リファレンスアーキテクチャ:Citrix SD-WAN HDXによるCitrix虚拟pps and Desktopsのオンプレミス環境でのパフォーマンスの向上

概要

このリファレンスアーキテクチャでは、ネットワーク問題時のレイテンシーを最小限に抑え、セッション応答性を向上させることにより、オンプレミスサーバーからCitrix SD-WAN アプライアンスのある場所のユーザーにCitrix Virtual Apps and Desktopsの配信を最適化する方法について説明します。

Citrix Virtual Apps and Desktops は、Citrix Gateway経由でリモートユーザーエンドポイントに仮想アプリとデスクトップセッションを配信できます。ユーザーが Workspace アプリで仮想アプリまたはデスクトップを選択すると、エンドポイントは FQDN を解決するように指示されます。パブリック IP アドレスが返されると、インターネットまたは VPN 経由でゲートウェイに接続します。

ただし,仮想ワークロードがホストされているデータセンターに高速接続しているブランチから接続するユーザーは、通常、エンタープライズイントラネット上で直接待機時間を短縮し、より優れたパスを得ることができます。同時に, 最高のユーザーエクスペリエンスを提供するために、Citrix Virtual Apps and Desktopsセッションは、サービス品質を適用する必要があります. ユーザーが実行しているタスクに応じて、高品位ユーザーエクスペリエンス（HDX）セッションは、サービスクラスごとに別々のストリームを使用して配信できます。

Citrix SD-WAN は、エンタープライズWANを管理するためのソフトウェア定義のアプローチで、エンタープライズブランチオフィスと、オンプレミスまたはクラウドでホストされるワークロード間のネットワーク接続を最適化します。Citrix SD-WAN は、アプライアンス仮想パス間のサービスクラスに従ってストリーム内のHDXセッションを自動的に配信し、サービス品質（QOS）の要件に従って配信できます。

ただし、この機能を提供するには、Edge SD-WAN アプライアンスは HDX ストリームを暗号化せずに検査できる必要があります。Workspaceクライアントは、認証やリソース列挙などのセッション管理のために、HTTPSで暗号化されたCitrix Gatewayに接続します。ただし、アプリ配信の場合、クライアントはSD-WANオーバーレイネットワーク経由でStoreFront と割り当てられたVirtual Delivery Agent（VDA）に直接接続する必要があります。

CitrixBeacons Pointsでは、エンドポイントには、到達可能性をテストするためのリンクを含むプロビジョニングファイルが提供されます。「内部」リンクが到達可能になると、StoreFront に直接接続します。クライアントにはターゲットVDAの内部アドレスを提供し、その後、SD-WANオーバーレイネットワーク経由でHDXセッションを指示します。

推奨

ビーコンポイントを使用してCitrix Virtual Apps and Desktops環境を設計し、内部ネットワーク上のブランチエンドポイントをStoreFront に直接接続して、アプリ配信用にVDAの内部アドレスに割り当てます。Citrix SD-WAN と統合すると、内部ネットワーク経由で送信されるHDXセッションがサービスクラスごとに自動的に複数のICAストリームに分離され、適切なQOSタグが与えられ、それに応じて優先順位が付けられます。この文書では、この推奨事項のコンセプトアーキテクチャと詳細設計について説明します。

概念アーキテクチャ

コンポーネント

Citrix Virtual Apps and Desktopsはモジュラーアーキテクチャに基づいて構築されており、いつでも、どこからでも、どのデバイスでもアクセスを拡張およびサポートできます。アーキテクチャを概念的に理解するために、5つの異なるレイヤーとその関連コンポーネントを検討します。

