Citrix技术区

PDFを表示

谷歌クラウドでのCitrix仮想化

2021年5月17日

作者：里克·德林格，杰夫·艾伦，里奇·梅斯特，安东尼·塞佩达

特别感谢: JP Alfaro, Stefano Castelli, Gavin Connolly, Kishore Kunisetty, Dan Lazar, John Moody, Mads Petersen, Michael Shuster

はじめに

このガイドでは,GCP上でCitrix仮想化システムを設計する手順について説明します。移動が進むにつれ,必要な意思決定の意味について議論し,その途中でより多くの参照リソースをキュレーションします。このガイドは生きている文書です。それをブックマークし,定期的にチェックして,時間の経過とともに物事がどのように変化するかを確認してください。

まず,谷歌クラウド上のCitrix仮想化テクノロジの共通デザインパターンを見直すことから始めます。これらの”デザインパターン”を”リファレンスアーキテクチャ”と考える人もいますが,インフラストラクチャをコードおよびクラウドサービスとして扱う場合,“デザインパターン”はもっと理にかなっています。

次は,ソリューションのコンポーネントと要件について説明します。私たちは,ソリューションの前提条件をレイアウトし,あなたにCitrix云”リソースの場所“を作成するために必要なサービス/コンポーネントの概要を提供します。

その后，谷歌云上の思杰仮想化システムのサービス/コンポーネントについて理解を深め，再検讨し，デザインパターンを深く掘り下げます。最后に虚拟投递代理(VDA)の設計と管理、谷歌クラウド上のCitrix ADC /网关、谷歌クラウド上のCitrixStoreFrontなど,特定のトピック領域について詳しく説明します。

あなたが私たちと一緒にこの旅に参加する場合,私たちは途中であなたのコメント,貢献,質問,提案,フィードバックを共有することをお勧めします。谷歌中小企业のCitrixワーキンググループにメールしてください。

谷歌クラウドでのCitrix仮想化のデザインパターン

私たちは”クラウド”への移行において,お客様によって異なる段階にあることを認識しています。そのため”みんな入っている”から”そこに着くけどしばらくかかる”までのスペクトルを表す3つのデザインパターンを概説します。観察された技術者は,3つすべての共通の要素を参照してください。顧客マネージドサービスとクラウドサービスを組み合わせて,さまざまなビジネスニーズや環境への影響に対応できる方法を理解し始めます。このガイドでこれら後で3つのデザインパターンを再参照するときに,サブシステムのモジュール性を調べます。

クラウドフォワード設計パターン

あらゆる形态と规模の组织が，「クラウド」とサブスクリプションベースのマネージドサービスに移行しています。すべての「クラウド」を利用している（またはクラウドが提供する最高のものを体験することに兴味がある）お客様にとって，クラウドフォワード设计パターンは最适ですクラウドフォワードデザインパターン：

Citrixと谷歌が提供する最先端のクラウドサービスを使用します。
テクノロジ評価,校正,トレーニング,および導入のシンプルさ,柔軟性,スピードを重視するその他のユースケースに加えて,新しい導入に一般的に使用されます。
既存のインフラストラクチャやライセンスは不要で,GCP GitHubプロジェクトのCitrixなどの谷歌デプロイメントマネージャーテンプレートを使用して30分以内に構築できます。
すべての重要なサービスの高可用性を提供
Citrix云“リソースの場所“を作成します。ここで説明した他の2つのパターンの基盤。

開始する必要があるのは,GCPプロジェクトとCitrix云虚拟应用程序和桌面サービス（CVADS）サブスクリプションへのアクセスだけです.Citrix云の评価サブスクリプションは，思杰および思杰认定リセラーを通じて利用できます。谷歌はまた，谷歌クラウドクレジットの300ドルを含む无料トライアルを新規顧客に提供しています。

注:

GCP無料試用版には,谷歌クラウド無料利用枠のドキュメントに记载されている在Windows Serverイメージの使用は含まれません.Windows服务器イメージを使用するには，GCPで有料アカウントにアップグレードする必要があります。谷歌云无料利用枠のドキュメントの有料アカウントセクションへのアップグレードに記載されているように,有料アカウントにアップグレードすると,無料クレジットが適用されます。

