参考架构:Citrix DaaS: architecture de GCP con el servicio administrado para Microsoft Active Directory para CSP

Introduccion

网址propósito de este documentento es proporciar orientación arquitectónica y . diseño Citrix的CSP (proveedores de services) de Citrix使用Google Cloud Platform (GCP) como ubicación de recursos de Citrix DaaS con微软活动目录的托管服务．

Este document no prede proporciar una guía paso a paso sobre cómo实现Citrix DaaS para CSP。Asume la comprensión de la架构参考的虚拟应用程序和桌面的CSP，按比例考虑，从diseño e implementación到Citrix DaaS，再到CSP。

说明:参考Citrix DaaS在GCP中的安装说明谷歌云的Citrix DaaS解决方案中心．

关于修订GCP要素的文件汇编más关于修订GCP要素的文件汇编cómodamente。Google已经创建了许多有组织的组件(包括GCP)的形式，这些组件是非常重要的组件(例如diseño和implementación)。

一个continuación，修订了AD管理服务的详细信息，与传统的Microsoft Active Directory的相似之处和不同之处进行了比较，并使用了与GCP管理服务的相似之处进行了比较。

例如último，在GCP中实现服务管理和管理所需的组件。

Terminologia

不同的服务按不同的比例划分，不同的服务按不同的比例划分，不同的服务按不同的比例划分pública、terminología。洛杉矶siguientes儿子洛elementos GCP mas缩写,听头comprender medida是se sigue traves de esta arquitectura de referencia tal科莫se描述en la documentacion de GCP。

• Red de VPC:对象de red virtual de GCP。GCP中的多个VPC (reddes de number private virtual)在全局范围内，每个VPC (reddes cada región de GCP)中都有不同的实现子线程。Puede实现VPC en mode automático，允许创建的子权限通过rangos CIDR创建automáticamente; VPC en mode个性化，允许创建的子权限通过rangos CIDR手册创建。当VPC没有superpuestas时，不同的项目将使用不同的连接器，并在VPC中使用不同的端口。
• VPC的开发:创建VPC时，允许连接VPC的创建模式为“desconectarían”。同样，创建一个AD管理员的GCP创建automáticamente创建一个AD管理员的VPC，连接一个AD管理员的VPC和一个AD管理员的VPC。
• VPC compartida:在不同的VPC中创建不同的VPC，不需要创建不同的VPC，不需要创建独立的VPC，也不需要创建独立的VPC。
• Organización de GCP:una organización代表el nodo raíz en la jerarquía de recursos de GCP。如果创建一个文件夹organización，则需要Google Workspace(前置G-Suite)的GCP Cloud Identity。不需要通过organización，但建议通过管理主要项目递归的方式修改执行方案producción。
• Carpetas:1 .从组织层面上讲，利用组织层面上的递归，通过共同的竞争者más项目层面上的递归。穷人，穷人，穷人，穷人，穷人，穷人，穷人，穷人，穷人，穷人，穷人，穷人，穷人，穷人。没有特别要求，没有特别要求，没有特别要求，没有特别要求，没有特别要求，没有特别要求organización。
• 四面八方:unproject to proporciona agrupación abstracta de recursos dentro de GCP, y todos lorecursos de GCP debtenecer a unproject。一般情况下，项目下的虚拟机实例无法与项目下的虚拟机实例进行通信，需要在VPC中使用项目下的虚拟机实例进行比较。
• Cuenta de Facturación:uncuenta de facturación代表了pago que se utilization / pago perfil / pago que use / pago / consumer / GCP。Una cuenta de facturación se puede vinicular和各种项目，个人和项目单独使用puede vinicular和Una sola cuenta de facturación。
• 我:在GCP的所有递归中，使用的平台(administración)和使用的平台(use)都被认为是一个通常的许可(peruarios)。Esta平台tamamicastom - 3可以通过行政文件和服务实现。
• 当前服务:uncuenta de servicicio是uncuenta GCP que no esteconectada和unuuario real, uncuenta代表unuuuvm的unuuuaplicación实例。由于不同的API de GCP，不同的客户端服务可以使用不同的许可来实现不同的功能。通过机器创建服务将Citrix DaaS与GCP连接起来是必要的。
• 全球教育运动:Google Compute Engine是一个平台GCP，它可以实现递归informáticos，包括instance de VM, discos, plantillas de instance, groupos de instance等等más。
• Instancia GCE:GCE的一个实例是在GCE平台上的虚拟实现máquina。Cloud Connectors、imágenes doradas、la máquina virtual de administración de AD、de gualquier otra máquina virtual del entorno可以考虑一个实例de GCE。
• 实例植物:通过GCP中的实例组实现máquinas虚拟机。Citrix MCS的进程:在实例的工厂中复制镜像，使用辅助实现程序máquinas de catálogo。
• DNS en la编号:GCP使用辅助管理区域注册DNS。Con la creación del servicicio AD administrado、DNS en la number se configure automáticamente para reenviar咨询DNS a los controladores de dominoadministrados。

