虚拟应用程序和桌面提供统一的体验。
- 资源层:这一层定义了提供给每个用户组的虚拟桌面、应用程序和数据。
- 远程PC访问:传统的本地Windows桌面,分配给单个用户,可以在本地或远程进行物理访问。
- Azure虚拟桌面:虚拟化的Windows 10多会话操作系统,供用户远程访问桌面和应用程序。
- 控制层:这一层描述了用于支持环境其余部分的组件的细节。
- 虚拟应用程序和桌面服务:这个基于云的服务管理Azure虚拟桌面和远程PC访问的授权和代理。
- 工作空间环境管理服务:这个基于云的服务使用智能资源管理和配置文件管理技术来提供尽可能最佳的性能、桌面登录和应用程序响应时间。
- 性能分析:这种基于云的服务跟踪、汇总并可视化思杰虚拟应用程序和桌面环境的关键性能指标。
- 主机层:这一层描述了用于Citrix环境的硬件组件、私有、公共和混合云——硬件、存储和虚拟化细节。
- 物理PC:他们使用已经拥有的物理PC,但允许用户在需要时远程访问这些PC
- Azure:为了减少数据中心的占用空间,他们在Azure上部署了新的虚拟桌面资源。
在下面的部分中,我们将详细介绍上述每个架构组件以及它们如何满足公司XYZ的需求。
详细的结构
用户层
将用户需求与合适的虚拟桌面相匹配是创建完整的端到端解决方案的第一步。Worldwide Co.定义了下面的用户需求。
| 用户需要访问…… | 用户包括…… | 端点包括…… | 常见地点包括…… | 它提供了… |
|---|---|---|---|---|
| 带有业务应用程序的标准化桌面环境 | 工程师、设计师、行政人员 | 在办公室:实体企业pc远程:个人设备 | 主要是内部本地网络。有时是远程,不可信的网络。 | 远程PC接入 |
| 带有业务应用程序的标准化桌面环境 | 销售市场营销 | 个人设备平板电脑笔记本电脑 | 远程不可信网络 | Azure虚拟桌面 |
办公室职员通常使用公司的个人电脑在办公室工作。当大流行发生时,他们需要一种既能安全地在家工作,又能使用办公室里的个人电脑的方法。Worldwide公司意识到,办公室职员可以作为远程工作者高效工作,并希望提供远程工作的灵活性。当他们在办公室工作时,他们继续使用本地PC,当他们在家工作时,他们通过思杰虚拟应用程序和桌面远程PC访问远程访问PC。
员工主要是远程员工。Worldwide Co.并不想提供公司拥有的设备,相反,他们希望为员工提供使用任何他们想要的设备的选择。这包括个人笔记本电脑、智能手机或平板电脑等设备。由于Worldwide Co.希望最大限度地减少其数据中心的占用空间,因此他们选择为这组员工部署带有Citrix虚拟应用程序和桌面服务的Azure虚拟桌面。
访问层
提供对环境的访问不仅仅包括简单地建立到资源的连接。除了组织定义的安全策略外,提供适当的访问级别还取决于用户所在的位置。Worldwide Co.选择这样做:
- 最小化数据中心占地面积:
- 网关服务:Worldwide Co.决定部署网关服务,以配合他们减少数据中心占用空间的目标。网关服务允许他们为外部用户提供安全的远程访问,而无需部署和维护任何物理硬件、公共IP地址或防火墙规则。他们也不需要担心架构冗余的问题,因为思杰会为他们处理这些问题——网关服务在全球多个地区运行,具有集成冗余。网关服务最大限度地减少了所需的基础设施,为管理员提供了在需要时快速扩展的灵活性(并购、DR、新用户或承包商)。更多关于网关服务的信息可以在这里找到在这里。
- 集合协议:全球公司也打开了对接协议它允许HDX会话绕过Citrix云连接器,直接连接到Citrix网关服务。交会协议减少了云连接器上的负载,这有助于减少数据中心的占用空间。
- 多因素身份验证:Worldwide公司决定实施多因素认证来保护他们的知识产权。他们选择通过基于时间的一次性密码微服务在Citrix工作区内。他们选择TOTP是因为它允许他们在不部署或维护其他第三方系统的情况下满足他们的安全需求。关于TOTP和工作区标识的其他信息可以找到在这里。
- 最佳路由-网关服务:由于网关服务是全球分布的,它允许用户通过最快的接入点进行连接,从而创造最佳的用户体验。
- 获取资源:所有用户都使用Workspace和Gateway服务进行身份验证,提供对其物理pc和云托管VDI桌面的无vpn访问。虽然这个参考体系结构只显示用户访问虚拟应用程序和桌面,但Workspace为组织提供了灵活性,可以从一个统一的位置为最终用户提供SaaS、web、移动、文件和微应用程序。此外,它还提供了SSO,因此用户不必不断地一次又一次地重新验证。
- 业务连续性:Worldwide Co.还利用了思杰工作区中的最新服务连续性功能。服务连续性进一步扩展了思杰虚拟应用程序和桌面服务的弹性,以防发生以下任何中断:
- Citrix工作区门户
- 思杰云平台
- Citrix身份提供程序服务
- Citrix Virtual App和Desktop控制平面
- AWS和Azure平台