クラウドフォワードデザインパターン

このデザインパターンでは,特定の谷歌云リージョンの個別のゾーンにデプロイされたすべての主要リソース(➊)を複数使用して,高可用性を実現します。

Citrix云连接器(❷)はインターネットを介したCitrix云サービスへの送信TLS接続を使用して,Citrix云(❻)との通信を担当します。ドメインに参加しているWindows Server VMインスタンスにインストールされると,云连接器ソフトウェアは自動的に更新され,Citrix云によって保守されます。

アプリとデスクトップは,WindowsまたはLinux VMインスタンス,またはその両方がCitrixの虚拟投递代理(VDA)ソフトウェア(❸)を実行することによって提供されます。Citrix VDAソフトウェアは,Citrixの高度なHDXテクノロジーを使用し,仮想化されたアプリケーションやデスクトップで可能な限り最高のユーザーエクスペリエンスを提供します。VDAはCitrix云连接器に登録され,VDAへのHDXセッション接続の仲介を行います。HDXセッションは,デフォルトで云连接器経由でVPCにプロキシされます。または,必要に応じて”ランデブー”ポリシーを構成してCitrix网关服务を介してプロキシされます。谷歌クラウドGPUでオプションでVMインスタンスをバックアップして,仮想ワークステーションを作成できます。これにより,グラフィックス負荷の高いアプリケーションを高速化することができます。

Citrix VDAは,配信されるアプリケーション(❹)に必要なインフラストラクチャの近くに配置されることが最も一般的です。そのため,通常,アプリケーションインフラストラクチャはCitrix VDAと同じリージョンに展開または移行されます。

エンドユーザーは,Citrix工作区アプリ(❺)(公告を使用して,Citrixの革新的なHDXセッションリモートプロトコルによってアプリケーションおよびデスクトップに接続して対話します。公告は,Chrome操作系统,Windows, OSX, iOS、Android, Linuxなど,ほぼすべてのデバイスまたはオペレーティングシステムで利用できます。

このパターンでは,Citrixの次のクラウドサービス(❻)が使用されます。これらのクラウドサービスは、安全性と可用性が高く設計されています。

思杰虚拟应用和桌面サービス：は,セッション仲介,負荷管理,シングル・インスタンス・イメージ管理,監視,コスト/容量管理の各サービスを提供します。
Citrix工作区サービス:ソリューションのユーザーインターフェイス。このWebサービスは,Citrix工作区アプリの多要素認証,コンテンツ表示,および起動サービスを提供します。このサービスは,エンタープライズファイルストアに加えて,仮想アプリケーション,デスクトップ,网络,SaaSアプリケーションへのアクセスを統合します。
Citrix网关服务:は,エンタープライズWebアプリケーションに加えて,パブリックネットワーク上のデバイスへの仮想アプリケーションやデスクトップへのセキュアなアクセスを提供します。
思杰分析サービス：は,高度な機械学習テクノロジーを使用して,エンタープライズレベルのセキュリティ,パフォーマンス,ユーザー行動分析とレポートを提供します。

このデザインパターンは,谷歌云VPN /互连,またはCitrix SD-WAN(❼)などの目的に構築されたソリューションと組み合わせて,既存のActive Directory投資(❽)を谷歌云に拡張したり,従来型のオンプレミス,顧客管理アプリケーションやインフラストラクチャへのアクセスを提供したりすることもできます。

ハイブリッドデザインパターン

ハイブリッドデザインパターンは，クラウドフォワードデザインパターンに基づいて构筑されます.Citrix（➊）から顾客管理型のアクセスレイヤーコンポーネントを导入し，特定の顾客人口统计とユースケースのニーズを柔软に満たします。カスタマー管理コンポーネントには，次のものがあります。

