製品の技術概要
Citrix虚拟应用程序和桌面の仮想化ソリューションで,它担当者は仮想マシン,アプリケーション,ライセンス,セキュリティを完全に制御でき,あらゆるデバイスからのアクセスを提供できます。
Citrix虚拟应用程序和台式机では次のことが可能です:
- エンドユーザーは,デバイスで动作するオペレーティングシステムやインターフェイスに依存せずにアプリケーションやデスクトップを実行できます。
- 管理者はネットワークを管理して、特定のデバイスまたはすべてのデバイスにアクセスを制御できます。
- 管理者は、単一のデータセンターからネットワーク全体を管理できます。
Citrix虚拟应用程序和桌面では“FlexCast管理架构(FMA)”と呼ばれる共通の統合アーキテクチャが使用されます。菲利普-马萨により,単一サイトで複数のバージョンのCitrix虚拟应用またはCitrix虚拟桌面を実行でき,プロビジョニング機能が統合されます。
主要コンポーネント
この記事はCitrix虚拟应用程序和桌面を初めてご使用の方に役立ちます。6。x以前のXenAppファームまたはXenDesktop 5.6以前のサイトを使用している場合は,”7. xでの変更点」も参照してください。
次の図は、サイトと呼ばれる典型的な展開での主要なコンポーネントを示しています。
交付控制器
交付控制器はサイトでの中心的な管理コンポーネントです。各サイトには1つ以上の交付控制器が必要です。データセンター内で動作する1つ以上のサーバー上にインストールします。サイトの信頼性および可用性を向上させるには,複数のサーバー上に控制器をインストールします。展開にハイパーバイザーまたはその他のサービスが含まれている場合,控制器サービスはハイパーバイザーまたはその他のサービスと通信して,以下を行います:
- アプリケーションとデスクトップの配信
- ユーザーアクセスの认证と管理
- ユーザーとユーザーのデスクトップおよびアプリケーションとの間の接続の仲介
- ユーザー接続の最適化
- ユーザー接続の负荷分散。
控制器の经纪服务は、ログオンしているユーザー、ログオン先、ユーザーのセッションリソース、既存のアプリケーションへの再接続が必要かどうかを追跡します。经纪服务は、动力壳コマンドレットを実行し、VDA上の传输控制协议ポート80で经纪人と通信します。传输控制协议ポート443を使用するオプションはありません。
显示器服务は履歴データを收集して监视データベースに配置します。このサービスはTCPポート80または443を使用します。
控制器サービスからのデータはサイトデータベースに格納されます。
控制器は,仮想デスクトップの状态を管理してユーザーからの要求や管理构成に基づいてそれらを起动および停止します。一部のエディションでは,档案管理をインストールして,仮想化または物理的な的Windows环境でユーザーの个人用设定を管理できます。
データベース
各サイトには,構成情報やセッション情報を格納するためのMicrosoft SQL Serverデータベースが少なくとも1つ必要です。このデータベースには,控制器を構成する各サービスによって収集および管理されたデータが格納されます。データセンター内にデータベースをインストールして,控制器と永続的に接続されるようにしてください。
サイトは,構成ログデータベースおよび監視データベースも使用します。これらはデフォルトではサイトデータベースと同じ場所にインストールされますが,その場所は変更できます。
虚拟交付代理(VDA)
サイトでユーザーが利用可能な各物理マシンおよび仮想マシン上にVDAをインストールします。これらのマシンでは,アプリケーションやデスクトップが配信されます.VDAにより,これらのマシンが控制器に登录され,ユーザーがこれらのマシンおよびマシン上でホストされるリソースを使用できるようになります.VDAは,マシンとユーザーデバイスとの间の接続を确立して管理します。また,VDAは的Citrixライセンスがユーザーまたはセッションで使用可能であることを确认し,セッションに対して构成されているポリシーを适用します。
