技术简介:针对Azure的Citrix虚拟应用和桌面标准

Citrix Azure虚拟应用和桌面标准是微软Azure托管的解决方案，用于交付虚拟桌面和应用。admin支持Windows 10多会话桌面、Windows 10 Enterprise桌面和Windows 7 ESU单会话桌面。此外，Windows Server 2008 R2, 2012 R2, 2016和2019操作系统会话或应用程序运行在任何上述操作系统使用GUI界面，只需点击几下。

管理员可以扩展组织的内部部署，以使用Azure。管理员可以为承包商或第三方用户提供访问权限，而不必在他们自己的环境中启动计算机。它还可以用于设置培训实验室或需要按需设置的开发测试设置。

对于进行合并或收购的公司来说，支持员工入职是成功的关键。针对Azure的Citrix虚拟应用程序和桌面标准可以帮助快速提供对关键应用程序和桌面的访问，这些应用程序和桌面是合并新员工并保持他们工作效率所必需的。

因为它是一种桌面即服务，可以按月订阅。如果组织选择使用Citrix管理的Azure来处理工作负载，Citrix为服务和Azure资源消耗提供单一账单。

有了这个选项，美国、欧盟和亚太地区的组织可以在全球四个Azure地点部署vm:美国东部、美国西部、西欧和澳大利亚东部(以及更多即将到来的地方)。工作负载位置组合Citrix Gateway服务在Azure中的11个全球网点有助于优化HDX交付的体验。一旦用户到达Gateway PoP，流量就会通过超快的Azure骨干重定向到最近的工作负载位置。

Citrix现在允许客户和合作伙伴使用他们自己的Azure订阅以及Citrix虚拟应用和Azure桌面标准。现在，客户和合作伙伴都可以灵活地使用任何Azure区域或VM类型，还可以选择从微软应用保留实例定价。

标准的部署模型和认证流程如下:

用户通过安装了相应Citrix工作区应用程序的终端设备连接到他们的工作区。或者在浏览器中使用Citrix工作区应用程序的HTML5，通过登录到工作区URL。

身份验证从用户的设备(提供凭据的设备)流向网关服务，网关服务对客户的Azure订阅中的Azure Active Directory进行相同的验证。(该标识也可能基于内部活动目录。通常管理员会使用Azure AD Connect将on-prem AD与Azure AD同步。)

用户身份验证之后，Gateway服务将用户重定向到适当的工作区。如果用户随后从CVAD标准目录中选择资源，则用户的请求将通过Managed Desktops服务和云连接器路由到适当的VM。然后用户单点登录到Azure中的VM，用户登录到会话。会话被重定向到使用HDX协议的用户。

部署场景

为了支持多种拓扑，组织可以从许多部署场景中选择一个选项，这些部署场景分为两个主要类别:

1)非域加入的工作负载2)域加入的工作负载

无领域加入工作负载

在这个类别中，工作负载(即在Azure中运行的Windows机器)不加入域。这种类型的部署适用于概念验证、开发/测试设置或承包商桌面。同样，对于那些根本没有创建Active Directory并使用Azure AD标识的小型组织也是如此。

由于用户和机器标识不在同一个域/工作组中，我们需要一种方法将用户标识映射到机器。映射允许用户配置文件映射等等。包装器令牌封装用户ID令牌，并使用(Citrix Managed或组织)Azure AD或组织的AD。此包装器令牌用于在机器上为用户标识创建映射帐户。

用户的本地映射帐户是通过使用存储在Azure AD或组织的AD中的数据创建的，关联的密码是安全存储的。此过程由特权服务完成。如果用户是第一次登录到机器上，该服务将为该用户在机器上创建一个帐户。当用户使用首选身份验证到工作区时，将检索本地映射帐户的用户名密码信息。然后使用检索到的凭据登录到计算机。

在无域连接的工作负载部署模型中，用户帐户有3个选项:

1) Citrix Managed Azure Active Directory中的用户帐户

在这个场景中，用户的帐户驻留在Citrix为特定部署创建的Azure Active Directory订阅中。用户帐户由组织中的管理员通过URL(允许访问Azure AD)管理。的URL可用身份与访问管理小节。用户的Azure帐户用户名(由组织管理)用于登录到工作区。这种部署模型有助于执行快速PoCs，在这种情况下，整个环境可以快速建立起来。用于展示管理员可以轻松地设置解决方案。

2)客户Azure活动目录中的用户帐户

在这个场景中，用户帐户位于Customer的Azure AD订阅中。这种情况在银行、金融服务和保险部门以及监管严格的行业中很常见。在该领域，客户希望在不使用组织的公司域的情况下，将访问权限授予承包商或临时第三方用户，这有助于在承包商环境和员工环境之间制造障碍。使用Azure MFA支持多因素身份验证。用户帐户的管理是由组织的Azure AD管理员完成的。