Citrix ADC /网关(❷):GCPに仮想アプライアンスとしてデプロイされ,このコンポーネントは次のうちの1つ以上を必要とするユースケースによく使用されます。
- SAML / OAUTH 2 / OpenIDフェデレーション,半径,スマートカード,条件付きアクセス要件など,高度な認証シナリオ。
- パブリックネットワーク上のエンドユーザーデバイスに対して,高度に最適化された柔軟なセッションアクセス。
- コンテンツスイッチング,Webアプリケーションファイアウォール,統合网络キャッシング,攻撃の軽減,アプリケーション負荷分散,SSLオフロードなどの高度なネットワークサービス
- 高度で柔软性が高く，コンテキストに応じたポリシーに基づいて，特定のユーザー/デバイスを特定の「ストア」に诱导できます。ポリシーの决定は，ユーザープロファイルの属性，场所，デバイスタイプ，デバイスの健全性，认证结果などに基づいて决定できます。
思杰店面（❸）：思杰工作区サービスの前身である店面は，思杰のUIサービスの「クラシック」プロバイダです.StoreFrontは，顾客管理型の的Windows Serverインスタンスにインストールされ，多くの场合，以下の1つ以上を必要とするユースケースで使用されます。
- 非常に高い可用性。特に，高可用性构成に导入した场合に，より広范な障害シナリオに耐えることができます。
- 柔软なセッションルーティング.Citrix网关経由で外部ユーザーを送信しながら，内部ユーザーセッショントラフィックを直接VDAにルーティングする机能を备えています。
- カスタマー管理型のオンプレミスデバイスからのシングルサインオン。
- 同じシステム上で多様なユースケースをサポートするために,異なる構成プロパティを持つ複数の”ストア”を提供する必要があります。
- 高度にカスタマイズされた,またはブランド化されたHTMLベースのユーザーインターフェイスの必要性。

ハイブリッドデザインパターン

ハイブリッドデザインパターンでは,Citrixアクセスレイヤーコンポーネントがお客様の谷歌云環境(➊)に展開されます。コンポーネントは,通常,高可用性を実現するために,複数のゾーンに分散されたペアで展開されます。

このパターンでは,CitrixのADC /网关VPX(仮想)アプライアンスを使用して,お客様の環境(❷)内のVDAにHDXセッションを安全にプロキシします。Citrix ADC /网关アプライアンスは、シンプルなセッションプロキシサービス、複雑な認証シナリオ、またはその両方（UIオプションA）にCitrix Workspaceサービスとともに使用できます。また、Citrix StoreFront（UIオプションB）とペアリングすることもできます。

このパターンでは，UIサービスに的Citrix店面（❸）を使用することもできます。これにより，システムは上记のように复雑なユースケースの要件を満たすことができます。これは，UIおよびHDXセッションプロキシサービスに加えて认证を处理する思杰ADC /网关とペアリングします。

クラウド移行の設計パターン

クラウド移行設計パターンは,ハイブリッド設計パターンに基づいてさらに構築されます。これにより,Citrixテクノロジーに既存の投資を行っているお客様は,インフラストラクチャを体系的にモダナイズしながら,ワークロードをクラウドにシームレスに移行できます。この移行は,既存のシステムや重要なシステムやユースケースを中断しないペースで実行できます。これにより,技術的に保守的なお客様は,ワークロードごとにクラウドに”ウェイド”し,お客様の条件に沿ってリスクを軽減できます。また,お客様は,Citrixと谷歌が提供する最新のテクノロジーについて体系的にスタッフを再キルし,管理しやすいペースで組織のクラウド対応状態を構築しながら,テクノロジー,インフラストラクチャ,知識,プロセス,運用化への既存の投資を活用できます。手順。

クラウド移行の設計パターンは,前のセクションで説明したハイブリッドパターンから始まります。ハイブリッドパターンを使用して構築されたシステムは,新しいワークロードを導入する最新の新しい環境になります。クラウド移行パターンでは,Citrix店面(➊)またはCitrix工作区(❷)ユーザーインターフェイス,またはその両方を使用して,従来のCitrix環境(❸)を新しい環境に接続します。これは,両方のUIが単一のログインで複数の仲介環境を単一のビューに表示できるからです。これにより,ユーザーは両方の環境にアクセスするために使用できる単一のUI(❹)が提供されます。これにより,お客様は新しいワークロードを谷歌云(❺)にデプロイし,ビジネスの機会や制約に応じて既存のワークロードを谷歌云に体系的に移行できます。