VDAは,VDA内の代理代理を介して控制器上の代理服务とセッションに関する情報を送受信します。代理代理は複数のプラグインをホストし,リアルタイムデータを収集します。80工作室は,TCPポートで控制器と通信します。
「VDA」という语は,VDAがインストールされているエージェントやマシンを指すためにも使用されることがあります。
VDAはシングルセッションおよびマルチセッションの窗户オペレーティングシステムで利用できます。マルチセッションWindows服务器操作系统対応VDAでは、同時に複数のユーザーがそのサーバーに接続できます。シングルセッションWindows操作系统対応VDAでは、デスクトップへの単一ユーザー接続のみが許可されます。Linux-VDAも利用可能です。
思杰店面
店面はユーザーを認証して,ユーザーのデスクトップやアプリケーションのストアを管理します。店面により,デスクトップやアプリケーションへのセルフサービスアクセスをユーザーに提供する”エンタープライズアプリケーションストア”がホストされます。また,ユーザーのアプリケーションのサブスクリプション,ショートカット名,およびその他のデータを追跡します。これにより,ユーザーが複数のデバイス間で一貫性のある操作を行えるようになります。
Citrix工作区アプリ
Citrix工作区アプリは、ユーザーデバイスや他のエンドポイント(仮想デスクトップなど)にインストールされ、ドキュメント、アプリケーション、およびデスクトップへの迅速かつ安全なセルフサービスアクセスをユーザーに提供します。また、Citrix工作区アプリにより、Windows、Web、およびSaaS(软件即服务)アプリケーションへのオンデマンドアクセスも可能になります。デバイス固有のCitrix工作区アプリソフトウェアをインストールできないデバイスでは、HTML5互換の网状物ブラウザーからHTML5向けCitrix工作区アプリを使用してアクセスすることもできます。
Citrix工作室
工作室はCitrix虚拟应用程序和桌面の展開を設定および管理する管理コンソールです。工作室により,アプリケーションやデスクトップの配信を管理するための個別の管理コンソールが不要になります。工作室では,環境のセットアップ,アプリケーションやデスクトップをホストするためのワークロードの作成,およびアプリケーションやデスクトップのユーザーへの割り当てを案内するさまざまなウィザードが提供されます。工作室を使用して,サイトのCitrixライセンスの割り当てや追跡を行うこともできます。
工作室は,控制器上のBroker服务とTCPポート80経由で通信して,そこからの情报を表示します。
Citrix控制器
主任は,ITサポート担当者やヘルプデスクのスタッフが环境の状态を监视して,重大な障害が生じる前にトラブルシューティングを讲じたりエンドユーザーをサポートしたりするための网络ベースのツールです.Directorでは,复数の思杰虚拟应用または思杰虚拟桌面サイトに接続して监视することができます。
主任には次のものが表示されます:
控制器上の代理服务からのリアルタイムセッションデータ。これには,VDA内の中介代理から代理服务が收集したデータも含まれます。
控制器上の监视服务からのサイト履歴データ。
导演では,Citrix网关デバイスでキャプチャされたICAパフォーマンスおよびヒューリスティックデータを使用してデータから分析を作成し,管理者に提示します。
また,Windowsリモートアシスタンスを使用すると,导演を介してユーザーのセッションを表示したり制御したりすることもできます。
思杰公司ライセンスサーバー
ライセンスサーバーは思杰公司製品のライセンスを管理します。控制器と通信して各ユーザーセッションのライセンスを管理し、演播室と通信してライセンスファイルを割り当てます。各サイトには、ライセンスファイルを格納および管理するためのライセンスサーバーが1.つ以上必要です。
ハイパーバイザーまたはその他のサービス
ハイパーバイザーまたはその他のサービスは,サイトの仮想マシンをホストします。これらのサービスには,アプリケーションやデスクトップをホストするために使用する仮想マシンと,Citrix虚拟应用程序和桌面のコンポーネントをホストするために使用する仮想マシンも含まれます。ハイパーバイザーは,仮想マシンをホストする専用のコンピューター上にインストールします。