ユーザレイヤコンポーネント

ユーザーレイヤーは、サポートされているデバイスが Workspace アプリをホストし、ユーザーがワークスペースリソースを取得するために認証される場所です。

• Citrix Workspaceアプリ— デバイスからワークスペースリソースへのユーザーのポータルです。認証プロンプトをユーザーに提示し、利用可能なリソースを表示します。
• Citrix SD-WAN(支店)— ここでは、SD-WANにはいくつかの利点があります。
  • マルチストリームQoS優先順位付け-ブランチアプライアンスは、エンドポイントからHDXセッションを識別し、サービスクラスごとに自動的に識別してストリームに分割します。次に、使用可能な仮想パス間でプライオリティ別にトラフィックをキューイングし、ルーティングします。仮想パスは、ブランチからデータセンターへの暗号化されます。
  • 遅延の軽減 — Citrix SD-WAN アプライアンスは、利用可能なすべてのパス間で仮想パスを自動的に構築します。また、パスのパフォーマンスをリアルタイムで監視し、最小限のレイテンシーでパスを経由するトラフィックをルーティングします。
  • 耐障害性 — Citrix SD-WAN は、MPLS回線、またはケーブルやDSLなどのさまざまなメディアを介してインターネットと統合されます。リンクに障害が発生した場合、リアルタイムのトラフィック監視機能を持つCitrix SD-WAN は、ユーザーへの影響を最小限に抑え、多くの場合、セッション層のタイムアウトなしでトラフィックを再ルーティングできます。
  • 帯域幅の最大化：従来のルータは、通常、単一の「最良」パスでのルーティングに制限されています。Citrix SD-WAN は、利用可能なすべてのリンクを同時に活用できます。リアルタイムパフォーマンスメトリックに基づいて品質が維持されていれば、トラフィックがルーティングされます。
  • ユーザーエクスペリエンスの品質（QOE）—Citrix Orchestratorで利用できるQOEは、HDXの品質を監視し、セッション、ユーザー、またはサイトごとにエクスペリエンスを定量化します。これは、スコアやレポートなどの範囲に割り当てます, 良い (71-100), フェア (51-70), 悪い (0-50), 管理者がフォーカスを優先順位付けすることを可能にします.

レイヤコンポーネントにアクセスする

アクセスレイヤーは、ネットワーク配信コンポーネントがホストされ、ユーザーセッション要求を制御コンポーネントとリソースコンポーネントに調整および指示する場所です。

• Citrix Gateway— Citrix ADCアプライアンスでホストされるCitrix Gatewayは、Citrix Virtual Apps and Desktops 環境への安全なHTTPアクセスをプロキシします。不要なインターネットプローブに対してフィルタリングし、SSL トラフィックをオフロードし、Workspace セットアップ中に多要素認証を提供できます。リモートユーザーの場合、セッション配信をプロキシし、セッション特性を形成するためのポリシーも提供します。
• Citrix SD-WAN（データセンター）：通常、SD-WANマスターコントロールノード（MCN）はプライマリデータセンターに展開されます。オーバーレイネットワークの調整に使用され、ブランチアプライアンスへの安全なトンネルを確立します。 VDAは、データセンター内のデリバリーコンポーネントと併結することも、トンネルまたは専用回線経由でデータセンターからアクセスすることもできます。SD-WANを使用してAzureがホストするVDAへのアクセスを提供する方法の詳細については、「概念実証ガイド：Citrix SD-WANクラウドからデータセンターへの接続」を参照してください。

• StoreFront— オンプレミスの仮想アプリとデスクトップ配信を調整する独自の役割を提供します。アクセス層、制御層、リソース層と通信するハブとして機能し、セッションを提示および配信します。Citrix Gatewayによって認証されたリモートユーザーは、セッション配信のためにパススルーされます。ブランチユーザーは、最初にCitrix Gatewayに対して認証を行い、リソースとビーコンポイントの詳細を含むプロビジョニングファイルを取得します。リソースを起動すると、内部アクセス用に構成されたStoreFront ストアに転送されます。

  ブランチユーザーがリソースを選択し、内部ビーコンポイントに到達すると、Workspaceクライアントは認証のためにStoreFront に転送されます。通常、StoreFront はドメインに参加しているエンドポイントをシームレスに認証するように構成されているため、ユーザーエクスペリエンスに影響はありません。または、ドメインに参加していないエンドポイントの場合、企業は単一要素認証を構成できます。その後、エンドポイントには、SD-WANオーバーレイネットワークを介してアクセスされるターゲットVDAの内部IPアドレスとともにICAファイルが提供されます。

