快速部署中的网络连接
简介
本文提供了有关在使用 Citrix 托管 Azure 订阅时如何创建与公司资源的网络连接的详细信息。
使用自己的客户托管 Azure 订阅时,无需创建网络连接。
创建快速部署目录时,可以指示用户是否以及如何从 Citrix 桌面和应用程序访问其公司本地网络中的位置和资源。使用连接时,必须先创建连接,然后再创建目录。
使用 Citrix 托管 Azure 订阅时,可以选择:
创建目录后,无法更改目录的连接类型。
所有网络连接的要求
- 创建连接时,必须具有有效的 DNS 服务器条目。
- 使用安全 DNS 或第三方 DNS 提供程序时,必须将分配给 Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)使用的地址范围添加到允许列表中的 DNS 提供程序的 IP 地址中。该地址范围是在您创建连接时指定的。
- 所有使用连接的服务资源(已加入域的计算机)必须能够到达网络时间协议 (NTP) 服务器,以确保时间同步。
无连接
为目录配置了 No connectivity(无连接)时,用户将无法访问其本地或其他网络中的资源。这是使用快速创建创建目录时唯一的选择。
关于 Azure VNet 对等互连连接
虚拟网络对等互连无缝连接下面两个 Azure 虚拟网络 (VNet):您的 VNet 和 Citrix DaaS VNet。对等互连还有助于用户访问您的本地网络中的文件和其他项目。
如下图所示,您可以使用 Azure VNet 对等互连创建从 Citrix 托管 Azure 订阅到贵公司的 Azure 订阅中的 VNet 的连接。
下面是 VNet 对等互连的另一个例证。
创建目录时,用户可以通过加入本地域来访问其网络资源(例如文件服务器)。(也就是说,您加入了文件共享和其他所需资源所在的 AD 域。)您的 Azure 订阅连接到这些资源(在图形中,使用 VPN 或 Azure ExpressRoute)。创建目录时,您需要提供域、OU 和帐户凭据。
重要:
- 请在此服务中使用 Azure VNet 对等互连之前了解其信息。
- 在创建使用 VNet 对等互连连接的目录之前创建 VNet 对等连接。
Azure VNet 对等互连自定义路由
自定义或用户定义的路由会覆盖 Azure 的默认系统路由,用于定向 VNet 对等互连中的虚拟机、本地网络和 Internet 之间的流量。如果 Citrix DaaS 资源期望访问某些网络,但某些网络不是通过 VNet 对等互连直接连接的,则可以使用自定义路由。例如,您可以创建自定义路由,将流量强制通过网络设备传入 Internet 或本地网络子网。
要使用自定义路由,请执行以下操作:
- 您必须在 Citrix DaaS 环境中拥有现有的 Azure 虚拟网络网关或网络设备,例如 Citrix SD-WAN。
- 添加自定义路由时,必须使用 Citrix DaaS 的目标 VNet 信息更新公司的路由表,以确保端到端连接。
- 自定义路由将按输入路由的顺序在 Citrix DaaS 中显示。此显示顺序不影响 Azure 选择路由的顺序。
在使用自定义路由之前,请查看 Microsoft 文章 Virtual network traffic routing(虚拟网络流量路由),了解如何使用自定义路由、下一个跃点类型以及 Azure 如何为出站流量选择路由。
可以在创建 Azure VNet 对等互连连接时添加自定义路由,也可以添加到 Citrix DaaS 环境中的现有路由。准备好在 VNet 对等互连中使用自定义路由时,请参阅本文中的以下部分:
- 对于具有新 Azure VNet 对等互连的自定义路由:创建 Azure VNet 对等连接
- 对于使用现有 Azure VNet 对等互连的自定义路由:管理现有 Azure VNet 对等连接的自定义路由
Azure VNet 对等互连的要求和准备工作
- Azure 订阅所有者的凭据。这必须是 Azure Active Directory 帐户。此服务不支持其他帐户类型,例如 live.com 或外部 Azure AD 帐户(在不同的租户中)。
- Azure 订阅、资源组和虚拟网络 (VNet)。
- 设置 Azure 网络路由,以便 Citrix 托管 Azure 订阅中的 VDA 可以与您的网络位置通信。
- 将 Azure 网络安全组从您的 VNet 打开到指定的 IP 范围。
-
Active Directory: 对于已加入域的场景,我们建议您在对等互连的 VNet 中运行某种形式的 Active Directory 服务。这利用了 Azure VNet 对等互连技术的低延迟特性。
例如,配置可能包括 Azure Active Directory 域服务 (AADDS)、VNet 中的域控制器 VM 或 Azure AD 连接到您的本地 Active Directory。
启用 AADDS 后,如果不删除托管域,则无法将您的托管域移动到其他 VNet。因此,选择正确的 VNet 来启用托管域非常重要。在继续之前,请查看 Microsoft 文章 Networking considerations for Azure AD Domain Services(Azure AD 域服务的网络连接注意事项)。
-