思杰虚拟应用和桌面は,さまざまなハイパーバイザーとその他のサービスをサポートします。
多くの展开ではハイパーバイザーが必要ですが,リモートPCアクセスを提供する场合はハイパーバイザーは必要ありません.Provisioning服务(PVS)を使用してVMをプロビジョニングする场合も,ハイパーバイザーは必要ありません。
追加のコンポーネント
以下のコンポーネントがCitrix虚拟应用程序和桌面展開に含まれていることもあります。詳しくは,それぞれのドキュメントを参照してください。
Citrix供应
Citrix供应(旧配置服务)は一部のエディションで使用できるオプションコンポーネントです。仮想マシンをプロビジョニングするMCSの代替として使用できます。MCSがマスターイメージのコピーを作成するのに対し,pvはマスターイメージをユーザーデバイスにストリーム配信します。pvではハイパーバイザーが不要なため,物理マシンをホストすることができます。pvは控制器と通信して,ユーザーにリソースを提供します。
Citrix网关
ユーザーが社内ファイアウォールの外側から接続する場合,Citrix虚拟应用程序和桌面でCitrix网关(旧访问网关およびNetScaler网关)テクノロジを使用して接続をTLSで保護できます。Citrix网关やVPX仮想アプライアンスは非武装地帯(DMZ)に配置するSSL VPNアプライアンスであり,企業ファイアウォールを介した安全な単一アクセスポイントを提供します。
Citrix SD-WAN
支店など遠隔地のユーザーが广域网を介して仮想デスクトップに接続する環境では、Citrix SD-WAN技術により广域网接続のパフォーマンスを最適化できますリピーターは、广域网全体のパフォーマンスを向上させます。ネットワーク内のリピーターによって、广域网接続でも局域网接続のようなユーザーエクスペリエンスが支店のユーザーに提供されます。Citrix SD-WANでは、さまざまなユーザー操作に優先順位を割り当てることができます。たとえば、ネットワーク上で大きなファイルや印刷ジョブを送信する操作に高い優先度を割り当てて、遠隔地のユーザーがストレスなく作業できるようにします。HDX广域网の最適化によりトークン化された圧縮およびデータ重複排除が提供され、帯域幅消費が減少してパフォーマンスが向上します。
典型的な展開方法
サイトは,スケーラビリティ,高可用性,およびフェールオーバーを実現する特定の役割を持ついくつかのマシンで構成され,計画的にセキュアなソリューションを提供します。サイトは,VDAがインストールされているサーバーマシンとデスクトップマシン,およびアクセスを管理する交付控制器で構成されます。
VDAは、ユーザーがデスクトップやアプリケーションにアクセスすることを可能にするエージェントソフトウェアです。VDAはデータセンター内の仮想マシン上にインストールされますが、リモート个人计算机アクセス展開では物理个人计算机上にインストールされることもあります。
控制器はリソース,アプリケーション,およびデスクトップを管理したりユーザー接続を最適化および負荷分散したりする,独立したいくつかのWindowsサービスで構成されます。各サイトには1つまたは複数の交付控制器があります。セッションは遅延、帯域幅、ネットワークの信頼性の影響を受けるため、可能であればすべてのControllerを同じLAN上に配置します。
ユーザーが控制器に直接アクセスすることはありません。ユーザーと控制器間の通信の中継点としてVDAが機能します。ユーザーが店面を使用してログオンすると,その資格情報は控制器上の代理服务にパススルーされます。代理服务は設定されているポリシーに基づいてプロファイルと利用可能なリソースを取得します。
ユーザー接続を处理するしくみ
セッションを開始するには,ユーザーデバイス上にインストールされているCitrix工作区アプリ,または店面网络サイトを使用して接続します。
ユーザーは,使用する物理デスクトップまたは仮想デスクトップ,または仮想アプリケーションを選択します。