レイヤコンポーネントを制御する

Control Layer には、仮想アプリとデスクトップの配信を調整するための重要な管理コンポーネントが含まれています。モジュラー設計により、この必須レイヤは、ユーザおよびアクセスレイヤの配信変更の影響を受けません。

• Delivery Controller— アプリとデスクトップを仮想セッションにするためのインテリジェンスです。
• データベース、Studio、ライセンスサーバー-すべてが連携して動作し、Citrix Virtual Apps and Desktopsの配信を監視および管理します。

リソースレイヤーコンポーネント

Citrix Virtual Apps and Desktopsリソースは、オペレーティングシステムや容量などの要件に応じて、さまざまな形状とサイズで提供されます。

• Virtual Delivery Agent（VDA）：すべてのリソースタイプは、VDAに依存してコンテンツをセッションとして配信します。モジュラーアーキテクチャのおかげで、VDAはコントロールコンポーネントとコロケーションすることも、パブリッククラウドやプライベートクラウドなどの他の場所でホストすることもできます。
• オプション-Citrix SD-WAN（リソースの場所）：SD-WANは、VDAに近いリソースの場所に実装すると、最大限のメリットを提供します。さまざまなホストでサポートされています。

ホストレイヤーコンポーネント

アクセス、制御、およびリソースコンポーネントは、オンプレミス、クラウド、またはハイブリッドクラウドでホストできます。ホストの種類によって、使用可能なCitrix SD-WAN アプライアンスプラットフォームが決まります。 これらのコンポーネントについて詳しくは、「Citrix Virtual Apps and Desktops のアーキテクチャ」を参照してください。

ユースケースフロー

ここでは、2 つのユースケースのセッション管理と配信フローについて説明します。

1. リモートユーザー (外部) — 私たちは、すべてのリモートユーザーがどのように検討する「ベースライン」ユースケース, 企業イントラネットへのアクセス権がありません, アクセスし、, Citrix Virtual Apps and Desktops環境を使用することができます.
2. ブランチユーザー(内部)——企業イントラネットにアクセスできるブランチユーザーが,Citrix Virtual Apps and Desktops環境にアクセスする方法を検討するユースケース。ブランチユーザーは、Citrix SD-WAN アプライアンスを使用して在宅作業者にすることができます。

ユーザー認証とリソース列挙

内部ネットワーク上のブランチユーザー、および外部認証を行うリモートユーザーは、Citrix Gateway経由でリソースを取得します。ゲートウェイは通常、すべてのユーザーに対して共通の FQDN に解決されます。企業では、インターネット経由で到達可能なパブリック IP アドレスに解決されるデータセンターDMZでゲートウェイをホストすることがよくあります。企業は、内部クライアントの内部プライベート IP アドレスに解決されるデータセンターネットワーク内でゲートウェイをホストできます。

Citrix Delivery Controllerで、ユーザーは同じ「外部デリバリーグループ」に割り当てることができます。これは、内部ネットワークにアクセスできるかどうかに関係なく、データセンターの外側であることを示します。ユーザーがブランチの外で作業する場合、Workspace アプリに同じリソースが表示されます。そうしないと、ユーザーは、プライマリ作業場所に応じて「ブランチデリバリーグループ」または「リモートデリバリーグループ」に割り当てることができます。

リモートユーザー (外部)

リモートユーザー（内部ネットワーク上ではない）は、リモートロケーションからCitrix Gatewayにルーティングし、認証とリソースの取得を行います。

ブランチユーザー（内部）

ブランチユーザーは、直接インターネットブレークアウトを介してローカルのCitrix SD-WAN アプライアンスを経由してCitrix Gatewayにルーティングし、Citrix Gatewayを認証してリソースを取得します。

セッションの起動

セッション起動中は、ビーコンポイントの設定に基づいて、リモートユーザーとブランチユーザーのフローが異なる場所です。

リモートユーザー (外部)

