参考架构：针对 Citrix Virtual Apps and Desktops 本地环境的 Citrix SD-WAN HDX 性能改进

概述

此参考体系结构介绍了如何通过在网络问题期间最大限度地减少延迟并提高会话响应能力，优化从本地服务器向使用 Citrix SD-WAN 设备位置的用户交付 Citrix Virtual Apps and Desktops 的工

Citrix Virtual Apps and Desktops 可以通过 Citrix Gateway 向远程用户终端节点交付虚拟应用程序和桌面当用户在 Workspace 应用程序中选择虚拟应用程序或桌面时，他们的终端节点将被定向解析 FQDN。返回公共 IP 地址后，他们通过互联网或 VPN 连接到网关。

但是，从具有高速连接的分支机构连接到托管虚拟工作负载的数据中心的用户通常可以直接通过企业内部网获得更好的路径，延迟更少。同时，为了提供最佳用户体验，Citrix Virtual Apps and Desktops 会话需要应用服务质量。根据用户正在执行的任务，高清晰度用户体验 (HDX) 会话可以按服务类使用单独的流进行交付。

Citrix SD-WAN 是一种软件定义的管理企业 WAN 的方法，可在企业分支办公室和本地或云中托管的工作负载之间提供最佳网络连接。Citrix SD-WAN 可以根据设备虚拟路径之间的服务类自动在流中传播 HDX 会话，并根据其服务质量 (QOS) 要求交付。

但是，要提供此功能，Edge SD-WAN 设备必须能够检查未加密的 HDX 流。Workspace 客户端连接到 Citrix Gateway（使用 HTTP 加密）进行会话管理，包括身份验证和资源枚举。但是，对于应用程序交付，客户端必须通过 SD-WAN 覆盖网络直接连接到 StoreFront 及其分配的虚拟交付代理 (VDA)。

借助 CitrixBeacons Points，端点将获得预配文件，其中包含用于测试可达性的链接。当 “内部” 链接可以访问时，它们会直接连接到 StoreFront。它为客户端提供目标 VDA 的内部地址，然后通过 SD-WAN 覆盖网络引导 HDX 会话。

建议

使用信标点设计 Citrix Virtual Apps and Desktops 环境，将内部网络上的分支终端节点直接定向到 StoreFront 以分配到 VDA 的内部地址以进行应用交付。与 Citrix SD-WAN 集成，以便在给定适当的 QOS 标签的情况下，通过内部网络发送的 HDX 会话自动按服务类别将通过内部网络发送的 HDX 会话分为多个 ICA 流，并相应地排定优先级。在本文档中，我们将讨论此建议的概念架构和详细设计。

概念体系结构

组件

Citrix Virtual Apps and Desktops 构建在模块化架构上，允许其随时随地扩展和支持在任何设备上的访问。为了从概念上最好地理解体系结构，我们考虑 5 个不同的层及其相关组件。

用户层组件

用户层是受支持的设备托管 Workspace 应用程序和用户进行身份验证以获取其 Workspace 资源的地方。

• Citrix Workspace 应用程序— 是用户通过其设备访问其工作区资源的门户。它向用户提供身份验证提示，然后向用户提供可用资源。
• Citrix SD-WAN（分支机构）— 这里 SD-WAN 提供了几个好处。
  • 多流 QoS 优先级-分支设备从终端识别 HDX 会话，并按服务类自动识别并将其分解为流。然后，它会在可用虚拟路径之间按优先级排队和路由流量。从分支机构到数据中心的虚拟路径是加密的。
  • 减少延迟 — Citrix SD-WAN 设备在所有可用路径中自动构建彼此之间的虚拟路径。它们还实时监控路径性能，并以最短的延迟通过路径路由流量。
  • 弹性 — Citrix SD-WAN 与 MPLS 电路或通过包括电缆或 DSL 在内的各种媒体进行互联网集成。如果链路出现故障，则使用实时流量监控，Citrix SD-WAN 能够重新路由流量，对用户的影响最小，而且通常不会会话层超时。
  • 带宽最大化 — 传统路由器通常仅限于通过单个 “最佳” 路径进行路由。Citrix SD-WAN 可以同时利用所有可用链接。它根据实时绩效指标对其进行路由流量，只要质量得到保持。
  • 用户体验质量 (QOE) — 通过Citrix Orchestrator提供，QOE 可监控 HDX 质量，并按会话、用户或站点量化体验。它分配的分数和报告范围包括：良好 (71-100)、公平 (51-70)、差 (0-50)，这允许管理员确定焦点的优先级。