下図の経路で,控制器にアクセスするためのユーザーの资格情报が転送されます.Controllerは,代理服务と通信して必要なリソースを决定します.Citrix工作区アプリから送信される资格情报を暗号化で保护するために,店面上にSSL证明书をインストールすることをお勧めします。
代理服务により,ユーザーがアクセスできるデスクトップやアプリケーションが决定されます。
資格情報の検証後,アクセス可能なデスクトップやアプリケーションの情報が店面とCitrix工作区アプリ経由でユーザー側に返送されます。ユーザーがこのリストからアプリケーションまたはデスクトップを選択すると,その情報が同じ経路で控制器に送信されます。控制器は特定のアプリケーションまたはデスクトップをホストするための適切なVDAを決定します。
控制器はユーザーの资格情报をメッセージとしてVDAに送信し,さらにユーザーと接続に关するすべてのデータをVDAに送信します.VDAは接続を受け入れ,同じ経路で的Citrix工作区アプリに情报を返送します。必要なパラメーターのセットが店面上で收集されます。收集されたパラメーターは,思杰工作区アプリ店面间でのプロトコル変换の一部として,または独立计算架构(ICA)ファイルに変换されダウンロードされて,思杰工作区アプリに送信されます。サイトが正しく构成されている场合,ユーザーの资格情报はこれらの处理をとおして暗号化されたまま転送されます。
伊卡ファイルがユーザーデバイスにコピーされ、VDA上で実行される伊卡スタックとの直接接続が確立されます。この接続により、管理インフラストラクチャ(Citrix工作区アプリ、店面および控制器)がバイパスされます。
思杰工作区アプリとVDA间の接続では思杰网关协议(CGP)が使用されます。接続が中断されても,セッション画面の保持机能により同じVDAに再接続されます。管理インフラストラクチャ経由でセッションを再起动する必要はありません。セッション画面の保持机能の有效または无效の设定は的Citrixポリシーで行います。
クライアントがVDAに接続すると,VDAはユーザーがログオンしていることを控制器に通知します。控制器はその情報をサイトデータベースに送信し,監視データベースにデータを記録し始めます。
データアクセスのしくみ
它担当者はCitrix虚拟应用程序和桌面の各セッションにより提供されるデータに工作室や主任でアクセスできます。工作室を使用すると,管理者は代理代理からのリアルタイムデータにアクセスしてサイトを管理できます。导演は同じデータに加えて,監視データベースに格納されている履歴データにアクセスします。また,ヘルプデスクによるサポートとトラブルシューティングのためにNetScaler网关からのHDXデータにアクセスします。
控制器内では,代理服务がリアルタイムデータを提供するマシン上の各セッションについてのセッションデータをレポートします.Monitor服务もこのリアルタイムデータを追迹して,履歴データとして监视データベース内に格纳します。
演播室は经纪服务のみと通信します。演播室はリアルタイムデータのみにアクセスします。经理は、经纪服务と(经纪人内のプラグイン経由で)通信してサイトデータベースにアクセスします。
また、经理はCitrix网关にもアクセスして、HDXデータの情報を取得します。
デスクトップおよびアプリケーションの配信
アプリケーションおよびデスクトップを配信するマシンをマシンカタログにセットアップします。次に,(カタログにあるマシンを使用して)利用可能なアプリケーションやデスクトップ,およびどのユーザーがそれらにアクセスできるかを指定するデリバリーグループを作成します。また,アプリケーショングループを作成して,アプリケーションのコレクションを管理できます。
マシンカタログ
マシンカタログとは,単一のエンティティとして管理される物理マシンまたは仮想マシンのグループを指します。これらのマシンおよびそのアプリケーションや仮想デスクトップは,ユーザーに提供する「リソース」です。カタログ内のすべてのマシンには,同じオペレーティングシステムおよびVDAがインストールされている必要があります。また,同じアプリケーションまたは仮想デスクトップがある必要があります。