クラウド移行のデザインパターン

デザインパターンを確認したので,レイヤーを少し剥がしましょう。それでは,谷歌クラウドでCitrix仮想化システムを構築するために必要なものを見てみましょう。

ソリューションのコンポーネントと要件

仮想化システムの前提条件

谷歌云上でCitrix仮想化システムを構築するには,少なくとも2つの作業を開始する必要があります。

谷歌クラウドプロジェクト
Citrix虚拟应用程序和桌面サービスのサブスクリプション

注：

GCP無料試用版には,谷歌クラウド無料利用枠のドキュメントに記載されているWindows Serverイメージの使用は含まれません。Windows Serverイメージを使用するには,GCPで有料アカウントにアップグレードする必要があります。無料クレジットは,谷歌クラウド無料利用枠のドキュメントの有料アカウントセクションへのアップグレードに記載されているように,有料アカウントにアップグレードする場合にも適用されます。

前提条件が并んだ？よかった！それでは，あなたが构筑しているものを绍介しましょう。

ヒント:

Citrix虚拟应用程序和桌面服务のドキュメントは,このサービスがソリューションの中核となるため,関連性があります。ビルドを始める前に必ず読んで,さらに情報が必要なときに便利にしておいてください。それはCitrixドキュメントサイトで見つけることができます。

Citrix云リソースの場所

谷歌云上のCitrix仮想化システムの基盤は,“リソースの場所“と呼ばれるCitrix云構造です。Citrix说におけるリソースの場所は,GCP上のリージョンとほぼ同じです。これは、Active Directory を備えたプライベートネットワーク、インターネット出力（CitrixおよびGoogleのセキュアなクラウドサービスを利用）、および仮想化し、世界中のあらゆるデバイスに安全に提供したいアプリケーションやデータを適切に結合したリソースグループです。仮想化されたアプリとデスクトップは、「VDA」と呼ばれるGCP上のVMインスタンスから配信されます。CitrixのVDAソフトウェアを実行するWindowsまたはLinux VMインスタンスで、CitrixのHDX表示プロトコルを使用してデスクトップまたはアプリケーションのユーザーインターフェイスをクライアントデバイスにリモートできます。VDAはクラウドコネクタに登録され、Citrix Cloud Servicesとの通信を安全にプロキシします。

ヒント:

認識すべき仮想化アプリケーションを提供するための経験則の1つです。アプリケーション(Citrix VDA上で実行されている)をデータ(アプリに必要なインフラストラクチャ)の近くに配置する場合。アプリケーションとデータを互いにローカルに持たないと,レイテンシーが増加し,アプリケーションの速度が低下し,最終的にはユーザーエクスペリエンスが低下する可能性があります。

通常，リソースの场所は可用性を高めるように构筑されます。つまり，主要なサービスはGCPリージョンのゾーンに分散されます。必要に応じて，可用性と管理性の目的で，キーサービス用に复数のVMインスタンスがデプロイされます。リソースの场所に必要な主なサービスは次のとおりです。

*微软活动目录
* Citrix云连接器
*クラウドNATなど,信頼性の高いインターネット出力のための方法
*的Citrix VDA（配信されるアプリケーションの下に的CitrixのVDAソフトウェアがインストールされたGCP VMインスタンス）
必要に応じて,配信されるアプリケーションをサポートするためのその他のインフラストラクチャ

谷歌云上に機能するCitrix云リソースの場所を必要とするため,これらのサービス*の一部をさらに詳しく見ていきましょう。

微软活动目录

谷歌クラウド上のCitrix仮想化システムの設計パターンはすべて,Microsoft Active Directoryが必要です。魅力的なユーザーエクスペリエンスを実現するには,Active Directoryサービスは,VDAを展開したすべてのGCPリージョンで利用可能である必要があります。したがってCitrix云リソースの場所のコアコンポーネントと見なされます。广告は認証に加えて構成管理(グループポリシー)にも使用されます。ただし,後で学習するように,广告をシステムのIDプロバイダーにする必要はありません。多くのお客様は,既存の广告を谷歌云に拡張しますが,Citrixの仮想化はさまざまな广告設計とサービスモデルに柔軟に統合できます。

谷歌クラウドにActive Directoryを展開する場合,お客様は,Windows Serverインスタンスを使用して,独自のActive Directoryドメインコントローラを構築/保守したり,谷歌の微软的Active Directory用マネージドサービスを使用したり，これらを组み合わせたりすることができます。主动指南信頼を使用して，お客様のニーズに応じて，2つ以上のADフォレスト/ドメインを接続することもできます。

