Citrix虚拟应用程序和桌面服务参考架构
概述
当新冠肺炎发生时,它迫使全球有限公司的所有员工远程办公。全球公司办公室用户通常使用与其立方/办公室相关的公司拥有的PC工作。全球有限公司快速部署了Citrix虚拟应用程序和桌面服务,允许用户使用远程PC访问从家中安全地访问其工作PC。
在2020年疫情期间,全球有限公司意识到,担任某些角色的员工在家工作比在办公室工作的效率同等或更高。因此,他们希望确保自己的环境允许这些新的永久远程员工使用。
尽管许多员工成为永久性远程员工,但是一组员工的角色需要现场办公。但是,Worldwide Co.希望为办公室的员工提供根据需要进行远程办公的灵活性。
此参考体系结构显示了Worldwide Co.如何规划其Citrix虚拟应用程序和桌面环境。
成功标准
环球公司定义了一系列成功标准,这些标准构成了总体设计的基础。
| 成功标准 | 说明 | 解决方案 |
|---|---|---|
| 灵活的工作方式 | 尽管许多用户都有主要工作环境,但该解决方案支持工作方式灵活性,允许用户根据需要随时随地工作 | Citrix虚拟应用程序和桌面服务 |
| 将硬件成本降至 | 很大一部分用户在办公室使用传统PC工作。该解决方案允许用户在保持相同体验的同时远程工作。 | 远程PC接入 |
| 安全的资源 | 对于使用不受信任的终端节点或从不安全位置访问的用户,必须保护公司资源。 | 无VPN访问 |
| 尽量减少数据中心占 | 最大限度地减少数据中心占用空间,以便灵活性和敏捷性根据需要进行扩展,并减少需要管理的物理硬件和设备的数量。 | Citrix虚拟应用程序和桌面服务和云VDI |
| 自适应会话 | 由于最终用户与资源的连接性质不同,随着最终用户环境的变化,体验会动态变化。 | HDX自适应技术 |
| 用户体验报告 | 由于它无法完全控制远程用户与虚拟桌面之间的链路,他们需要能够监控整体体验并确定需要改进的领域。 | 性能分析 |
| 最佳路由 | 为了减少延迟并改善体验,解决方案必须尽可能使用最佳路线。 | Citrix Gateway服务 |
| 优化云成本 | 根据计划和使用情况自动扩展工作负载,最大限度地降低 | 自动定量 |
| 多因素身份验证 | 考虑到安全性,需要mfa来确保对企业资源进行另一层身份验证和保护。 | 基于时间的一次性密码微服 |
| 最佳性能和应用响应时间 | 在多用户环境中,避免出现单个用户可以垄断CPU资源的情况,这会对其他用户造成负面影响。 | 工作区管理-cpu优化 |
| 优化向最终用户提供的图像 | 帮助管理员优化图像的简单工具 | Citrix优化器 |
| 业务连续性 | 云服务出现中断时的弹性选项 | Citrix服务连续性 |
概念体系结构
根据上述要求,Worldwide Co.创建了以下架构。这种架构不仅能够满足上述所有要求,而且还将为全球有限公司提供扩展到未来确定的其他用例所需的基础。
Citrix虚拟应用程序和桌面体系结构分为多个层。此框架为了解最常见的虚拟桌面/应用程序部署方案的技术体系结构奠定了基础。所有层都流在一起,为组织创建完整的端到端解决方案。
在高级别上:
- 用户层:此层描述用于连接资源的最终用户环境和终端设备。
- 外部用户:访问Citrix工作区以获取对Azure中托管的Windows虚拟桌面的访问权限。
- 内部用户:在办公室时,继续使用他们的物理pc。远程办公时,他们会访问Citrix工作区和远程PC访问以连接到基于办公室的物理电脑。
- 接入层:此层描述了有关Citrix环境的外部和内部访问的详细信息。
- Citrix工作区:一个完整的数字化工作空间解决方案,允许您安全访问与组织中的人员角色相关的信息,应用程序和其他内容。
- 网关服务:这项基于云的服务通过身份和访问管理(iDAM)功能提供安全的远程访问,为SaaS(软件即服务)应用程序,虚拟应用程序和桌面提供统一的体验。
- 资源层:此层定义了提供给每个用户组的虚拟桌面、应用程序和数据。
- 远程电脑访问:传统的本地窗户桌面,分配给单个用户,可以在本地进行物理访问或远程访问。
- Windows虚拟桌面:虚拟化的窗口10多会话操作系统,用户能够远程访问其桌面和应用程序。
- 控制层:此层描述了用于支持其余环境的组件的详细信息。
- 虚拟应用程序和桌面服务:此基于云的服务管理对Windows虚拟桌面和远程PC访问的授权和代理。
- 工作区环境管理服务:此基于云的服务使用智能资源管理和配置文件管理技术,提供尽可能最佳的性能,桌面登录和应用程序响应时间。