3)组织内部活动目录中的用户帐户

在此场景中，用户的帐户位于其内部数据中心的客户活动目录中。为了在服务和组织的AD之间建立连接，在客户的数据中心安装了一台Windows 2012 R2/2016服务器虚拟机(部署在HA对中)，称为Citrix Cloud Connector。它安装的软件允许基于TCP 443的出站连接到Citrix虚拟应用程序和面向Azure服务的桌面标准。在这种情况下，用户无法访问公司内部数据中心中的任何配置文件数据和文件服务器。本地双因素身份验证可使用基于时间的一次性密码。

域加入工作负载

在这个类别中，机器(即在Azure中运行的Windows机器)加入到组织的域。这种类型的设置支持典型的虚拟桌面基础设施用例，例如将应用程序和桌面集中在几个位置，远程用户可以从任何设备的任何地方访问这些应用程序和桌面。本例有两种部署场景:

1)使用Azure Active Directory域服务和组织的Azure Active Directory中的用户帐户加入域

在这里，用户的帐户位于组织的Azure Active Directory中，机器在客户的Azure订阅中加入了Azure Active Directory域服务(aadd)。为了让机器能够连接到aadd，客户需要从Citrix虚拟应用和桌面标准的Azure订阅中的网络到他们自己的Azure网络中设置Azure VNet peer。管理员可以通过组织的Azure Active Directory管理用户和机器帐户。

2)域通过Azure Active Directory域服务和组织内部活动目录中的用户帐户加入组织内部活动目录

在这里，用户帐户位于组织的内部活动目录中。在客户的Azure订阅中，使用Azure AD Connect将Active目录与Azure AD同步。这个设置允许从同步的Azure AD验证用户的身份。为了让机器能够连接到本地AD，客户需要从Citrix Virtual Apps和desktop Standard的Azure订阅中的网络到他们自己的Azure网络中设置Azure VNet peer。需要另一个连接到数据中心，以访问配置文件和应用程序数据以及文件服务器。第二个连接需要SDWAN或点对点VPN或快速路由。我们推荐使用SDWAN，因为它是一个更可靠和更经济的解决方案。

3)加入到组织内部活动目录中的域和用户帐户

这里，机器和用户的帐户都位于组织的内部活动目录中。Citrix虚拟应用和桌面标准的Azure订阅(安装了SD-WAN虚拟设备)和客户的本地(安装了SD-WAN分支设备)位置使用SD-WAN相互连接。客户使用Citrix Cloud中的SD-WAN Orchestrator来管理这些设备。这种部署是最简单的(因为不需要将on-prem Active Directory与客户的Azure AD同步)，并利用SD-WAN内建的优化来帮助用户获得可能的最佳体验。

现在我们已经了解了各种部署选项，让我们看看其他主要概念。

图像管理

MCS (Machine Creation Services)用于在控制台中发放工作负载虚拟机。MCS用于配置、启动、停止和删除虚拟机。MCS使用主映像的副本(称为链接克隆)来快速配置虚拟桌面。通过更新映像，然后使用该映像作为目录的主映像，可以很容易地更新这些克隆。在撰写本文时，可用的主映像适用于Win 10多会话、Win 10、Windows Server 2012 R2和2016。

1) Windows 10和Windows 7 ESU是标准的单会话桌面操作系统。它们用于将整个Windows桌面的访问权授予用户。计算资源可能被单个用户完全使用，也可能不被完全使用。

2) Windows 10多会话是Azure中提供的新操作系统，允许多个用户登录Windows 10机器。这个操作系统有助于减少必须在Azure中启动的机器数量，以服务同一组用户。这个操作系统还有助于充分利用所部署机器的计算资源。这种类型的机器不需要RDS cal来允许多用户访问。

3) Windows Server 2008 R2 / 2012 R2 / 2016 / 2019是允许多个用户连接到一台机器的服务器操作系统。其中一个操作系统可以用于向用户提供应用程序，或提供对桌面会话的访问(可以将其蒙皮，使其看起来像桌面操作系统会话)。这些操作系统是比选项1更便宜的桌面选择。注意:连接到这台机器的每个用户都需要一个RDS CAL或RDS SAL。

注意:对于Windows 7 ESU和Windows Server 2008 R2操作系统，镜像上安装的“虚拟交付代理”版本必须为“Citrix Virtual Apps”和“Desktop 7.15 LTSR”。

这些预构建映像上只安装了操作系统和Virtual Delivery Agent(用于管理系统的Citrix软件)。他们不可能拥有组织为用户提供可用桌面所需的所有东西。