GCP中的AD管理服务

埃尔service gestionado de GCP para Microsoft Active Directory在Google云平台上提供Active Directory的全部管理服务。在Windows Server的虚拟机实例中创建一个完整的虚拟机实例，并在Windows Server的虚拟机实例中创建一个完整的功能实例。

在基础设施管理的基础上，通过在服务管理的基础设施管理的基础上，对Google的数据进行管理。Cada将在不同的区域内实施GCP，并通过supervisión检测和reemplaza automáticamente来控制该区域的运行。没有必要安装软件，谷歌可以通过实际安装的软件来安装软件。

AD管理服务通过administratorautomáticamente控件实现，Active Directory管理服务通过项目实现，GCP管理服务通过单个VPC实现。在VPC中使用虚拟机实现了automáticamente con . service . service . service . service . service . service . service . service . service . service . service .服务。Además, Google Cloud DNS se configuration automáticamente para reenviar今天咨询DNS服务和AD管理员。

考虑到AD管理的服务

Microsoft Active Directory的传统管理服务与AD管理GCP的高级服务有很多相似之处，因此，考虑到AD管理GCP的所有实现高级服务，Microsoft Active Directory的高级服务与传统的AD管理GCP的高级服务有很多相似之处。

1. 访问管理器访问管理器访问控制器访问控制器访问控制器访问控制器访问控制器访问控制器访问控制器访问控制器访问控制器访问控制器访问控制器访问控制器实例访问控制器访问控制器实例访问控制器访问控制器实例访问控制器访问控制器访问控制器访问控制器访问控制器访问控制器访问控制器访问控制器。
2. 通过ubicación de recursos compartidos de GCP，在VPC中实现与客户端/项目的比较。与AD管理员的合法自治权相比，VPC中的项目数量增加了一个百分点。创建VPC时，需要创建VPC que estemarejado conuna VPC comppartida no pueden alcanzar el domino del service de AD administrado。Para otener más información，咨询la página de需要对VPC进行配置德GCP by la guía de compatibilidad de VPC compartida de Google Cloud Platform (GCP) con la zona cima de Citrix DaaS．
3. Los permisos de cuenta administratorde domino / administratorde empresa no están ables, estas cuentas solas utilitza GCP para administratorel dominoust。
4. Los objects AD no se pueden creen en ningo de Los contenedores predeterminados (como /Computers)， son de solo lecture。Esta limitación产生unerror común al usar la tecnología de aprovisionamiento MCS de Citrix, decrear las cuentas de máquina para los VDA administrados de MCS en uncontenedor /unidad organizativa que puededesrise。Si no elige una ubicación de este tipo, MCS no podr crear as cuentas de máquina。
5. Algunas功能集成的AD, como服务的证书服务器，不需要重新安装。最后，esta limitación afecta a los CSP que必要的工具tecnología联邦认证服务(FAS) de Citrix(需要的服务de证书服务集成的AD)。Estos客户端通过管理员su propio Active Directory在Google Cloud中介实例de VM de Windows Server中创建。
6. 服务创造了组织原则(OU)。La unidad organizativa“云”， que aloja todos los recursos de AD administrados。通过对二级机构的管理，对整个机构的组织进行控制。我喜欢统一的组织性“云服务对象”，如GCP utilitza para administrative el domino。通过统一组织的各种递归，例如sí在单独讲课时，一个excepción de algunos attributos que se puededdescripir。
7. El服务创建automáticamente各种组的常用的ADpara允许AD的不同行政功能。Puede administrative pertencia和estos groups de uuarios。
8. 我们将创建一个新的数据集，并将其创建为creación“setupadmin”．“我现在使用行政管理工具”。咨询esta páginaPara ver la lista completa de permisos Para la cuenta“setupadmin”．
9. 所有的配置文件都是统一配置的，所有的配置文件都是单向的，所有的配置文件都是Active Directory本地的。conesta configuración, el domino service de AD administrado es el domino de“confianza”“Que aloja las cuentas de equipo”，意思是“我的地盘是我的地盘”“德confianza”我想问一个问题。Este modelo se utiliza comúnmente con la implementación de Bosque de recursos, que se explica en la siguente sección。