接入层组件

接入层是托管网络交付组件的地方，用于协调并将用户会话请求定向控制组件和资源组件。

• Citrix Gateway— 托管在 Citrix ADC 设备上的 Citrix Gateway 代理对 Citrix Virtual Apps and Desktops 环境的安全 HTTPS 访问。它可以针对不需要的 Internet 探测器进行过滤，卸载 SSL 流量，并可在Workspace 设置_期间提供多因素身份验证。对于远程用户，它还代理 _会话交付，并提供了塑造会话特征的策略。
• Citrix SD-WAN（数据中心）— 通常 SD-WAN 主控制节点 (MCN) 部署在主数据中心。它用于协调叠加网络，并建立到分支设备的安全隧道。 VDA 可以与数据中心的交付组件配置在一起，也可以通过隧道或专用电路从数据中心访问 VDA。有关使用 SD-WAN 提供对 Azure 托管 VDA 的访问权限的更多信息，请参阅概念验证指南：Citrix SD-WAN 云到数据中心连接。

• StoreFront— 提供独特的角色来协调虚拟应用程序和桌面本地交付它充当了与访问、控制层和资源层进行通信的中心，以展示和交付会话。将通过 Citrix Gateway 验证的远程用户进行会话交付。分支机构用户最初向 Citrix Gateway 进行身份验证，以获取其资源和带有信标点详细信息的置备文件当他们启动资源时，它们会被定向到配置为内部访问的 StoreFront 应用商店。

  分支用户选择资源并且内部信标点可以访问后，Workspace 客户端将被定向到 StoreFront 进行身份验证。通常，StoreFront 被配置为无缝验证加入域的终端节点，因此不会影响用户体验。或者，对于未加入域的终端节点，企业可以配置单因素身份验证。之后，将向终端节点提供 ICA 文件，其中包含其目标 VDA 的内部 IP 地址，该地址可通过 SD-WAN 覆盖网络访问。

控制层组件

控制层包括用于协调虚拟应用程序和桌面交付的基本管理组件。由于采用了模块化设计，这个基本层在很大程度上不受用户和接入层交付变化的影响。

• Delivery Controller— 是将应用程序和桌面变成虚拟会话背后的智慧。
• 数据库、Studio、许可证服务器-所有这些都协同工作，以监控和管理 Citrix Virtual Apps and Desktops 的交付。

资源层组件

Citrix Virtual Apps and Desktops 资源具有不同的形状和大小，具体取决于操作系统和容量等要求。

• 虚拟交付代理 (VDA)— 所有资源类型都依赖 VDA 将其内容作为会话交付。由于模块化体系结构，VDA 可以与 Control 组件配置，也可以托管在其他地方，例如公共云或私有云。
• 可选-Citrix SD-WAN（资源位置）— SD-WAN 在靠近 VDA 的资源位置实施时可提供最大的好处。多台主机都支持该功能。

主机层组件

访问、控制和资源组件可以托管在本地、云或混合云。主机类型决定了可用的 Citrix SD-WAN 设备平台。 有关这些组件的详细信息，请参阅Citrix Virtual Apps and Desktops 体系结构。

使用案例流

在这里，我们讨论两个用例的会话管理和交付流程：

1. 远程用户（外部）— “基准” 使用案例，我们考虑所有无权访问公司内部网的远程用户如何访问和使用其 Citrix Virtual Apps and Desktops 环境。
2. 分支机构用户（内部）— 我们考虑具有公司内部网访问权限的分支机构用户如何访问和使用其 Citrix Virtual Apps and Desktops 环境的使用案例。分支机构用户可以是使用 Citrix SD-WAN 设备的在家工作人员。

用户身份验证和资源枚举

内部网络上的分支用户以及外部进行身份验证的远程用户通过 Citrix Gateway 获取其资源。网关通常解析为所有用户的通用 FQDN。企业通常在数据中心 DMZ 中托管网关，该数据中心 DMZ 可解析为可通过互联网访问的公共 IP 地址。企业可以选择在数据中心网络内托管解析为内部客户端的内部私有 IP 地址的网关。

可以在 Citrix Delivery Controller 中将用户分配到同一 “外部交付组”，表示用户是否具有内部网络访问权限的数据中心外部。当用户在分支之外工作时，他们将在 Workspace 应用程序中看到相同的资源。否则，可以根据用户的主要工作位置将用户分配到 “分支交付组” 或 “远程交付组”。

远程用户（外部）

远程用户（不在内部网络上）从远程位置路由到 Citrix Gateway 以验证和获取其资源。

分支机构用户（内部）

分支机构用户通过直接互联网突围通过本地 Citrix SD-WAN 设备路由到 Citrix Gateway 进行身份验证和获取资源。

会话启动

在会话启动期间，远程用户和分支用户的流程根据信标点的配置而有所不同。

远程用户（外部）

远程用户通过 Citrix Gateway 启动虚拟应用和桌面资源会话。

分支机构用户（内部）

能够成功到达内部信标点的分支机构用户将被定向到店面。它将解析为通过 SD-WAN 覆盖网络访问的 IP 地址。将为用户的 Workspace 应用程序提供 VDA 的 IP 地址以建立会话，也可以通过 SD-WAN 覆盖网络访问。