機能するActive Directoryサービスの構築と維持に必要な管理オーバーヘッドを最小化したいお客様にとって,谷歌微软的Active Directory用マネージドサービス(微软广告の管理対象)は考慮に値するオプションです。このサービスは,Windows Server VMインスタンスを構築および保守するオーバーヘッドなしで,完全に機能するActive Directoryフォレスト/ドメインを提供します。マネージド微软广告サービスは,可用性の高い谷歌管理インフラストラクチャ上に構築され,マネージドサービスとして提供されます。各ディレクトリは複数のGCPゾーンにデプロイされ,監視によって障害が発生したドメインコントローラーが自動的に検出され,置き換えられます。ソフトウェアをインストールする必要はないので,谷歌はすべてのパッチ適用とソフトウェアの更新を処理します。微软活动目录用 Google の管理サービスを使用すると、Microsoft のネイティブ管理ツールを使用したり、Microsoft グループポリシーを使用して Windows マシンとユーザーを管理したりできます。VM インスタンスを VM インスタンスに参加させることもできます。また、Active Directory の信頼を既存の AD インスタンスに設定して、さまざまな複雑なエンタープライズシナリオをサポートすることもできます。

思杰仮想化テクノロジで谷歌のマネージドADサービスを使用するお客様は，これらのテクノロジが机能することを期待できます。ただし，その前に考虑すべき重要な点をいくつか挙げてください。まず，ドメイン管理者，エンタープライズ管理者，またはその他の「スーパーユーザー」タイプのADインスタンスへのアクセス権はありません。ただし，ユーザー，コンピューター，グループ，OU，およびグループポリシーを作成できる，ディレクトリのルートにある独自のコンテナを完全に制御できます。また，他のディレクトリとのさまざまな种类の信頼关系を设定して使用することもできます。

あなたができない他のいくつかのこと:

广告オブジェクトは,既定のコンテナ(/电脑など)のいずれかに作成します。読み取り専用です。これにより,Citrixのマシン作成サービス(MCS)プロビジョニングテクノロジを使用するときに一部の顧客が犯す一般的な間違いがあります。MCS管理VDAのマシンアカウントを,書き込み可能なコンテナ/ OUに作成する必要があります。このような場所を選択しない場合,MCSはマシンアカウントを作成できません。
証明書サービスなど,一部の广告統合機能をインストールして構成します。このため,Citrixのフェデレーション認証サービス(FAS)テクノロジを使用する予定のお客様は,广告統合証明書サービスを必要とするお客様に影響します。このようなお客様は,Windows Server VMインスタンスを使用して谷歌クラウド上に独自のActive Directoryを構築および管理する必要があります。
デフォルトでは,ローカルサーバアドミニストレータに相当します。“ボックス外の“Active Directoryインストールでは,ドメイン管理者グループは既定でローカルサーバー管理者グループに追加されます。微软广告用谷歌マネージドサービスを使用している場合は,独自のサーバー管理者グループを作成し,独自のユーザーを追加し,グループポリシーを作成して適用して,メンバーサーバー/ワークステーションの組み込みの服务器管理员グループにグループを追加する必要があります。

信頼关系，サイト/サービスの构成，レプリケーション，およびその他のAD关连のトピックについてはここでは说明しませんが，思杰では，3つの展开モデルすべてに适用可能なこれらのトピックに关する広范なドキュメントを提供しています。

注：

谷歌クラウドでのcitrix〖active directory〗要件の详细については，「Citrix云连接器の技術詳細“を参照してください。サポートされているActive Directoryの機能レベルのほかに,この記事でActive Directory中でのクラウドコネクタの展开シナリオも取り上げる。

重要：

DNS名前解决は，适切に机能するシステムにとって重要です.GCPのDHCPは，常に谷歌のネームサーバーを使用します.VMインスタンスがGCPで的Active Directoryインスタンスを「検索」して参加するには，マネージド微软ADサービスを使用する场合は必要ありませんが，プライベートマネージドDNSゾーンを実装する必要があります。详细については谷歌クラウドDNSの概要を参照してください。