VNet IP range(VNet IP 范围):创建连接时,必须提供可用的 CIDR 地址空间(IP 地址和网络前缀),该空间在网络资源与正在连接的 Azure VNet 中是唯一的。这是分配给 Citrix DaaS 的对等互连 VNet 中的 VM 的 IP 范围。
确保指定的 IP 范围不与您在 Azure 和本地网络中使用的任何地址重叠。
-
例如,如果您的 Azure VNet 的地址空间为 10.0.0.0 /16,请在 Citrix DaaS 中创建 VNet 对等互连连接,例如 192.168.0.0 /24。
-
在此示例中,创建 IP 范围 10.0.0.0 /24 的对等互连连接将被视为重叠的地址范围。
如果地址重叠,VNet 对等互连连接可能无法成功创建。对于站点管理任务,它也不能正常运行。
-
要了解有关 VNet 对等互连的信息,请参阅以下 Microsoft 文章。
创建 Azure VNet 对等互连连接
-
在 Manage(管理)> Quick Deploy(快速部署)中,展开右侧的 Network Connections(网络连接)。如果您已设置连接,系统会将其列出。
- 选择 Add Connection(添加连接)。
-
单击 Add Azure VNet Peering(添加 Azure VNet 对等互连)框中的任意位置。
-
选择 Authenticate Azure Account(身份验证 Azure 帐户)。
-
Citrix DaaS 会自动将您引导至 Azure 登录页面对您的 Azure 订阅进行身份验证。登录 Azure(使用全局管理员帐户凭据)并接受条款后,您将返回到连接创建详细信息对话框。
- 键入 Azure VNet 对等方的名称。
- 选择 Azure 订阅、资源组以及要建立对等连接的 VNet。
- 指示选定的 VNet 是否使用 Azure 虚拟网络网关。有关信息,请参阅 Microsoft 文章 Azure VPN Gateway(Azure VPN 网关)。
-
如果在上一步中回答 Yes(是)(VNet 使用 Azure 虚拟网络网关),请指示是否要启用虚拟网络网关路由传播。启用后,Azure 会自动学习(添加)通过网关建立的所有路由。
您可以稍后在连接的 Details(详细信息)页面上更改此设置。但是,对其进行更改可能会导致路由模式更改和 VDA 流量中断。此外,如果以后将其禁用,则必须手动向 VDA 要使用的网络添加路由。
-
键入 IP 地址并选择网络掩码。系统将显示要使用的地址范围以及该范围支持的地址数量。确保 IP 范围不会重叠您在 Azure 和本地网络中使用的任何地址。
- 例如,如果您的 Azure VNet 的地址空间为 10.0.0.0 /16,请在 Citrix DaaS 中创建 VNet 对等互连连接,例如 192.168.0.0 /24。
- 在此示例中,创建 IP 地址范围为 10.0.0.0 /24 的 VNet 对等互连连接被视为重叠的地址范围。
如果地址重叠,VNet 对等互连连接可能无法成功创建。对于站点管理任务,它也无法正常运行。
- 指示是否要向 VNet 对等互连连接添加自定义路由。如果选择 Yes(是),请输入以下信息:
- 为自定义路由键入友好名称。
- 输入目标 IP 地址和网络前缀。网络前缀必须介于 16 到 24 之间。
-
为要将流量路由到的位置选择下一个跃点类型。如果选择 Virtual appliance(虚拟设备),请输入设备的内部 IP 地址。
有关下一个跃点类型的详细信息,请参阅 Microsoft 文章 Virtual network traffic routing(虚拟网络流量路由)中的 Custom routes(自定义路由)部分。
- 要为连接创建另一个自定义路由,请选择 Add route(添加路由)。
- 选择 Add VNet Peering(添加 VNet 对等互连)。
创建连接后,此连接将在 Manage(管理)> Quick Deploy(快速部署)控制板右侧的 Network Connections(网络连接)> Azure VNet Peers(Azure VNet 对等方)下列出。创建目录时,此连接将包含在可用网络连接列表中。
查看 Azure VNet 对等互连连接详细信息
- 在 Manage(管理)> Quick Deploy(快速部署)中,展开右侧的 Network Connections(网络连接)。
- 选择要显示的 Azure VNet 对等互连连接。
详细信息包括:
- 使用此连接的目录、计算机、映像和堡垒的数量。
- 区域、分配的网络空间和对等互连的 VNet。
- 当前为 VNet 对等互连连接配置的路由。
管理现有 Azure VNet 对等互连连接的自定义路由
可以向现有连接添加新的自定义路由或修改现有的自定义路由,包括禁用或删除自定义路由。
重要 : 修改、禁用或删除自定义路由会更改连接的流量,并且可能会中断可能处于活动状态的任何用户会话。
要添加自定义路由,请执行以下操作:
- 在 Manage(管理)> Quick Deploy(快速部署)中,展开右侧的 Network Connections(网络连接)。
- 选择要删除的连接。
- 在连接详细信息中,选择 Routes(路由),然后选择 Add Route(添加路由)。
- 输入友好名称、目标 IP 地址和前缀以及要使用的下一个跃点类型。如果选择 Virtual Appliance(虚拟设备)作为下一个跃点类型,请输入设备的内部 IP 地址。
