工作环境管理
はじめに
工作区环境管理(电话)はインテリジェントなリソース管理およびプロファイル管理テクノロジを使用して,Citrix虚拟应用程序和桌面(CVAD)展開において,可能な限り最高のパフォーマンス,デスクトップログオン,およびアプリケーション応答時間を提供します。电话には,展開のセキュリティポスチャを強化するいくつかのセキュリティ機能があります。これは,ドライバーを必要としない,ソフトウェアのみのソリューションです。
アーキテクチャ
工作区环境管理はオンプレミスでインストールすることも,Citrix云からサービスとしてアクセスすることもできます。
电话は,セッションを実行しているユーザーとマシンにプロファイル設定をプッシュし,組織の活动目录からデータを取得します。
电话エージェント电话エージェントは,オンプレミスとサービス展開オプションの両方に共通です。これは,电话が管理するWindowsセッションホストまたは物理マシンにインストールされます。电话エージェントは,ホストをリアルタイムで監視し,マシンの状態を報告します。电话インフラストラクチャサービスから,マシンにポリシー設定を適用して構成するための指示を受け取ります。エージェントは,电话サーバー/サービスに到達できない状況に対して復元できるように設定のローカルキャッシュを維持します。
オンプレミスの展開
オンプレミスの电话展開アーキテクチャ:
オンプレミスアーキテクチャの他のコンポーネントは次のとおりです。
我们管理コンソール——电话の管理に使用されるコンソールを,単一セッションまたはマルチセッションのWindows操作系统マシンに展開します。インフラストラクチャサーバーと対話し,管理者はさまざまな機能を制御できます。
电话インフラストラクチャサーバ——マルチセッションWindows操作系统マシンにインストールされ,电话展開のさまざまなコンポーネント間の通信と同期を容易にします。
SQL Serverデータベース——电话では,設定を保存するためにSQL Serverデータベースが必要です。必要に応じて,データベースをSQL Server总是可用性グループでホストできます。
电话サービス
电话サービス展開アーキテクチャは次のとおりです。
Citrix云でホストされた电话サービスを使用すると,制御コンポーネントとデータベースコンポーネントがクラウドでホストされ,Citrixによって管理されます。管理コンソール、インフラストラクチャサービス、およびデータベース (Azure SQL でホストされている) は、サービスの一部です。管理コンソールは、Citrix Cloud WebコンソールからWEMサービスにアクセスするときに、[管理]タブからアクセスできます。
云连接器——Citrix云连接器はリソースの場所にあるエンティティからCitrix云サービスと通信するためのコンジットです。耐障害性のために,各リソースの場所には,少なくとも一対の云连接器をインストールすることをお勧めします。电话サービスは、Cloud Connectorを使用してカスタマー Active Directory にアクセスし、リソースの場所で WEM エージェントを認証します。
电话エージェント——これはCitrix云メッセージングサービスを使用してHTTPS経由で电话サービスと対話します。エージェントは,ネットワークの中断やサービスの停止に復元できるように設定のローカルキャッシュを維持します。この記事の執筆時点では,単一のサービスインスタンスで100000电话エージェントをサポートできます。电话サービスインスタンスごとに,サポートされている电话エージェントの現在の数を取得する場合は,制限ページを確認します。
オンプレミスの电话を电话サービスに移行する
移行には,オンプレミスのSQL Serverのコンテンツをエクスポートし,サービスにアップロードします。既存のオンプレミスの电话データベースを电话サービスに移行するためのツールキットが実行されます。ツールキットには,オンプレミスの电话データベースのコンテンツを含むSQLファイルを生成するウィザードが含まれています。管理者は、SQLファイルを电话サービスのAzureデータベースにアップロードできます。詳しくは,电话サービスに移行するをご覧ください。
电话の特徴
电话のオンプレミスとサービスの両方のアーキテクチャを理解したら,电话が組織に提供する機能を見てみましょう。主な機能セットには,次の3つがあります。
リソース管理
ユーザーに最適なエクスペリエンスを提供するために,电话エージェントは,セッション内のユーザーとアプリケーションの動作をリアルタイムで監視および分析します。その後,ユーザーのワークスペース環境でRAM、CPU、I / Oをインテリジェントに調整します。