管理员可以导入他们自己的其中一个操作系统的映像(所有的组织应用程序和配置都完成了)。或者使用这些映像中的一个作为基础，从控制台构建一个映像，以获得所需配置中的主映像。

访问这个链接了解如何在思杰和客户之间分担维护责任。然后可以更新创建的映像，并使用更新后的映像生成新的虚拟机。

每个模板都可以应用于启动时可用的4个虚拟机大小

管理员可以选择基于虚拟机大小在工作负载和预期连接到每台机器的用户数量上。cpu和RAM较少的机器更适合于较轻的工作负载，或者一次只服务一个会话，或者同时提供这两种选择。拥有较多cpu和较多内存的机器可以支持更密集的工作负载，或者同时支持较多的会话，或者两者都支持。

管理员可以选择两种创建目录的方法—快速创建和自定义创建。

快速创建从加入到Citrix Managed Azure AD的Citrix Managed win10主映像创建一个静态虚拟机(虚拟机上的数据在会话启动时持续存在)。该目录与组织的公司网络没有连接(因此公司应用程序无法访问托管在那里的数据)。这种类型的目录更适合PoCs。管理员只能选择机器的大小和数量，以及它们将要进入的区域。

自定义创建为管理员提供各种选项，以便创建所需的目录。

管理员可以选择目录类型、创建vm的订阅、设置与公司网络的连接、Azure区域、存储类型、工作负载、目录中机器的数量，以及除了自动定量目录的设置。

可供选择的目录类型有:Multi-session—适用于Windows 10多会话或Windows Server 2016操作系统的机器。预期将有多个用户登录到一台计算机。让管理员可以最大限度地利用机器资源，减少为特定数量的用户服务所需的机器数量。

静态(个人电脑)—适用于Windows 7 ESU、Windows 10、Windows 2008 R2 / 2012 R2 / 2016 / 2019(服务器VDI)操作系统的主机。这些机器将被分配给特定的个人，并在重新启动时保留它们的数据和状态。该机器的目的是让同一用户在一段时间内使用。

随机(汇集桌面)—适用于Windows 7 ESU、Windows 10和Windows 2008 R2 / 2012 R2 / 2016 / 2019(服务器VDI)机器。这些机器可以分配给任何请求桌面的用户。会话注销后，这些机器将被重置为它们的主映像默认值。因此，它们可以用于向登录的下一个用户交付可重复的桌面，例如向轮班工人交付可重复的桌面，他们需要与上一个轮班相同的环境，但不需要他们的数据。

的选项Azure订阅允许管理员选择虚拟机的位置。位置可能在Citrix管理的Azure订阅中，也可能在组织的Azure订阅中。

的网络连接选项允许管理员选择他们已配置用于将计算机连接到Azure订阅的Azure VNet-Peer。

的地区选项允许管理员选择我们目前支持的4个Azure区域中的一个来托管虚拟机。

的存储选项使管理员能够在标准磁盘(hdd)或高级磁盘(ssd)之间进行选择。

在选择一个机器节中，对于多会话和单会话目录类型，选择计算机的选项是不同的。多会话目录将提供工作负载下拉列表，我们可以在其中估计每个VM可以服务的会话数量。

的工作负载选项允许管理员从4个工作负载选项中进行选择，这让管理员了解每台机器将提供的工作负载类型。它们是:

光:对于每个用户，预期的工作负载很轻，并且机器支持16个这样的会话。

介质:对于每个用户，预期的工作负载是中等的，每台机器支持10个这样的会话。

重:预期的工作负载对于每个用户来说是中等的，并且每个机器支持4个这样的会话。

自定义:选项让管理员在下拉列表中选择之前讨论过的针对Azure的Citrix虚拟应用和桌面标准中的4种可用虚拟机大小。

的静态和随机(单个会话目录)机器的性能下拉列表，管理员可以从前面讨论的4种机器大小中选择。

VNet凝视

客户如果想在Citrix的订阅中连接Azure托管的虚拟机，需要将它们连接到自己的Azure订阅中，这些订阅中包含Azure AD或应用程序和个人资料数据，或者两者都包含。正如在域连接工作负载的部署场景中所看到的，Citrix托管Azure订阅(资源位置)需要VNet与组织的Azure订阅(托管Azure AD)进行对等。连接可以通过使用网络连接项目在右边的菜单。

这里列出了现有的VNet对等网络。管理员可以通过点击+ add Connection来添加一个新的VNet peer。然后单击链接查看Azure客户的Easy设置。只需使用“订阅所有者”帐户登录，并同意提供以下权限。检索并显示订阅中的网络列表。管理员可以选择他们需要与Citrix Managed网络对等的检索到的连接。