- 性能分析:这项基于云的服务可跟踪,聚合和可视化Citrix虚拟应用程序和桌面环境的关键性能指标。
- 主机层:此层描述用于Citrix环境的硬件组件(私有云,公共云和混合云)——硬件,存储和虚拟化详细信息。
- 物理pc:他们使用自己已经拥有的物理pc,但允许用户在需要时远程访问它们
- Azure:为了减少数据中心占用空间,他们在Azure上部署新的虚拟桌面资源。
在下面的部分中,我们将介绍上述每个架构组件,以及它们如何满足xyz公司的要求。
详细的架构
用户层
将用户要求与适当的虚拟桌面保持一致是创建完整的端到端解决方案的第一步。环球公司定义了下面的用户要求。
| 用户需要访问… | 用户包括… | 终端节点包括… | 常见地点包括… | 它提供了… |
|---|---|---|---|---|
| 带业务线应用程序的标准化桌面环境 | 工程师设计师 | 在办公室:实体企业PC远程:个人设备 | 主要是内部本地网络。有时是远程、不受信任的网络。 | 远程PC接入 |
| 带业务线应用程序的标准化桌面环境 | 销售营销 | 个人设备平板电脑 | 远程不受信任的网络 | Windows虚拟桌面 |
办公室工作人员通常使用公司拥有的PC在办公室工作。疫情发生时,他们需要一种方法来安全地在家办公,同时仍然使用办公室中的个人电脑。全球有限公司意识到办公室工作人员可以作为远程工作人员提高生产力,并希望提供远程办公的灵活性。他们在办公室工作时继续在本地使用电脑,并在家办公时通过Citrix虚拟应用程序和桌面远程PC访问远程访问它们。
员工主要是远程员工。全球有限公司不想提供公司拥有的设备,而是希望为这些员工提供使用他们想要的任何设备的选择。这可能包括个人笔记本电脑、智能手机或平板电脑等设备。由全球有限公司于希望尽量减少其数据中心占用空间,因此他们选择为这组员工部署带Citrix虚拟应用程序和桌面服务的Windows虚拟桌面。
访问层
提供对环境的访问权限不仅仅包括与资源建立连接。除了组织定义的安全策略之外,提供适当的访问级别还取决于用户所在的位置。环球公司选择执行以下操作:
- 最小化数据中心占用空间:
- 网关服务:全球公司决定部署网关服务,以符合减少数据中心占用空间的目标。网关服务允许他们为外部用户提供安全的远程访问,而无需部署和维护任何物理硬件,公共IP地址或防火墙规则。他们也不必担心冗余架构,因为Citrix会为他们处理冗余问题——网关服务在全球多个区域运行,集成冗余。网关服务最大限度地减少了所需的基础设施,从而使管理员能够在需要时(并购,灾难恢复,新用户或承包商)快速扩展。可以在此处找到有关网关服务的更多信息。
- 聚合协议:Worldwide Co.还打开聚合协议功能,允许HDX会话绕过Citrix云连接器并直接连接到Citrix网关服务。聚合协议减少了云连接器的负载,这有助于减少数据中心占用空间。
- 多因素身份验证:环球公司决定实施多因素身份验证来保护他们的知识产权。他们选择通过时间基于时间的一次性密码在Citrix Workspace内部执行此操作。他们选择totp是因为它允许他们满足安全需求,而无需部署或维护其他第三方系统。可以在此处找到有关TOTP和工作空间标识的其他信息。
- 最佳路由-网关服务:由于网关服务是全球分布的,它允许用户通过最快的接入点进行连接,从而创造最佳的用户体验。
- 安全资源:所有用户使用工作区和网关服务进行身份验证,都提供对其物理PC和云托管VDI桌面的无VPN访问权限。虽然此参考体系结构仅显示访问虚拟应用程序和桌面的用户,但工作区使组织能够灵活地从一个统一位置为最终用户提供SaaS,网络,移动设备,文件和微应用。此外,它还提供了sso,因此用户不必一遍又一次地不断地重新进行身份验证。
- 业务连续性:思杰全球有限公司还利用了思杰工作空间中最新的服务连续性功能。服务连续性进一步扩展了Citrix虚拟应用程序和桌面服务的弹性,以防出现以下任何一种情况的中断:
- Citrix Workspace门户
- Citrix Cloud平台
- Citrix身份提供商服务
- Citrix虚拟应用程序和桌面控制面
- AWS和Azure平台
全球公司选择了这种方法,而不是本地主机缓存,因为服务连续性没有任何本地要求。基本上,它将长期连接票证用于工作区,只要终端和共识之间存在网络连接,就可以将用户连接到他们的共识。可以在此处找到有关服务连续性的更多信息。
资源层