DNSの名称解决は，HDXセッションプロキシ用のCITRIXのの机能（美国东部时间/ Citrixアダプティブトランスポートの使用を含む)を実装する際にも重要です。詳細については,ランデブープロトコルドキュメントを参照してください。

Citrix云连接器

Citrix云连接器はCitrix仮想化システムのセキュアなクラウド管理プロキシとして機能します。クラウドコネクタは,リージョン内の個別のゾーンにある,ドメインに参加しているWindows Server専用のインスタンスです。また,インターネットアクセスが中断された場合のオフラインセッションブローカーとしても機能します(“ローカルホストキャッシュモード”)。可用性が極めて高いミッションクリティカルな展開に役立ちます。この機能については,この文書の後半でハイブリッドデザインパターンについて詳しく説明します。

云连接器は,通常,特定のリージョンの複数のゾーンに分散したVMインスタンスを使用して,N + 1リソースとしてデプロイされます。これにより,リソースの場所を拡張でき,云连接器ソフトウェアの自動更新が容易になります。

注：

Citrix云连接器のインスタンスのサイズ設定の詳細については,”クラウドコネクタのスケールとサイズに関する考慮事項“を参照してください。

クラウドコネクタは,Active DirectoryおよびCitrix VDAに到達できる任意のVPC上に配置できます。また,正常に機能するためには,信頼できるインターネット出力が必要です。インターネット出力を提供するシンプルで可用性の高い方法の1つが谷歌云NATですが,他にも多くの方法もサポートされています。厳密な出力制御または監査要件を使用するユースケースでは,云连接器からCitrix云への出力トラフィックがプロキシーできる。

注：

思杰仮想化テクノロジで使用されるポートとプロトコルの详细については，「Citrixテクノロジで使使使で通信ポート“を参照してください。このドキュメントは,谷歌云上で確立するファイアウォールルールの基盤を提供します。

思杰VDA

思杰仮想化システムを机能させる必要がある最后のリソースタイプは，VDAと呼ばれ，実际のワークロードです。前述したように，これらは思杰の「虚拟投递代理」ソフトウェアを実行する视窗または的Linux VMインスタンスです。これにより，的CitrixのHDX表示プロトコルを使用してデスクトップまたはアプリケーションのユーザーインターフェイスをクライアントデバイスにリモートできます.VDAは，任意のプロビジョニングメカニズムを使用して，システムの外部で作成および管理できます。たとえば，谷歌デプロイメントマネージャーのテンプレートを使用できますが，どのような种类のスケールでも，思杰のMCSテクノロジを使用できます。

MCSは1つまたは複数の”ゴールデンマスター”VMインスタンスから構築された,同一の構成のVDAのグループである”マシンカタログ”の作成を自動化します。MCSは,通常ディスクのスナップショットを使用して,インストールされているオペレーティングシステムとアプリケーションスタックの状態をキャプチャします。また”ゴールデンマスター“仮想マシンインスタンスのインスタンス属性を使用してインスタンステンプレートを作成し,これらの属性をMCS管理下のVDAに適用します。また,MCSは“ゴールデンマスター”ディスクの同様のスナップショットを使用してVDA上のシステムディスクの更新を自動化し,自動スケール機能のコストと容量を自動的に管理するための取り組みをオーケストレーションします。

VDAについて知っておくべきことはたくさんありますが,このガイドでは後で詳しく説明します。待てない吗?VDAの設計と管理に関する考慮事項を参照してください。

注：

谷歌云上で确立确立したルールルールを确认するはは，「Citrixテクノロジで使使使で通信ポート“を参照してください。

追加注意:

VDAはインターネット出力を持つ必要がありません。また,特定のユースケースでは設計上ではありません。ただし,VDAにインターネット出力がある場合,“ランデブープロトコル“机械Citrixポリシーで有効化で,クライアントデバイス(Citrix工作区アプリを実行する)とVDAをCitrix网关服务を介して安全に接続できます。これにより,HDX接続をVDAにプロキシするクラウドコネクタのスケーラビリティが向上します。パブリックネットワーク経由でHDX接続をプロキシするもう1つのオプションvpcの境界に顧客管理のCitrix ADC /网关インスタンスをデプロイします。