用户定义的路线

一些使用Citrix虚拟应用程序和Azure桌面标准的组织可能要求从一个已知的静态IP地址发出Internet流量。由于Azure中内置的默认路由机制，来自部署机器的流量来自一组随机的公共ip。解决方案是配置一个Azure网络虚拟设备(NVA)，它在NVA的WAN接口上有一个静态分配的公共IP。要做到这一点，机器必须在组织的Azure订阅上加入域(域加入部署场景1和2)，并且在Citrix Managed Azure和客户的Azure订阅之间启用VNet对等。Azure订阅网络必须有2个子网，一个包含所有Azure资源(称为LAN)，另一个包含面向外部(外发)的IP地址(称为WAN)。WAN子网可以有一个小的网络地址空间，因为它只用于外部路由。

为了使传出的IP是静态的，管理员必须将它分配给Azure NVA。有了NVA，就有了额外的功能，包括但不限于URL过滤、内容/ SSL检查、威胁检测，如病毒扫描等

配置Azure NVA，将LAN IP地址转换为WAN IP地址。本例中流出IP使用的是Windows Server 2016数据中心版本的虚拟机。然后在Citrix Azure用户界面虚拟应用和桌面标准中添加一条路由，网络连接>Azure VNet凝视以前创建的>路线选项卡。添加一条指向该路由器的LAN IP的新路由。

一旦添加了路由，它就会显示在VNet对等的路由列表中。

自动定量

有了这个特性，管理员可以在控制成本的同时确保用户的工作负载可用性。通过基于负载或基于调度的电源管理，或两者的结合(当机器不需要使用时)，可以降低成本。自动伸缩有助于降低在云中运行工作负载的成本。还要确保有足够的vm启动，以在需要时处理会话启动请求。

管理员能够根据一天中的时间来管理目录中的机器。管理员还可以控制要在空闲或断开连接的会话上执行的动作以及这些动作发生的超时时间。

管理员可以设置目录的工作时间(基于时区)，然后定义在非工作时间内需要多少个虚拟机。然后我们可以关闭其余的vm来节省Azure的消耗成本。自动缩放还可以在恢复工作时间时调出服务会话所需的机器数量。当用户尝试再次登录时，会有很好的体验。

管理员可以设置空闲会话断开、注销和关机时的超时时间。

容量缓冲区是当前会话需求的百分比。运行机器的最小数量用于确定我们希望保持打开多少机器以服务新的会话请求。可根据工作时间和下班时间设定不同的开机数量。管理员还可以设置断电延迟，以保持机器处于开机状态，直到达到此设置中配置的时间。断电延时确保机器不会由于自动缩放而连续通电或断电。

管理员可以使用一些预置的时间表，或者管理员可以创建一个自定义的时间表。

监控

管理员可以看到他们的Citrix虚拟应用和用于Azure部署的桌面标准监控选项卡。管理员可以了解环境中发生了什么，可以查看消费模式。管理员可以检测哪些资源比其他资源消耗得多，以平衡容量和需求。在某个时间点上运行的虚拟机数量的可见性指导了自动缩放设置的配置。当预期负载上升或下降时，产生可用机器的最佳数量。

管理员可以查看桌面使用情况、会话和机器。

默认视图为“桌面使用情况”界面。该页面包含一个实时活动机器和会话状态，其中包含一个或多个选定目录中的机器总数。下图是在所选时间段内为一个或多个所选目录活动的机器和会话。如果管理员将鼠标悬停在图中的任何点上，就会弹出一个窗口，显示该时间点的计数。这里可用的时间范围是从当前时间返回的1天、1周、1个月和3个月。

有两个图表显示了前10名频繁用户和前10名活动目录。可以根据目录的类型(应用程序、多会话和单会话)对它们进行筛选。这里可用的时间范围是从当前时间返回的1周、1个月和3个月。

管理员还可以为订阅下载最后一个月的Desktop Launch Activity报告，结果是一个csv文件。

解决和支持

管理员可以使用解决和支持部分，以解决在部署过程中出现的问题。当管理员试图创建目录或用户试图访问他们的应用程序或桌面时，可能会出现问题。管理员也可以从这里自己打开支持票。

我们提供不同的发行方案:

如果管理员在设置中遇到问题，管理员可以使用名为Bastion主机的机器来排除问题。Bastion主机上预装了工具。Bastion主机可以在资源位置中创建(用于机器创建问题)。或者管理员可以RDP到有问题的机器(如果是会话启动问题)来解决它。

Citrix Azure虚拟应用和桌面标准技术洞察力视频

要了解更多关于最佳实践的信息，请阅读我们的Citrix虚拟应用和Azure桌面标准的参考架构