リモートユーザーは、Citrix Gateway経由で仮想アプリおよびデスクトップリソースセッションを起動します。

ブランチユーザー（内部）

内部ビーコンポイントに正常に到達できるブランチユーザーは、Storefrontに転送されます。SD-WAN オーバーレイネットワーク経由で到達可能な IP アドレスに解決されます。Fonenlty、ユーザーのワークスペースアプリには、セッションを確立するために、VDAのIPアドレスが付与されます。また、SD-WANオーバーレイネットワーク経由で到達可能です。

詳細なデザイン

このセクションでは、SD-WAN オーバーレイネットワーク、サービス品質、ビーコンポイントの詳細な設計要素について説明します。

SD-WAN オーバーレイネットワーク

SD-WANオーバーレイネットワークは、各アプライアンス間の利用可能なパス上に構築されます。UDP ポート 4980 でセキュアトンネルが確立され、LAN ルートが交換されます。 ルートは、アンダーレイネットワークから、ルーティングプロトコルを介して直接接続または学習できます。SD-WANルートはサービスタイプに対応し、「仮想パス」サービスルートに加えて、通常、ビジネスアプリケーションルールによって識別されたトラフィックをISPが学習したインターネットデフォルトルートに転送する「インターネットブレイクアウト」サービスルートが含まれます。

次の例では、ブランチエンドポイントは、インターネットブレイクアウトサービスを介してゲートウェイに直接接続し、SD-WAN アプライアンスによって ISP のデフォルトルートに転送されます。ブランチエンドポイントは、リアルタイムパフォーマンス監視に従って利用される、インターネットおよび MPLS ネットワーク経由でルーティングされる仮想パスを経由して仮想化インフラストラクチャに接続します。

サービス品質

Citrix SD-WANをCitrix Virtual Apps and Desktops環境で使用することの主な差別化要因は、HDXセッションにサービス品質を自動的に適用できることです。SD-WAN アプライアンスは、サービスクラスごとにそれらを識別、タグ付け、優先順位付け、ストリーミングします。

デフォルトでは、マルチストリームICA仮想チャネルタイプは、以下の4つのクラスに割り当てられます。Citrix Virtual Apps and Desktopsの最新バージョンでは、デフォルトでEnlightened Data Transport（EDT）プロトコルを使用してセッションが確立されます。EDTはUDPベースのセッション転送プロトコルで、利用可能な帯域幅に応じて伝送を効率的に適応させます。TCP にフォールバックし、必要に応じて自動的に組み込みのフロー制御を使用します。

デフォルトでは、HDXセッションは、確立されたセッションプロトコルに応じて、UDP（EDT）ポート1494または2598またはTCP 1494または2598でVDAによって送信されます（2598は、セッション画面の保持が構成されている場合に使用されます）。ポートは必要に応じてカスタマイズできます)。SD-WAN アプライアンスは、単一の HDX セッションを選択し、非圧縮の NSAP チャネルを検査して仮想チャネルを識別し、仮想パスを経由する伝送に備えます。ほとんどのWorkspaceアプリプラットフォームでサポートされています。

ストリーム仮想パスパケットには、サービスクラスに応じてタグが割り当てられ、遠端に送信されます。このタグは、送信送信キューの使用の優先順位付けや、品質メトリックについてリアルタイムで監視されるパス選択のために、SD-WAN アプライアンスによって使用されます。MPLS 経由で送信する場合、Differenated Services Code Point（DSCP; 差別化サービスコードポイント）タグを関連するキューにマッピングして、パケット交換ネットワークを通過する際の優先順位付けを可能にします。通常、リアルタイムトラフィックには優先転送（EF）タグが割り当てられ、他のトラフィックには IP ヘッダーのType of Service（TOS）フィールドで保証転送（AF）タグが割り当てられます。

Citrix SD-WAN シングルポートMS自動QOSを使用すると、輻輳時のCitrix Virtual Apps and Desktops HDXセッションのパフォーマンスが大幅に向上します。ラボテストでは、厳しい輻輳下でICAラウンドトリップ時間が 500% 以上向上しました。詳細については、「Citrix SD-WANネットワークパフォーマンスの強化によるHDXユーザーエクスペリエンスの改善の測定」を参照してください。

