技术概述
XenApp和XenDesktop是虚拟化解决方案。利用这些方案,它可以在提供随时随地访问任何设备的同时,控制虚拟机,应用程序,许可和安全性。
XenApp和XenDesktop允许:
- 最终用户独立于设备的操作系统和界面运行应用程序和桌面。
- 管理员管理网络并控制来自选定设备或所有设备的访问。
- 管理员从单个数据中心管理整个网络。
XenApp和XenDesktop共享统一的体系结构FlexCast管理架构(FMA)。菲利普-马萨的主要功能是可以通过单个站点和集成预配运行多个版本的XenApp或XenDesktop。
XenApp和XenDesktop主要组件
如果您不了解XenApp或XenDesktop,本文将非常有用。如果您当前拥有 6.x或更低版本的XenApp场或者XenDesktop 5.6或更低版本的站点,也请参阅7.x中的变更一文。
此图显示了典型部署(称为“站点”)中的主要组件。
交付控制员:
交付控制器是XenApp或XenDesktop站点的中心管理组件。每个站点有一个或多个交付控制器。至少安装在数据中心内的一个服务器上。为实现站点可靠性和可用性,控制器应安装在多个服务器上。如果您的部署中包含在虚拟机管理程序或云服务上托管的虚拟机、控制器服务将与其进行通信,以分发应用程序和桌面,对用户进行身份验证并管理用户访问,代理用户与其虚拟桌面和应用程序之间的连接,优化使用连接并对这些连接进行负载平衡。
控制器的代理服务跟踪登录的用户和登录位置,用户拥有的会话资源以及用户是否需要重新连接到现有应用程序。代理服务执行PowerShell cmdlet并通过TCP端口80与共识上的代理代理通信。它不可以使用TCP端口443。
监控服务收集历史数据并将其放置在监视数据库中。此服务使用TCP端口80或443。
控制器来自服务的数据存储在站点数据库中。
控制器管理桌面的状态,根据需要和管理配置启动和停止桌面。在某些版本中,控制器允许您安装概要管理以在虚拟化或物理Windows环境中管理用户个性化设置。
数据库:
每个XenApp或XenDesktop站点至少需要一个Microsoft SQL Server数据库,用于存储配置和会话信息。此数据库存储组成控制器的服务所收集并管理的数据。在数据中心内安装此数据库,并确保此数据库与控制器建立持续型连接。站点还使用一个配置日志记录数据库和一个监视数据库。默认情况下,这些数据库与站点数据库安装在相同的位置,但您可以对此进行更改。
虚拟交付代理(VDA):
VDA安装在站点中要供用户使用的各个物理计算机或虚拟机上。这些计算机提供应用程序或桌面。VDA使计算机能够向 控制器注册,控制器允许向用户提供它托管的计算机和资源。VDA建立并管理计算机与用户设备之间的连接,确认 Citrix许可证可供用户或会话使用,并应用已为会话配置的任何策略。
VDA通过 VDA中的 经纪人将会话信息传递给 控制器中的 经纪服务托管多个插件并收集实时数据的 经纪人代理。它通过 传输控制协议端口 80与 控制器通信。
“VDA”一词通常用于指代理以及安装了它的计算机。
VDA适用于 窗户服务器和桌面操作系统。适用于 窗户服务器操作系统的 VDA允许多个用户同时连接到服务器。适用于 窗户桌面操作系统的 VDA每次仅允许一个用户连接到桌面。还可以使用 Linux-VDA
Citrix店面:
店面可对托管资源的站点的用户进行身份验证,并可管理用户访问的桌面和应用程序的存储。它可以托管企业应用商店,使用户可以自助访问您为其提供的桌面和应用程序。店面还跟踪用户的应用程序订阅,快捷方式名称以及其他数据。这有助于确保用户在多个设备之间具有一致的体验。
Citrix接收机:
安装在用户设备和其他端点(如虚拟桌面)上,Citrix接收机可使用户能够快速安全地从任何用户设备(包括智能手机,平板电脑和PC)自助访问文档,应用程序和桌面。通过Citrix接收机可以对Windows、Web和软件即服务(SaaS)应用程序进行按需访问。对于无法安装Citrix接收机软件的设备,Citrix接收机HTML5通过与HTML5兼容的网页浏览器提供了一个连接。
Citrix工作室:
工作室是可通过其配置和管理XenApp和XenDesktop部署的管理控制台。有了此控制台,无需在单独的管理控制台中管理应用程序和桌面的交付。工作室提供的向导将指导您完成设置环境,创建托管应用程序和桌面的工作负载以及将应用程序和桌面分配给用户的操作。还可以使用工作室为站点分配和跟踪Citrix许可证。
工作室从控制器中的代理服务获取所显示的信息,它通过TCP端口80通信。