详细的设计

在本节中，我们将讨论 SD-WAN 叠加网络、服务质量和信标点的详细设计元素。

SD-WAN 覆盖网络

SD-WAN 覆盖网络是在每台设备之间的可用路径上构建的。UDP 端口 4980 上建立了安全隧道，并交换局域网路线。 可以通过路由协议直接连接或从底层网络获取路由。SD-WAN 路由对应于服务类型，除了 “虚拟路径” 服务路由外，它们通常还包括 “Internet breakout” 服务路由，用于将业务应用程序规则标识的流量定向到 ISP 学习的互联网默认路由。

在以下示例中，Branch 终端节点通过 Internet 分组服务直接联系网关，并通过 SD-WAN 设备定向到 ISP 默认路由。分支端点通过通过 Internet 和 MPLS 网络路由的虚拟路径与虚拟化基础架构联系，这些路径根据实时性能监控使用。

服务质量

将Citrix SD-WAN与Citrix虚拟应用程序和桌面环境结合使用的一个关键区别在于它能够自动将服务质量应用于 HDX 会话。SD-WAN 设备可以按服务类识别、标记、优先级并对其进行流式传输。

默认情况下，多流 ICA 虚拟通道类型被分配给下面显示的 4 个类。在 Citrix Virtual Apps and Desktops 的最新版本中，默认情况下，会话是使用 Enlightened Data Transport (EDT) 协议建立的。EDT 是一种基于 UDP 的会话传输协议，可根据可用带宽有效地调整传输。它回退到 TCP，并根据需要自动使用其内置的流量控制。

默认情况下，VDA 在 UDP (EDT) 端口 1494 或 2598 或 TCP 1494 或 2598 上发送 HDX 会话，具体取决于建立的会话协议。（配置会话可靠性时使用 2598。端口可以根据需要进行自定义。）。SD-WAN 设备选择单个 HDX 会话，通过检查未压缩的 NSAP 通道来识别虚拟通道，然后为通过虚拟路径进行传输做好准备。大多数Workspace 应用程序平台都支持该功能。

数据流虚拟路径数据包会根据服务类别分配标签，然后将其发送到远端。SD-WAN 设备使用该标签来优先使用出站传输队列，并用于实时监控质量指标的路径选择。当通过 MPLS 发送时，差分服务代码点 (DSCP) 标记可以映射到相关队列，以便在分组交换网络中传输时确定优先级。通常，实时流量使用加急转发 (EF) 标记分配，而在 IP 报头服务类型 (TOS) 字段中为其他流量分配保证转发 (AF)标记。

使用 Citrix SD-WAN 单端口 MS Auto QOS 可以在拥塞期间为 Citrix Virtual Apps and Desktops HDX 会话提供显著的性能改善。实验室测试发现，在严重拥堵的情况下，ICA 往返时间提高了 500％ 以上。有关更多信息，请参阅通过Citrix SD-WAN 网络性能增强来衡量 HDX 用户体验改进。

信标点

信标点使 Workspace 客户端能够确定它们是否在内部用于外部网络。通过这样，他们可以访问 StoreFront 并直接从 VDA 传输 HDX 会话。这允许 SD-WAN 检查未加密的会话流，并自动应用 QOS 以优化性能。

信标点是在 StoreFront 管理界面中配置的应用商店 > 管理信标下的。它们作为 URL 输入。

置备文件以 XML 格式表示信标点。在我们的示例中，它们通过网关从 StoreFront 传送到终端节点，然后由 Workspace 应用程序使用信标点指令。

摘要

Citrix SD-WAN 可以显著提高 Citrix Virtual Apps and Desktops HDX 会话的网络性能，从而提供更好的用户体验。 要实现最大益处，请根据企业网络拓扑配置信标点，以实现与虚拟应用程序和桌面的直接连接。通过 Citrix SD-WAN 覆盖网络路由内部分支机构用户会话。这使 Citrix SD-WAN 能够最大限度地减少延迟，并应用包括多流 HDX Auto QoS 在内的功能，以根据服务类别优化会话交付。

附录

部署注意事项

我们重点介绍了在 Citrix Virtual Apps and Desktops 环境中与 Citrix Gateway 合作提供有关最佳使用 Citrix SD-WAN 的指导的目标，我们讨论了相关的硬件、软件和关键配置元素。