RAM最適化
新しいプロセスが起動されると,通常の実行に必要以上のRAMが消費されます。しかし,一般的に,プロセスはそのリソースに割り当てられた後にこれらのリソースを放棄しません。电话は,ユーザーの焦点が置かれているプロセスをリアルタイムで検出します。RAMワーキングセットのうち,フォーカスが合っていないアプリの一部を再利用することができます。これらのアプリにフォーカスが戻った場合でも,通常はそれらから回収されたRAMの量のより小さなサブセットが必要であることが観察されます。これらのアクションは,クラウドのRAM消費を最適化し,単一サーバーのスケーラビリティを向上させます。
次のグラフは,电话の有無にかかわらず,一連のセッションによって消費されるメモリの量を示しています。
RAM最適化に関するテックインサイトビデオをご覧ください。ここ。
CPUの最適化
プロセスがCPUリソースを消費していることが検出された場合,プロセスが実行されているセッションだけでなく,同じマシンで実行されている他のセッションが遅くなり,他のユーザーのログオン時間にも影響する可能性があります。
电话によるCPU最適化では,各VMで実行されているプロセスのリアルタイム監視が含まれます。プロセスがCPUリソースを(定義された時間)占有していることが検出されると,电话は自動的にプロセスの優先度を下げます。このアクションにより,他のプロセスがCPUを使用できるようになり,サーバーの負荷が軽減されます。プロセスがCPU消費量の低い残業に戻ったことがわかった場合,優先度は正常にリセットされます。
CPU最適化に関するテクニカルインサイトのビデオをご覧ください。ここ。
电话によるCPU最適化の効果を検証するために,ノイズの多いネイバーのシナリオでは,ログインVSIベースのスケールテストを実施しました。ノイズの多いネイバーをシミュレートするために,LoginVSIナレッジワーカーのテスト実行の一部ではないユーザをテストセットアップに追加します。このユーザーのセッションは,Azure VMのコア数に基づいて,合計CPUの平均50% ~ 70%で3つのCPUコアを使用するプロセスを起動するように構成されています。
Windows 2004マルチセッション仮想マシンは,CVAD 2006がインストールされ,Citrix优化器が適用され,HDX経由で电话エージェントでテストされました。テスト結果のベースラインとなるため,接続プロトコルと同じテストを微软RDPで実行し,VMは微软からアウトオブザボックス最適化を実行しました。
次の表からわかるように,电话を含めると,CPU消費ノイズの多いネイバーの影響が抑制されます。电话を含めるとVSImax(マシンでサポートできるユーザーなし)が20%から43%に増加します。その結果,ストレスシナリオであっても,単一の仮想マシン上で実行できるユーザーの数が増えます。
ノイズの多いネイバーシナリオでのスケール内訳:
| Azureサイズ | ベースライン | Citrix HDX | %的电话スケーラビリティの向上 |
|---|---|---|---|
| D4V3 | 7.3 | 11.3 | 43.0% |
| D3V2 | 12 | 16 | 28.6% |
| D4V2 | 28 | 34.5 | 20.8% |
电话はCPUスパイクを減らすため,結果からのもう一つの重要な推論は,ユーザーの応答時間がはるかに優れているということです。CitrixVirtual Apps and Desktopsセッションの応答時間は、同じユーザー数のベースラインと比較して(VSImaxに達した瞬間)、ほぼ1000ミリ秒短縮されます。
同様に,セッションで観察されるレイテンシーは,4つの个vCPUを搭載した両方のマシンで25% ~ 50%小さくなります。これらの結果はどちらも,电话が画像の中にあるときに,はるかに滑らかでスナッパーなユーザーエクスペリエンスを指します。
ログオン最適化
可能な限り最高のログオンパフォーマンスを提供するために,电话サービスは,よく使用されるWindowsグループポリシーオブジェクトオブジェクト,ログオンスクリプト,および基本設定を,各仮想マシンまたはサーバーに展開されるエージェントに置き換えます。エージェントはマルチスレッドで,必要なときにのみユーザー環境に変更を適用し,ユーザーは常に可能な限り迅速にデスクトップにアクセスできるようにします。時間のかかるプロセスは,最初のログオンプロセスと同期しなくなります。
