技术简介:工作环境管理
介绍
Workspace Environment Management(WEM)使用智能资源管理和配置文件管理技术,为Citrix虚拟应用程序和桌面(CVAD)部署提供尽可能最佳的性能、桌面登录和应用程序响应时间。WEM有几个安全特性,支持部署的安全态势。这是一个仅限软件、无驱动程序的解决方案。
体系结构
工作区环境管理可以安装在现场,也可以作为服务从Citrix Cloud访问。
WEM向用户和运行会话的机器推送配置文件设置,并从组织获取数据活动目录.
我们代理—WEM代理在本地部署和业务部署选项中都是通用的。它安装在WEM管理的Windows会话主机或物理机器上。WEM代理实时监视主机并报告机器的状态。它接收来自WEM基础设施服务的指令,以便在机器上应用策略设置并进行配置。代理维护设置的本地缓存,以适应无法访问WEM服务器/服务的情况。
本地部署
现场WEM部署架构:
内部架构的其他组件有:
电话管理控制台—部署在单会话或多会话Windows操作系统机器上的控制台,用于管理WEM。它与基础架构服务器交互,并允许管理员控制各种特性。
电话基础设施服务器–这些服务安装在多会话Windows操作系统机器上,有助于WEM部署的各个组件之间的通信和同步。
SQL Server数据库—WEM需要SQL Server数据库来存储设置。如果需要,数据库可以驻留在SQL Server Always On可用性组中。
电话服务
WEM服务部署架构:
当Citrix Cloud托管时电话服务,控制和数据库组件托管在云中,由Citrix管理。管理控制台、基础设施服务和数据库(托管在Azure SQL中)都是服务的一部分。控件访问管理控制台管理通过Citrix Cloud web控制台访问WEM服务时,单击。
云连接器- Citrix Cloud Connector是资源位置的实体与Citrix Cloud服务进行通信的管道。对于弹性,我们建议在每个资源位置至少安装一对云连接器。WEM服务使用云连接器访问客户Active Directory并在资源位置对WEM代理进行身份验证。
我们代理—使用Citrix云消息服务通过HTTPS与WEM服务进行交互。代理维护设置的本地缓存,以便对网络中断和服务中断具有弹性。在撰写本文时,单个服务实例可以支持100,000个WEM代理。检查限制页面获取每个WEM服务实例当前支持的WEM代理的数量。
将WEM本地迁移到WEM服务
迁移涉及导出本地SQL server内容并将其上载到服务。运行工具包将现有的本地WEM数据库迁移到WEM服务。该工具包包括一个向导,用于生成包含本地WEM数据库内容的SQL文件。管理员然后可以将SQL文件上载到WEM服务Azure数据库。有关更多信息,请阅读迁移到WEM Service.
电话功能
了解了WEM的内部部署和服务产品的体系结构后,让我们看看WEM为组织提供的特性。有三个主要的功能集:
资源管理
为了为用户提供最佳体验,WEM代理实时监控和分析会话中的用户和应用程序行为。然后在用户工作空间环境中智能地调整RAM、CPU和I/O。
内存优化
当一个新进程启动时,它会占用比正常运行所需更多的RAM。但一般来说,一旦资源被分配给进程,进程不会放弃这些资源。WEM实时检测哪些进程是用户关注的焦点。RAM工作集中不被关注的部分应用程序可以被回收。可以观察到,即使这些应用程序重新成为焦点,它们通常需要从它们回收的RAM数量的一个更小的子集。这些操作优化了云中的RAM消耗,并提高了单个服务器的可伸缩性。
下图显示了一组会话使用和不使用WEM时所消耗的内存量。
观看Tech Insight关于RAM优化的视频在这里.
CPU的优化
如果检测到某个进程占用CPU资源,这不仅会对它所在的会话产生负面影响,还会降低同一台机器上运行的其他会话的速度,甚至会影响其他用户的日志时间。
使用WEM进行CPU优化,包括实时监控每个VM上运行的进程。当检测到某个进程占用CPU资源时(在规定的时间内),WEM会自动降低该进程的优先级。此操作允许其他进程使用CPU并减轻服务器负载。当进程超时返回到低CPU消耗时,其优先级将重置为正常。
观看Tech Insight关于CPU优化的视频在这里.