考虑周到的sobre el diseño del bosque de servicios de AD

在提供服务的Citrix的上下文环境中，AD管理的上下文环境和实现的上下文环境在activedirectory的模型中不同。

首先，通过más实现web服务，通过web管理，通过中介，通过diseño创建组织。在此模型中，高级服务AD管理程序或GCP管理程序将被指定为通常管理程序(quentas de equipo)、además管理程序。

在正常情况下，unbosque de organización允许配置unconfianza para建立unrelación控制bosque组织。在禁运期间，tenga将向行政当局提供单独的服务，并允许单方面的确认。

第二部分是关于模型的diseño，是关于模型的。在此模型中，请使用配置文件确认配置文件的单向参数建立文件relación来确认Active Directory本地。

Como se explicó anorio, en este modelo de implementación, el service de AD administrado es el bosque de“confianza”que aloja los recursos，而el AD本地的el bosque" de confianza "El que residenlas identidades de usuario。在某些情况下，AD管理服务允许对本地用户访问和递归的常见用户进行访问。

注:
Tenga en cuenta los详细介绍了Citrix Cloud Connectoral diseñar sus modelos de bosque de Active Directory云连接器不需要从全局视图中创建，也不需要从全局视图中创建Active Directory本地视图，也不需要在Citrix Cloud中创建可见的菜单，也不需要从全局视图中创建云连接器。

Arquitectura

enentdemos que no todos los CSP se enentdemos que no todos los CSP se enentdemos que no todos los CSP se enentdemos que no todos los CSP se enentdemos que no todos los CSP se enententran en la misma etapa en su process de adopción de la nube。Para otener una explicación detallada de los distos patrones de diseño de Citrix en GCP，咨询斯塔seccionGoogle Cloud上的Citrix虚拟化参考架构。

Además，通过多个客户端配置到Citrix Cloud可配置的云计算服务提供商(CSP)，支持客户端完成所有功能(administración)。Estas的功能被赋予了深刻的意义CSP的虚拟应用程序和桌面架构参考．

Patrón de diseño de servicicio administrado para Microsoft Active Directory para CSP

El patrón de diseño Microsoft Active Directory for CSP的托管服务se centra en la combinación提供不同的架构模型和可分配的组件，例如CSP的公用程序和可分配的公用程序和可分配的GCP的管理程序，管理程序和可分配的管理程序。

合作伙伴可以实现一系列的DaaS管理服务，以及Citrix Cloud公共应用程序，通过多配置到可使用的云计算服务提供商(CSP)，为客户提供独家功能。Estas的多配置功能允许一个云计算服务提供商(CSP)实现不同的客户端，包括与Citrix Cloud相比的控制/部署方案，或与专用的控制/部署方案相匹配的部署方案。

思杰云计算与GCP中专门的云计算相比，在实现过程中提供了更多的可重用性。在CSP的确定的查询模型中，不同的数据交换系统需要满足的条件有:específicos客户端、tamaño客户端、安全要求、规范要求、成本要求等。

独特的非组件可选，如组织的GCP (1)使用para administrative la jerarquía对不同的项目进行分类，例如suscripción和GCP de CSP。Además, tenga en cuenta que la suscripción de GCP by los recursos utilizados para un client final específico pueden pertenecer潜在客户端final by no al CSP。

红色VPC比较(2)可通过以下方式实现:ubicación de recursos提供各种客户端、组件、管理服务、imágenes doradas (Citrix Cloud Connectors)。Otros客户端在VPC专用的虚拟机中使用临终关怀服务。3.) bajo la misma organización de GCP。通过Citrix Cloud Connectors, Estos客户端连接到propio domino de service AD administrado, imágenes doradas。