ビーコンポイント

ビーコンポイントを使用すると、Workspace クライアントは、外部ネットワークの内部にあるかどうかを判別できます。これにより、StoreFront にアクセスし、HDXセッションをVDAから直接ストリーミングすることができます。これにより、SD-WAN は暗号化されていないセッションフローを検査し、QOS を自動的に適用してパフォーマンスを最適化できます。

ビーコンポイントは、StoreFront 管理インターフェイスの［ストア］>［ビーコンの管理］の順に構成します。これらは URL として入力されます。

プロビジョニングファイルは、ビーコンポイントを XML 形式で表します。この例では、StoreFront からゲートウェイ経由でエンドポイントに配信され、ビーコンポイントの指示を利用するためにWorkspaceアプリによって消費されます。

概要

Citrix SD-WAN を使用すると、Citrix Virtual Apps and Desktops HDXセッションのネットワークパフォーマンスが大幅に向上し、ユーザーエクスペリエンスが向上します。 最大限の利点を達成するには、エンタープライズネットワークトポロジに従ってビーコンポイントを構成して、仮想アプリおよびデスクトップに直接接続します。Citrix SD-WAN オーバーレイネットワーク経由で内部ブランチユーザーセッションをルーティングします。これにより、Citrix SD-WAN はレイテンシーを最小限に抑え、マルチストリームHDX Auto QoSなどの機能を適用して、サービスクラスに応じてセッション配信を最適化できます。

付録

障害回復についての注意事項

Citrix SD-WANの最適な使用に関するガイダンスを提供するために、ドキュメントの目標に焦点を当てて, Citrix Gatewayで, Citrix Virtual Apps and Desktops環境では、我々は、関連するハードウェアについて説明します, ソフトウェア, および主要な構成要素.

Citrix SD-WAN

ここでは、SD-WAN アプライアンスおよび関連する導入に関する考慮事項について説明します。

SD-WANアプライアンス

Citrix SD-WANアプライアンスは、プライベートクラウド、パブリッククラウド、オンプレミスのデータセンターでホストされているかどうかにかかわらず、クライアントとVDA間のオーバーレイネットワークを拡張するためのさまざまなフォームファクタで提供されます。

• ハイパーバイザ-Citrix SD-WAN アプライアンスは、Intelプロセッサーを搭載した主要なハイパーバイザープラットフォームでサポートされています。
  • Citrix Hypervisor
  • VMware
  • HyperV
  • KVM
• パブリッククラウド— Citrix SD-WAN アプライアンスは、スケーラビリティ要件を満たすサイジングオプションを備えた主要なクラウドプラットフォームでサポートされています。
  • AWS
  • Azure
  • GCP
• ハードウェア— Citrix SD-WAN アプライアンスには、要件に基づくさまざまなスループットと仮想パス数をサポートするさまざまなハードウェアモデルが用意されています。 詳細については、Citrix SD-WAN データシートを参照してください

設定の概要

Citrix SD-WAN は、さまざまなユースケースでさまざまなトポロジに展開できます。仮想アプリおよびデスクトップセッションのパフォーマンスを提供および強化するには、すべてのブランチクライアントが内部ビーコンポイントに到達できるようにオーバーレイネットワークを設計する必要があります。 ユースケースを含む実装の計画に関する包括的なガイダンス、および推奨事項については、「Citrix SD-WAN リファレンスアーキテクチャ」を参照してください。

Citrix Gateway

ここでは、Citrix Gatewayアプライアンスと関連する構成の詳細について説明します。

ゲートウェイアプライアンス

Citrix Gatewayアプライアンスには、プライベートクラウド、パブリッククラウド、オンプレミスデータセンターのいずれでホストされているかにかかわらず、クライアントとVDA間のオーバーレイネットワークを拡張するためのさまざまなフォームファクタが用意されています。 詳細については、Citrix ADCハードウェアデータシートまたはCitrixADC VPXデータシートを参照してください。

設定の概要

Citrix Gatewayは、10年以上にわたってCitrix Virtual Apps and Desktops で最適に実装されており、十分に文書化されています。 詳しくは、「Citrix GatewayをStoreFrontと統合する」を参照してください