有关详细信息,请单击此图:
Citrix董事:
导演是一款基于Web的工具,这支持团队和技术支持团队可以利用该工具监控环境和对问题进行故障排除,以避免这些问题危及系统,并可以为最终用户执行支持任务。可以使用一个导演部署连接和监视多个XenApp或XenDesktop站点。
导演显示:
来自控制器中的代理服务的实时会话数据。其中包括代理服务从VDA中的经纪人代理获取的数据。
来自控制器中的监控服务的历史站点数据。
HDX洞察力从NetScaler捕获的有关HDX通信(也称为ICA通信)的数据,前提是部署中包含NetScaler,并且XenApp或XenDesktop版本包含HDX洞察力。
还可以使用 窗户远程协助通过 经理查看用户会话并与之交互。
Citrix许可证服务器:
许可证服务器管理您的Citrix产品许可证。它与控制器通信以管理每个用户会话的许可,与工作室通信以分配许可证文件。必须至少创建一个许可证服务器来存储和管理许可证文件。
虚拟机管理程序或云服务:
虚拟机管理程序或云服务托管站点中的虚拟机。这些虚拟机可以是用于托管应用程序和桌面的虚拟机,也可以是用于托管XenApp和XenDesktop组件的VM。虚拟机管理程序安装在完全专用于运行虚拟机管理程序和托管虚拟机的主机计算机上。
XenApp和XenDesktop支持多种虚拟机管理程序和云服务。
虽然许多XenApp和XenDesktop部署都需要虚拟机管理程序,但您不需要虚拟机管理程序即可提供远程PC访问。使用配置服务(pv)预配VM时,也不需要虚拟机管理程序。
详细信息:
其他组件
以下其他组件(未显示在上面的图中)也可以包含在XenApp或XenDesktop部署中。有关详细信息,请参阅其文档。
提供服务(pv):
pv是在某些版本中提供的可选组件。它是MCS的备选方式,用于预配虚拟机。MCS创建主映像的副本,pv采用流技术将主映像推送到用户设备。pv执行此操作时无需使用虚拟机管理程序,因此,您可以使用它来托管物理机。光伏发电系统与控制器通信以向用户提供资源。
NetScaler网关:
用户从公司防火墙外部连接时,XenApp和XenDesktop可以使用Citrix NetScaler网关(以前称为访问网关)技术保护与TLS连接时的安全性。NetScaler网关或NetScaler VPX虚拟设备是在隔离区域(DMZ)中部署的SSL VPN设备,用于通过公司防火墙提供单个安全访问点。
NetScaler SD-WAN:
在向位于远程位置(如分支机构)的用户交付虚拟桌面的部署中,可以采用 Citrix NetScaler SD-WAN技术来优化性能。(此技术以前称为 Citrix CloudBridge、分支中继器或 WANScaler)中继器可提高整个广域网的性能。通过在网络中使用 中继器分支机构的用户将在 广域网上体验到像 局域网一般的性能。NetScaler SD-WAN可以设置用户体验不同部分的优先级。例如,通过网络发送大型文件或打印作业时,在分支机构中用户体验不会降低。HDX广域网优化提供标记化压缩和重复数据删除功能,从而降低带宽要求并提高性能。
典型部署的工作原理
站点由具有专用角色的计算机组成,用于实现可扩展性、高可用性和故障转移,并提供采用安全设计的解决方案。站点包括安装VDA的服务器和桌面计算机,以及用于管理访问权限的交付控制器。
VDA使用户能够连接到桌面和应用程序。它安装在数据中心内的服务器或桌面计算机上以实现大多数交付方法,但是也可以安装在物理电脑上以用于电脑的远程访问。
控制器由独立的Windows服务组成,用于管理资源,应用程序和桌面,并优化和平衡用户连接。每个站点有一个或多个控制器。由于会话受延迟,带宽和网络可靠性的影响,因此,在理想状态下,所有控制器都应位于相同的LAN上。
用户绝对不能直接访问控制器。VDA充当用户和控制器之间的媒介。当用户使用店面登录站点时,其凭据将传递到控制器中的代理服务。然后,代理服务将根据为其设置的策略获取其配置文件和可用的资源。
用户连接的处理方式
要启动会话,用户将通过Citrix接收机(安装在用户设备上)或店面Citrix接收机为Web站点进行连接。
用户选择所需的物理桌面、虚拟桌面或虚拟应用程序。
用户的凭据按照此路径进行传递以访问 控制器,控制器通过与 经纪服务通信确定所需的资源。Citrix建议管理员在 店面上放置一个 SSL证书以加密来自 Citrix接收器的凭据。
代理服务决定允许用户访问的桌面和应用程序。