AD管理的El服务可以在ubicación de recursos comparpartidos (4) o en una ubicación de recursos dedicada (5）.Este流程通过创建一个项目(所有的项目都是创建的)，创建一个VPC，创建一个VPC，创建一个服务，创建一个AD管理员。

comcomse explicó预置，通过ubicación de recursos compartidos、dedepertenecer、VPC compartida para和合法的domain service de AD administrado实现新的客户端到项目。管理员可以使用多个递归实现一个项目，将VPC划分为多个类别，例如VPC划分为多个类别，VPC划分为多个类别，VPC划分为多个类别。Esta limitación tiene que ver con que las VPC no son transitivas。El domino service de AD administrado en la ubicación de recurso comppartidos es es del domino de bicaciones de recurso dedicados。

对GCP项目的建议是:独立的数据库客户端管理系统(VDA)，以及ubicación数据库比较系统(6）.Esta consideración facilita la administración de recursos通过la aplicación de permisos de IAM para los administrades encargados de admitr管理不同的entornos。

Además, según las prácticas principales, el proecto de host de VPC compartido no alojar ningún recurso (7）.该任务用于单独使用VPC，以实现VPC与AD管理员的共享服务。

注:
Mientras el dominio service de AD administradose实现了dedeelproject到主机，减少了递归率(controladores de dominoyred VPC)的百分之一的非项目到administrado.google。没有时间访问一个完整的项目。

在Citrix Cloud (8)对不同的客户端执行管理丢失递归。Estos客户将Citrix虚拟应用程序和桌面服务的组件(como交付控制器、数据库、Director、Studio、许可和API)进行比较。

使用实施程序体验思杰工作空间（9奉献para cada客户。La experiencia de space de trabajo dedicada permit a los CSP marcar La página de inicio de sesión, junto con La personalización de La URL de accesso para cada客户端。Cada客户端使用Citrix网关服务autenticación通过conexiones HDX和sus递归。

我们为思云(Citrix Cloud) (10) para los客户más grandes by complexes。在Citrix虚拟应用程序和桌面系统中，您可以使用专用的组件，体验专用的Citrix工作空间。无需任何费用，也可获得Citrix Cloud专用软件的许可

Implementación del servicicio administrado para Microsoft Active Directory

登录sección后，可以通过以下方式实现AD管理员的管理服务。例如:sección se supone que hay disposable una suscripción GCP通过que ya ya实现递归的como项目，通过GCP的其他组件重新创建VPC，配置防火墙。

1- En el menú de navegación, vaya a标识安全>标识> Microsoft AD管理员．

En la pantalla服务管理员para Microsoft Active Directory， haga clic en创造新的世界．

:地以貌取人
*管理员可以通过DNS实现控制功能。
* Las máquinas virtuales de administración deben crecrespor separado。

En la pantalla创造一个新的世界，介绍la signuente información:

• 无主之主: domino FQDN、poor ejemplo、customer.com
• NetBIOS:去看rellena automáticamente
• Seleccionar红: redes que tendrán无障碍服务;
• Rango CIDR: unrango de /24 CIDR para VPC donde se实现了多个控制器

:地以貌取人
* VPC模式可以实现共享的服务模式，也可以实现统一的管理模式。
* El rango CIDR不确定superponse consus subredes actuales。

4- Desplácese hacia abajo - e介绍了一种新产品información:

• 地区: GCP的region de GCP的region de GCP的region de GCP的region
• Administrador delegado:授权行政长官
• Haga clic enCREAR“DOMINIO”

:地以貌取人
*行政代表之家居住在乌萨里奥斯。unique puede stablecer su contraseña directamente en la consola de ADUC，没有puede mover或反对ununidad组织差异。
*所有单位均为装备管理单位，所有单位均为组织管理单位云>计算机，没有任何计算机预先决定。
* La creación del servicio puede tardar hasta 60分钟。

5- Una vez finalizada la creación，选择一个由haga - clic主导的项目ESTABLECER CONTRASENA．

6 . En la ventanaEstablecer contrasena， haga clic enCONFIRMAR．

7 . En la ventanaNueva contrasena， copy la contraseña y haga clic en完成．

我们将通过以下方式创建服务:第1部分、第2部分、第2部分、第3部分、第2部分、第3部分、第3部分、第3部分、第4部分、第3部分、第4部分。tamamacimans完成了configuración Citrix DaaS的安装。