为了验证WEM优化CPU的效果,在有噪声的邻居场景中,进行了基于登录VSI的规模测试。为了模拟嘈杂的邻居,将不属于LoginVSI knowledge worker测试运行的用户添加到测试设置中。此用户的会话被配置为启动一个进程,根据Azure VM中的核心数,该进程消耗3个CPU核心,平均占总CPU的50%-70%。
Windows 10 2004多会话虚拟机,在HDX上安装了CVAD 2006并应用了Citrix优化器和WEM代理进行测试。为了基线测试结果,使用Microsoft RDP作为连接协议运行相同的测试,并且vm使用Microsoft的开箱即用优化。
由下表可以看出,加入了WEM,抑制了CPU消耗噪声邻居的影响。WEM包含将VSImax(机器上可以支持的用户数目)从20%增加到43%。导致可以在单个VM上运行的用户数量增加,即使在压力场景中也是如此。
使用嘈杂邻居场景进行规模分解:
| Azure大小 | 基线 | Citrix HDX | 提高WEM可扩展性 |
|---|---|---|---|
| D4V3 | 7.3 | 11.3 | 43.0% |
| D3V2 | 12 | 16 | 28.6% |
| D4V2 | 28 | 34.5 | 20.8% |
由于WEM减少了CPU峰值,从结果中得出的另一个重要结论是,用户的响应时间要好得多。对于相同数量的用户,Citrix虚拟应用和桌面会话的响应时间比基线(在达到VSImax时)低了近1000毫秒。
类似地,在两个有4个vcpu的机器上,会话中观察到的延迟要少25%-50%。这两个结果都表明,当WEM出现时,用户体验会更流畅、更敏捷。
登录优化
为了提供最好的登录性能,WEM服务用部署在每个虚拟机或服务器上的代理替换了常用的Windows组策略对象对象、登录脚本和首选项。代理是多线程的,只在需要时对用户环境应用更改,确保用户总是能够尽可能快地访问他们的桌面。处理耗时的流程时,会与初始登录流程不同步。
观看Tech Insight关于Logon优化的视频在这里.
配置文件管理
为Citrix配置文件管理提供一个管理接口。在Citrix概要文件管理设置(在策略和概要文件中)下,控制台支持配置当前版本的Citrix概要文件管理的所有设置。
安全特性
WEM包括几个增强安全态势的特性,并减少部署的威胁面。
App 保护
WEM的应用安全组件是Microsoft AppLocker的前端。
使用Workspace Environment Management设置应用程序安全策略(AppLocker)遵循与使用组策略对象相同的过程。管理员创建可执行文件、Windows安装程序、脚本、包和DLL规则。对于每个规则,可以使用相同的选项将规则基于发布者、路径或文件散列。然而,与AppLocker不同的是,WEM允许管理员选择多个规则并更改分配的用户,从而很容易支持数百个应用程序安全策略。
与基于GPO的AppLocker方法相比,WEM策略引擎确保AppLocker策略更一致地应用于所有被管理的会话。
特权海拔
在许多情况下,用户需要管理员权限才能安装或运行应用程序。由于大多数组织采用最低特权原则,最终用户通常不被授予管理员权限。
在需要这些密码的场景中,管理员必须登录系统(物理登录或远程访问),或者为用户提供临时的管理员密码。这种做法对管理员来说是乏味的,或者最终会创建安全策略的解决方案。
该特性允许管理员临时将用户的权限提升到本地管理员权限,从而可以安装或运行所需的应用程序。在批准列表中的应用程序可以安装该功能,而在禁止列表中的应用程序不能安装,操作将被记录。每个规则都基于路径、发布者或可执行文件的散列。
当添加新规则时,有三个选项可用:适用于子进程,如果希望子进程继承或不继承特权提升。
的开始和结束时间选项允许高度被限制在一个特定的时期。
部署选项
部署WEM有三种配置类型。使用最适合实际环境的类型。
单个林中的单个域
此配置可用于单个林中具有单个域的环境中。通常,这个域包含所有资源和用户对象。因此,在此配置中,管理员只需要部署一组云连接器就可以使您的所有设备连接到WEM服务。
单个林中的多个域
此配置可用于单个林中存在多个域的环境中。由于林中的域可以相互通信,在此配置中,管理员只需要部署一组Cloud Connectors就可以使您的所有设备连接到WEM服务。
独立林中的用户和资源(信任)
在此配置中,出于管理目的,用户和资源驻留在不同的域林中。两个林之间存在信任关系,允许用户登录到另一个林中的资源。在此部署中,管理员需要将云连接器部署到每个域林中,以完成WEM部署。
配置注意事项
WEM服务是为大型企业部署而设计的。在服务器端,WEM服务监视前端和后端组件之间的通信流,并根据传输中的数据动态伸缩。在评估WEM服务的大小和可伸缩性时,机器大小和云连接器的数量非常重要。为了确保高可用性,根据前面讨论的部署选项,我们建议在每个资源位置中至少有两个Cloud Connectors。
有关调整云连接器大小的信息,请参见Citrix云连接器.
要了解更多,请访问我们产品文档.
有关WEM的最新消息,请查看有什么新鲜事.