Citrix SD-WAN

在这里我们讨论 SD-WAN 设备和相关的部署注意事项。

SD-WAN 设备

Citrix SD-WAN 设备具有各种外形规格，可以扩展客户端和 VDA 之间的叠加网络，无论这些设备是托管在私有云、公有云还是本地数据中心。

• Hypervisor——采用英特尔处理器的主要虚拟机管理程序平台支持Citrix SD-WAN设备。
  • Citrix Hypervisor
  • VMware
  • HyperV
  • KVM
• 公有云— 主要云平台支持 Citrix SD-WAN 设备，提供大小选项以满足可扩展性要求。
  • AWS
  • Azure
  • GCP
• 硬件— Citrix SD-WAN 设备有各种硬件型号，根据需求支持各种吞吐量和虚拟路径数量。 有关更多信息，请参阅Citrix SD-WAN 产品手册

配置概述

Citrix SD-WAN 可以在各种拓扑中部署以适用于各种使用案例。为确保覆盖网络能够提供虚拟应用程序和桌面会话并增强其性能，必须设计覆盖网络，以便所有分支机构客户端都能访问内部信标点。 有关规划、实施、完整使用案例和建议的全面指导，请参阅Citrix SD-WAN 参考体系结构

Citrix Gateway

在这里，我们将讨论 Citrix Gateway 设备和相关的配置

网关设备

Citrix网关设备还具有各种外形规格,可以扩展客户端和 VDA 之间的叠加网络，无论它们是托管在私有云、公有云还是本地数据中心。 有关更多信息，请参阅Citrix ADC 硬件数据表或Citrix ADC VPX 数据表

配置概述

Citrix Gateway 已使用 Citrix Virtual Apps and Desktops 以最佳方式实施了十多年，并且有充分的文档记录。 有关更多信息，请参阅：将 Citrix Gateway 与 StoreFront 集成

Citrix Virtual Apps and Desktops

在这里，我们讨论相关的 StoreFront 以及 Citrix Virtual Apps and Desktops 环境配置

StoreFront 实例

StoreFront 也是 Citrix Virtual Apps and Desktops 环境中记录详尽的组件。它通常托管在虚拟机管理程序、数据中心、内部网络上。大多数环境都为内部用户和外部用户配置了与 Citrix Gateway 集成的应用商店。我们做出这一假设，因此，考虑与 Citrix SD-WAN 网络集成的配置更改有限。

• 信标点— 在 “管理信标点” 下，将内部信标点指定为可从所有分支访问的 URL。此 URL 可以使用 StoreFront 服务器 FQDN 或托管在同一数据中心 LAN 中的其他高可用性服务。
• 身份验证— 在 “管理身份验证方法” 下，指定所需的身份验证方法。远程用户依赖 “从 Citrix Gateway 直通”。而加入域的分支机构用户依赖于 “域直通” 或非域加入的域可以使用其他方法（如Username and Password）再次进行身份验证。 有关更多信息，请参阅：规划 StoreFront 部署与 Citrix Gateway 和 Citrix ADC 集成。

配置概述

Citrix Virtual Apps and Desktops 的特性和功能已在过去几十年中扩展，并且有充分的

Citrix 设计决策指南可以帮助您就解决方案的配置、优化和部署做出最佳决策。有关更多信息，请参阅Citrix Virtual Apps and Desktops 设计决策。

Citrix 参考体系结构是全面的指南，可帮助组织规划实施，包括使用案例、建议等。请参阅Citrix Virtual Apps and Desktops 参考架构。

网络考虑

在这里，我们将讨论 Citrix SD-WAN、Citrix Gateway 和 Citrix Virtual Apps and Desktops 使用的带宽注意事项和相关端口。

Bandwidth（带宽）

以网关模式部署在分支机构中的 Citrix SD-WAN 设备，管理内部网和所有可用链路的外部互联网带宽分配。新部署需要计划分配带宽，现有部署需要相应地重新分配带宽。

Citrix SD-WAN 带宽由交付服务根据链接类型组分配。有关更多信息，请参阅配送服务。

Citrix Virtual Apps and Desktops 会话带宽使用情况因使用情况而异很有关更多信息，请参阅Citrix Virtual Apps and Desktops 带宽。

端口

Citrix Virtual Apps and Desktops 使用定义明确的端口在模块化组件之间进Citrix SD-WAN 像访问用户层组件一样扩展 LAN。（有关详细信息，请参阅下图。）

Citrix SD-WAN 使用 AES 128/256 位密码，在 UDP 端口 4980 上设置，在设备之间安全地通过虚拟路径隧道流量。有关详细信息，请参阅配置虚拟 WAN 服务。

Citrix SD-WAN 可以在各种拓扑中部署，以适应企业网络中的位置。例如，它可以在分支机构的网关模式下使用来路由所有 LAN 流量，也可以在数据中心的虚拟内联模式下部署它以让边缘路由器转发所需的流量。有关更多信息，请参阅Citrix SD-WAN 部署拓扑。

Citrix SD-WAN 可以允许所有 LAN 流量，或者使用板载防火墙根据企业安全策略进行过滤。它也可以用来进行全栈检查。有关更多信息，请参阅Citrix SD-WAN 安全。