验证凭据后,有关可用应用程序或桌面的信息通过StoreFront-Citrix接收机路径发送给用户。用户选择此列表中的应用程序或桌面时,该信息按照相反路径返回到控制器。控制器随后决定托管特定应用程序或桌面的共识。
控制器将用户的凭据通过消息发送给共识,然后将关于用户和连接的所有数据发送给的共识。VDA接受连接,并将该信息按相同路径返回给Citrix接收器。在店面上收集一组必需参数。这些参数随后被发送到Citrix接收器,作为Receiver-StoreFront协议对话的一部分,或者转换为独立计算架构(ICA)文件并下载。只要站点经过正确设置,凭据在整个流程均保留加密状态。
ICA文件被复制到用户设备上,并在设备与共识上运行的ICA堆栈之间建立直接连接。此连接绕过管理基础结构(Citrix接收机、店面和控制器)。
Citrix接收机和共识之间的连接使用Citrix网关协议(本金保证产品)。如果连接丢失,通过会话可靠性功能,用户可以重新连接到共识,而无需通过管理基础结构重新启动。可以在Citrix策略中启用或禁用会话可靠性。
客户端连接到共识后,VDA将通知控制器用户已登录。Controller 将此信息发送到站点数据库,并开始在监视数据库中记录数据。
数据访问的工作方式
它可以通过工作室或董事访问每个会话生成的数据。通过使用,管理员可以访问代理代理中的实时数据,以便管理站点。导演访问监视数据库中存储的相同实时数据以及历史数据。导演还从 NetScaler Gateway 访问 HDX 数据以便技术支持人员提供支持以及进行故障排除。
在控制器内部、代理服务报告计算机上的每个会话的会话数据,以提供实时数据。监视服务还跟踪实时数据并将其作为历史数据存储在监视数据库中。
演播室只与 经纪服务通信,因此仅访问实时数据。经理可以与 经纪服务通信(通过 经纪人中的插件)以访问站点数据库。
经理还可以访问 NetScaler网关以获取 HDX数据信息。
交付桌面和应用程序:计算机目录、交付组和应用程序组
为计算机目录设置将交付应用程序和桌面的计算机。然后,创建交付组,交付组指定将提供的应用程序和桌面(使用目录中一些或所有计算机)以及哪些用户可以访问它们。
计算机目录:
计算机目录是作为单个实体进行管理的虚拟机或物理机集合。这些计算机及其中的应用程序或虚拟桌面是要提供给用户的资源。目录中的所有计算机安装相同的操作系统和相同的共识,并且,这些计算机上具有相同的应用程序或虚拟桌面。
通常,您创建一个主映像,然后使用此主映像在目录中创建完全相同的VM。对于虚拟机,您可以为该目录中的计算机指定预配方法:Citrix工具(pv或MCS)或其他工具。也可以使用您自己的现有映像。在这种情况下,必须单独或统一使用第三方电子软件分发(ESD)工具管理目标设备。
有效的计算机类型包括:
- 服务器操作系统计算机: 基于服务器操作系统的虚拟机或物理机。用于交付 塞纳普发布的应用程序(称为基于服务器的托管应用程序)和 塞纳普发布的桌面(称为服务器托管的桌面)。这些计算机允许多个用户同时与其建立连接。
- 桌面操作系统计算机: 基于桌面操作系统的虚拟机或物理机。用于交付 VDI桌面 (可以选择进行个性化)、虚拟机托管应用程序(来自桌面操作系统的应用程序)以及托管的物理桌面。同一时间仅允许一个用户与其中的一台计算机建立连接。
- 远程电脑访问:支持远程用户从任何运行Citrix接收机的设备访问他们的办公室物理电脑。办公电脑通过XenDesktop部署进行管理,同时要求在白名单中明确指定用户设备。
有关详细信息,请参阅创建计算机目录。
交付组:
交付组指定哪些用户可以访问哪些计算机上的哪些应用程序和/或桌面。交付组包含计算机目录中的计算机和具有站点访问权限的 活动目录用户。可以按照用户所属的 活动目录组将其分配到您的交付组,因为 活动目录组和交付组是对要求相似的用户进行分组的方式。
每个交付组都可以包含多个目录中的计算机,每个目录可以向多个交付组提供计算机。但是,一台计算机一次只能属于一个交付组。
可以定义交付组中的用户可以访问的资源。例如,要向不同的用户提供不同的应用程序,可以在一个目录的主映像上安装所有应用程序,并在该目录中创建足够多的计算机以在多个交付组之间分发。然后,可以配置每个交付组,以交付计算机上安装的不同应用程序子集。
有关详细信息,请参阅创建交付组。
应用程序组:
与使用多个交付组相比,应用程序组提供应用程序管理和资源控制优势:通过使用标记限制功能,可以使用现有计算机来完成多个发布任务,从而节省与部署和管理其他计算机有关的成本。标记限制可以视为对交付组中的计算机进行划分(或分区)。对交付组中的一部分计算机进行隔离和故障排除时,应用程序组也很有用。
有关详细信息,请参阅创建应用程序组。