Citrix Virtual Apps and Desktops

ここでは、関連するStoreFront とCitrix Virtual Apps and Desktops 環境構成の詳細について説明します。

StoreFront インスタンス/秒

StoreFront は、Citrix Virtual Apps and Desktops 環境のドキュメント化されたコンポーネントでもあります。通常、ハイパーバイザ、データセンター、内部ネットワーク上でホストされます。ほとんどの環境では、Citrix Gatewayに統合された内部ユーザーと外部ユーザー用にストアが構成されています。そのため、Citrix SD-WAN ネットワークとの統合を検討する構成の変更は限られています。

• ビーコンポイント— [ビーコンポイントの管理] で、内部ビーコンポイントをすべてのブランチから到達可能な URL として指定します。このURLでは、StoreFront サーバーのFQDNまたは同じデータセンターLANでホストされている別の高可用性サービスを使用できます。
• 認証— [認証方法の管理] で、目的の認証方法を指定します。リモートユーザーは、「Citrix Gatewayからのパススルー」に依存しています。ドメイン参加ブランチユーザーは「ドメインパススルー」に依存するか、ドメインに参加していないユーザーは、Username and Passwordなどの別の方法を使用して再度認証できます。 詳細については、「StoreFrontの展開を計画する」を参照してください。Citrix GatewayおよびCitrix ADCとの統合。

設定の概要

Citrix Virtual Apps and Desktopsの機能は、数十年にわたって拡張され、十分に文書化されています。

Citrix設計決定ガイドは、ソリューションの構成、最適化、および展開に関して最適な決定を下すのに役立ちます。詳しくは、「Citrix Virtual Apps and Desktops の設計上の決定」を参照してください。

Citrixリファレンスアーキテクチャは、導入を計画する際に役立つ包括的なガイドで、ユースケースや推奨事項などを網羅しています。「Citrix Virtual Apps and Desktops のリファレンスアーキテクチャ」を参照してください。

ネットワークに関する考慮事項

ここでは、Citrix SD-WAN、Citrix Gateway、Citrix Virtual Apps and Desktopsが使用する帯域幅に関する考慮事項と関連するポートについて説明します。

帯域幅

ゲートウェイモードで展開されたCitrix SD-WAN アプライアンスは、すべての利用可能なリンクに対する内部イントラネットおよび外部インターネット帯域幅の割り当てを管理します。新しい展開では、帯域幅の割り当てを計画する必要があり、既存の展開ではそれに応じて帯域幅を再割り当てする必要があります。

Citrix SD-WAN 帯域幅は、リンクタイプグループに従って配信サービスによって割り当てられます。詳細については、「配送サービス」を参照してください。

Citrix仮想アプリとデスクトップセッションの帯域幅の使用状況は、使用シナリオによって大きく異なります。詳しくは、「Citrix Virtual Apps and Desktops の帯域幅」を参照してください。

ポート

Citrix Virtual Apps and Desktopsは、モジュールコンポーネント間の通信に明確に定義されたポートを使用しますCitrix SD-WAN は、ユーザー層コンポーネントへのアクセスのようにLANを拡張します。(詳細については、次の図を参照してください)。

Citrix SD-WAN は、AES 128/256ビット暗号を使用して、UDPポート4980でセットアップし、アプライアンス間の仮想パス間でトラフィックを安全にトンネリングします。詳細については、「仮想 WAN サービスの構成」を参照してください。

Citrix SD-WAN は、エンタープライズネットワーク内の場所に合わせて、さまざまなトポロジに展開できます。たとえば、ブランチの Gateway モードで使用して、すべての LAN トラフィックをルーティングしたり、データセンターに仮想インラインモードで展開して、エッジルータが目的のトラフィックを転送したりできます。詳細については、「Citrix SD-WAN 展開トポロジ」を参照してください。

Citrix SD-WAN では、すべてのLANトラフィックを許可したり、オンボードファイアウォールを使用してエンタープライズセキュリティポリシーに従ってフィルタリングしたりできます。また、フルスタック検査を行うためにも使用できます。詳細については、「Citrix SD-WAN セキュリティ」を参照してください。