通常,管理者はマスターイメージを作成して,それを基にカタログ内に同一构成の仮想マシンを作成します仮想マシンの场合,そのカタログにあるマシンのプロビジョニング方法を以下から指定できます。的Citrixツール(思杰供应またはMCS)または他のツールまたは,独自の既存イメージを使用することもできますその场合,管理者は,サードパーティ制のESD(电子软件分发:电子ソフトウェア配信)。ツールを使用してターゲットデバイスを个别または集合的に管理します。
有效なマシンの种类は以下のとおりです。
- マルチセッション操作系统:マルチセッションオペレーティングシステムを搭载した仮想マシンまたは物理マシン.Citrix虚拟应用程序公开アプリケーション(「サーバーベースでホストされるアプリケーション」とも呼ばれます)および的Citrix虚拟应用程序公开デスクトップ(「サーバーでホストされるデスクトップ」とも呼ばれます)の配信に使用されます。これらのマシンには同时に复数のユーザーが接続できます。
- シングルセッション操作系统:シングルセッションオペレーティングシステム使用の仮想マシンまたは物理マシン。VDIデスクトップ(オプションでパーソナライズできるシングルセッション操作系统を実行しているデスクトップ)、虚拟机でホストされるアプリケーション(シングルセッション操作系统からのアプリケーション)、およびホストされる物理デスクトップの配信に使用されます。これらの各デスクトップに一度にアクセスできるのは1.人のユーザーのみです。
- リモート个人计算机アクセス:リモートユーザーがCitrix工作区アプリを実行している任意のデバイスから社内の物理个人计算机にアクセスできるようにします。オフィス个人计算机は、Citrix虚拟桌面の展開によって管理され、ユーザーデバイスを許可リストで指定する必要があります。
詳しくは。”思杰虚拟应用和桌面のイメージ管理“および”マシンカタログの作成“を参照してください。
デリバリーグループ
デリバリーグループは,どのユーザーがどのマシンのどのアプリケーションまたはデスクトップ(またはその両方)を使用できるかを指定します。デリバリーグループには、マシンカタログに記載されているマシンと、サイトへのアクセス権を持つActive Directoryユーザーが含まれています。Active Directoryグループとデリバリーグループは同様の要件に基づいてユーザーをグループ化する方法であるため、Active Directoryグループを使用してデリバリーグループにユーザーを割り当てることができます。
1つのデリバリーグループに複数のカタログからのマシンを含めることができ,1つのカタログからのマシンを複数のデリバリーグループで使用できます。ただし1つのマシンが複数のデリバリーグループに属することはできません。
管理者は,デリバリーグループ内のユーザーがどのリソースにアクセスできるのかを定義します。たとえば,異なるアプリケーションを異なるユーザーに配信する場合,1つのマシンカタログのマスターイメージにそれらのすべてのアプリケーションをインストールしておき,複数のデリバリーグループに分配するための十分な数のマシンをそのカタログに作成します。次に,マシンにインストールされているアプリケーションの異なるサブセットが配信されるように各デリバリーグループを構成します。
詳しくは。”デリバリーグループの作成“を参照してください。
アプリケーショングループ
アプリケーショングループは、さらに多くのデリバリーグループを使用するのに比べて、アプリケーション管理とリソース制御に利点をもたらします。タグ制約機能を使用すると、複数の公開タスクに既存のマシンを使用できるので、追加のマシンを展開および管理するコストを削減できます。タグ制限は、デリバリーグループのマシンをさらに分割(またはパーティション化)するものと考えることができます。また、アプリケーショングループを使用すると、デリバリーグループ内のマシンのサブセットを分離してトラブルシューティングするときに便利です。
詳しくは。”アプリケーショングループの作成“を参照してください。