Worldwide Co.选择这种方法而不是本地主机缓存,因为服务连续性没有任何本地需求。本质上,只要端点和VDA之间存在网络连接,它就利用工作空间的长时间连接票据将用户连接到他们的VDA。有关服务连续性的更多信息,请点击此处在这里。
资源层
用户需要访问他们的资源,无论这些资源是桌面还是应用程序。资源在由Worldwide Co.管理的资源位置中进行配置。资源的配置必须与用户组的总体需求保持一致。终端用户希望获得与传统PC环境相似或更好的体验。资源可以位于本地、私有云、公共云或混合方式中。这对最终用户来说是无缝的。云连接器位于每个资源位置中,用于将资源与Citrix Cloud连接起来。Worldwide Co.选择这样做:
- 降低硬件成本:
- 远程PC接入:远程PC接入允许用户访问他们的办公室物理PC。
用户可以通过自己的个人设备访问,也可以通过Workspace App访问。通过认证后,用户可以访问自己的windows物理桌面。Worldwide Co.为他们的远程PC访问vda遵循了这里(/en-us/tech-zone/design/design-decisions/ Remote - PC - Access .html)找到的最佳实践。
- 最小化数据中心占地面积:Worldwide Co.已经选择Azure作为他们的另一个资源位置。这使他们能够根据需要快速启动新资源,而无需添加新的基础设施。这使他们能够灵活地快速轻松地进行扩展。
Worldwide Co.使用了以下方法设计决策指南在考虑部署哪个实例系列时。最终,他们选择了一个带有标准HDD磁盘和2GB MCSIO缓存的D13_v2实例,并使用Windows 10多会话操作系统。Worldwide Co.已选择通过Azure Active Directory域服务将这些域连接到其内部活动目录中,并将用户帐户连接到组织的内部活动目录中。更多信息可以在这里找到在这里。 - 优化提供给最终用户的图像:Worldwide Co.已经选择使用Citrix Optimizer来优化他们的vda。可以找到有关Citrix Optimizer的信息在这里。
- 自适应会话:Worldwide Co.使用基线的政策然而,他们启用了“适应性交通”。自适应传输允许会话响应不断变化的网络条件。对于远程工作者,自适应传输可以让他们拥有最佳的用户体验。他们还利用了其他HDX技术提高整体体验。
控制层
通过Citrix虚拟应用程序和桌面服务,交付控制器、SQL数据库、Studio、Director和许可是控制层的核心组件。这些组件由Citrix在激活虚拟应用程序和桌面服务期间在Citrix Cloud上提供。Citrix负责冗余、更新和这些组件的安装。这允许环境始终具有最新的功能和安全补丁。Citrix Cloud中的更多服务可以支持Worldwide Co.的需求。Worldwide Co.选择了以下选项:
- 用户体验报告:Worldwide Co.选择启用Citrix Analytics for Performance这使他们能够量化最终用户体验,并主动解决任何问题。这些信息可以在它们的两个资源位置中看到。更多信息可以在这里找到在这里。
- 最佳性能和应用程序响应时间:Worldwide公司希望避免单一用户垄断CPU资源的情况,这会对其他用户产生负面影响(嘈杂邻居综合征)。因此,他们使用工作区环境管理服务来启用CPU管理设置。可以找到有关CPU管理的更多信息在这里。
Worldwide Co.选择通过Azure活动目录域服务将其Azure Windows虚拟桌面域加入组织的本地活动目录,并将其用户帐户保存在组织的本地活动目录中。使用Azure AD Connect将活动目录与客户Azure订阅中的Azure AD同步。此设置允许从同步的Azure AD验证用户的身份。
主机层
管理员可以灵活地在本地、公共云中或混合方式中进行部署。Worldwide Co.选择了以下做法:
- 优化云成本:
- Autoscale: Worldwide Co.选择部署Autoscale来优化云计算成本。自动缩放允许您智能地利用、分配和释放资源。关于自动缩放的更多信息可以找到在这里。Worldwide Co.最初将根据典型工作日使用以下基于时间表的自动缩放参数:
| 一天 | 高峰时期 | 非高峰时间 | 机器活跃 |
|---|---|---|---|
| 工作日 | 7 am-5pm | 5 pm-7am | 峰值:50%峰值:5% |
| 周末 | 没有一个 | 整天 | 5% |
为了容纳更多的用户,Worldwide Co.还通过以下参数启用了基于负载的扩展:
| 一天 | 容量缓冲(峰值) | 容量缓冲(非高峰) |
|---|---|---|
| 工作日 | 20% | 5% |
| 周末 | 5% | 5% |
- Azure大小:Worldwide Co.选择使用标准HDD磁盘和2GB MCSIO部署D13_v2实例,以最低的成本提供最佳的用户体验。可以在Azure上找到关于Citrix虚拟应用程序和桌面服务可伸缩性的深入分析在这里。