ログオン最適化に関するテクニカルインサイトのビデオをご覧ください。ここ。
配置文件管理
Citrixプロファイル管理への管理インターフェイスを提供します。[ポリシーとプロファイル]の[Citrix概要管理の設定]で,現在のバージョンのCitrix概要管理のすべての設定を構成できます。
セキュリティ機能
电话には,セキュリティ体制を強化し,展開の脅威領域を軽減するいくつかの機能が含まれています。
アプリケーションセキュリティ
电话のアプリケーションセキュリティコンポーネントは,微软AppLockerのフロントエンドです。
工作区环境管理を使用してアプリケーションセキュリティポリシー(AppLocker)を設定する場合は,グループポリシーオブジェクトを使用して行うのと同じプロセスに従います。管理者は,実行可能ファイル,Windowsインストーラ,スクリプト,パッケージ,およびDLLルールを作成します。各規則について,発行元,パス,またはファイルハッシュに基づく規則のベースに同じオプションを使用できます。ただし,AppLockerとは異なり,电话では,管理者は複数のルールを選択して割り当てられたユーザーを変更できるため,何百ものアプリケーションセキュリティポリシーを簡単にサポートできます。
电话ポリシーエンジンは,AppLockerによるGPOベースのアプローチと比較して,管理されているすべてのセッションにAppLockerポリシーが一貫して適用されます。
権限昇格
多くの場合,ユーザーはアプリケーションをインストールまたは実行できる管理者権限が必要です。ほとんどの組織では最小権限の原則を採用しているため,通常はエンドユーザーに管理者権限が与えられません。
必要なシナリオでは,管理者はシステムに(物理的に,またはリモートアクセスで)ログインするか,一時的な管理者パスワードを提供する必要があります。この方法は管理者にとって面倒な作業であるか,セキュリティポリシーの回避策の作成で終わります。
この機能により,管理者はユーザーの権限をローカル管理者権限に一時的に昇格できるため,必要なアプリケーションをインストールまたは実行できます。許可リストに含まれているアプリは,この機能を使用してインストールできます。ただし,ブロックリストのアプリをインストールできず,操作がログに記録されます。各ルールは,パス,発行元,または実行可能ファイルのハッシュのいずれかに基づいています。
新しい規則が追加されると,子プロセスに権限昇格を継承させるかどうかという3つのオプションを使用できます。(子プロセスに適用]。
[開始時間]および[終了時間]オプションを使用すると,標高を一定期間に制限できます。
展開オプション
电话を展開する構成には3種類あります。実際の環境に合ったタイプを最適に使ってください。
単一フォレスト内の単一ドメイン
この構成は,単一のフォレスト内に単一のドメインを持つ環境で使用できます。通常,この単一のドメインには,すべてのリソースとユーザーオブジェクトが含まれます。したがって,この構成では,管理者は,すべてのデバイスが电话サービスに接続できるように,云连接器の1セットを展開するだけで済みます。
1つのフォレスト内の複数のドメイン
この構成は,単一のフォレストに複数のドメインが存在する環境で使用できます。フォレスト内のドメインは相互に通信できるため,この構成では,管理者は云连接器のセットを1セットだけ展開して,すべてのデバイスを电话サービスに接続できるようにします。
別のフォレスト内のユーザーとリソース(信頼あり)
この構成では,ユーザーとリソースは,管理目的で異なるドメインフォレストに存在します。2つのフォレストの間には,ユーザーが別のフォレストのリソースにログオンできる信頼が存在します。この展開では,管理者は,电话の展開を完了するために云连接器を各ドメインフォレストに展開する必要があります。
構成に関する考慮事項
电话サービスは,大規模なエンタープライズ展開用に設計されています。サーバー側では,电话サービスはフロントエンドコンポーネントとバックエンドコンポーネント間の通信フローを監視し,転送中のデータに基づいて動的にスケールアップまたはスケールダウンします。电话サービスのサイジングとスケーラビリティを評価する際には,云连接器のマシンサイズと数が重要です。高可用性を確保するために,前述のデプロイオプションに基づいて,各リソースの場所に2つ以上の云连接器を使用することをお勧めします。
云连接器のサイズ設定については,Citrix云连接器を参照してください。
詳細については,电话製品ドキュメントをご覧ください。
电话に関する最新のアップデートについては新機能を参照してください。