用户需要访问其资源,无论这些资源是桌面还是应用程序。资源是在由Worldwide Co.管理的资源位置配置的。资源的配置必须与用户组的总体需求保持一致。最终用户期望获得类似或优于传统PC环境的体验。资源可以位于本地、私有云、公共云或混合方法中。这对最终用户来说是无缝的。云连接器位于每个资源位置中,用于将资源与Citrix云连接起来。环球公司选择执行以下操作:
- 尽量减少硬件成本:
- 远程PC接入:远程PC访问允许用户访问基于办公室的物理PC。
![远程PC接入]()
用户通过自己的个人设备进行访问和通过工作区应用程序身份验证后,用户将有权访问其物理Windows桌面。全球公司遵循此处找到的Remote PC Access VDA的最佳实践(/zh-cn/tech-zone/design/design-decisions/ Remote - PC - Access .html)。
- 最大限度地减少数据中心占用空间:全球公司已选择Azure作为其他资源位置。这使他们能够根据需要快速启动新资源,而无需添加新的基础架构。它为他们提供了快速轻松地扩展的灵活性。
![Azure]()
环球公司在考虑部署哪个实例系列时使用了下列设计决策指南。最终,他们选择了一个具有标准硬盘的D13_v2实例和带窗户有10多会话操作系统的2 gb MCSIO缓存。全球有限公司已选择通过Azure Active Directory域服务和组织的本地Active Directory中的用户帐户将这些域加入到其本地Active Directory。可以在此处找到更多信息。 - 优化向最终用户推荐的映像:全球有限公司已选择使用Citrix Optimizer来优化其VDA。可以在此处找到有关Citrix Optimizer的信息。
- 自适应会议:环球公司使用了基准策略,但是他们打开了“自适应传输”。自适应传输允许会话响应不断变化的网络状况。对于远程员工,自适应传输使他们能够获得最佳的用户体验。他们还利用其他HDX技术来改进整体体验。
控制层
使用Citrix虚拟应用程序和桌面服务,交付控制器,SQL数据库,工作室,导演和许可是控制层中的核心组件。这些组件是在激活虚拟应用程序和桌面服务期间由Citrix在Citrix云上预配的。Citrix处理这些组件的冗余,更新和安装。这允许环境始终拥有最新的功能和安全补丁程序。可以在Citrix Cloud 中启用更多服务,以支持 Worldwide Co. 的要求。Worldwide Co. 选择了以下内容:
- 用户体验报告:环球公司选择启用Citrix Analytics for Performance,允许他们量化最终用户体验并主动解决任何问题。这些信息可以在他们的两个资源位置中看到。可以在此处找到更多信息。
- 最佳性能和应用程序共享时间:全球有限公司希望避免出现单个用户可以垄断CPU资源的情况,这对其他用户产生负面影响(噪音邻居综合征)。因此、他们使用工作环境管理服务启用CPU管理设置。可以在此处找到有关CPU管理的更多信息。
全球有限公司选择将Windows Azure虚拟桌面通过Azure Active Directory域服务将其Windows Azure虚拟桌面加入组织的本地活动目录,并将用户的帐户保留在组织的本地活动目录中。Active Directory使用Azure AD连接与客户Azure订阅中的Azure AD进行同步。此设置允许通过同步的Azure AD对用户的身份进行身份验证。
主机层
管理员可以灵活地在本地、公共云或混合方法中进行部署。环球公司已选择执行以下操作:
- 优化云成本:
- AutoScale:Worldwide Co.选择部署AutoScale来优化云成本。借助AutoScale,您可以智能地利用,分配和取消分配资源。可以在此处找到有关自动缩放的更多信息。全球公司最初将根据典型工作日使用以下基于计划的AutoScale参数:
| 天 | 高峰时段 | 非高峰时段 | 活动的机器 |
|---|---|---|---|
| 工作日 | 7 am-5pm | 5 pm-7am | 峰值:50% 关闭时峰值:5% |
| 周末 | 无 | 全天 | 5% |
为了容纳更多用户,环球公司还通过以下参数启用了基于负载的扩展:
| 天 | 容量缓冲区(峰值) | 容量缓冲区(非高峰) |
|---|---|---|
| 工作日 | 20% | 5% |
| 周末 | 5% | 5% |
- Azure规模调整:全球有限公司选择使用标准硬盘和2 gb MCSIO部署D13_v2实例,以最低的成本提供最佳用户体验。可以在此处找到有关Azure上Citrix虚拟应用程序和桌面服务可扩展性的深入分析。