- 指示是否要启用自定义路由。默认情况下,自定义路由处于启用状态。
- 选择 Add Route(添加路由)。
要修改或禁用自定义路由,请执行以下操作:
- 在 Manage(管理)> Quick Deploy(快速部署)中,展开右侧的 Network Connections(网络连接)。
- 选择要删除的连接。
- 在连接详细信息中,选择 Routes(路由),然后找到要管理的自定义路由。
-
从省略号菜单中,选择 Edit(编辑)。
- 根据需要对目标 IP 地址和前缀或下一个跃点类型进行任何必要的更改。
- 要启用或禁用自定义路由,请在 Enable this route?(启用此路由?)中,选择 Yes(是)或 No(否)。
- 选择保存。
要删除自定义路由,请执行以下操作:
- 在 Manage(管理)> Quick Deploy(快速部署)中,展开右侧的 Network Connections(网络连接)。
- 选择要删除的连接。
- 在连接详细信息中,选择 Routes(路由),然后找到要管理的自定义路由。
- 从省略号菜单中,选择 Delete(删除)。
- 选择 Deleting a route may disrupt active sessions(删除路由可能会中断活动的会话),以确认删除自定义路由的影响。
- 选择 Delete Route(删除路由)。
删除 Azure VNet 对等互连连接
在删除 Azure VNet 对等互连连接之前,请删除与之关联的所有目录。请参阅删除目录。
- 在 Manage(管理)> Quick Deploy(快速部署)中,展开右侧的 Network Connections(网络连接)。
- 选择要删除的连接。
- 从连接详细信息中,选择 Delete Connection(删除连接)。
关于 SD-WAN 连接
Citrix SD-WAN 优化 Citrix DaaS 所需的所有网络连接。Citrix SD-WAN 与 HDX 技术协同工作,为 ICA 和带外 Citrix DaaS 流量提供了服务质量和连接可靠性。Citrix SD-WAN 支持以下网络连接:
- 用户与其虚拟桌面之间的多流 ICA 连接
- 从虚拟桌面到 Web 站点、SaaS 应用程序和其他云属性的 Internet 访问
- 从虚拟桌面返回访问本地资源,例如 Active Directory、文件服务器和数据库服务器
- 实时/交互流量通过 RTP 从 Workspace 应用程序中的媒体引擎传输到云托管的统一通信服务(例如 Microsoft Teams)
- 客户端从 YouTube 和 Vimeo 等站点提取视频
如下图所示,可以创建从 Citrix 托管 Azure 订阅到您的站点的 SD-WAN 连接。在创建连接过程中,SD-WAN VPX 设备是在 Citrix 托管 Azure 订阅中创建的。从 SD-WAN 的角度来看,该位置被视为分支机构。
SD-WAN 连接要求和准备工作
-
如果不满足以下要求,SD-WAN 网络连接选项将不可用。
- Citrix Cloud 服务授权:Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)和 SD-WAN Orchestrator。
- 已安装并配置的 SD-WAN 部署。部署必须包括主控制节点 (MCN)(无论是在云端还是本地),并使用 SD-WAN Orchestrator 进行管理。
-
VNet IP range(VNet IP 范围):提供可用的 CIDR 地址空间(IP 地址和网络前缀),该空间在所连接的网络资源中是唯一的。这是分配给 Citrix DaaS 的互连 VNet 中的 VM 的 IP 范围。
确保指定的 IP 范围不与您在云端和本地网络中使用的任何地址重叠。
- 例如,如果您的网络的地址空间为 10.0.0.0 /16,请在 Citrix DaaS 中创建该连接,例如 192.168.0.0 /24。
- 在此示例中,创建 IP 范围 10.0.0.0 /24 的连接将被视为重叠的地址范围。
如果地址重叠,则可能无法成功创建连接。对于站点管理任务,它也不能正常运行。
-
连接配置过程包括您(Citrix DaaS 管理员)和 SD-WAN Orchestrator 管理员必须完成的任务。此外,要完成任务,您需要 SD-WAN Orchestrator 管理员提供的信息。
我们建议您在实际创建连接之前查看本文档中的指南以及 SD-WAN 文档。
创建 SD-WAN 连接
重要 : 有关 SD-WAN 配置的详细信息,请参阅适用于 Citrix DaaS 集成的 SD-WAN 配置。
- 在 Manage(管理)> Quick Deploy(快速部署)中,展开右侧的 Network Connections(网络连接)。
- 选择 Add Connection(添加连接)。
- 在 Add a network connection(添加网络连接)页面上,单击“SD-WAN”框中的任意位置。
- 下一页总结了接下来的操作。阅读完毕后,选择 Start Configuring SD-WAN(开始配置 SD-WAN)。
-
在 Configure SD-WAN(配置 SD-WAN)页面上,输入 SD-WAN Orchestrator 管理员提供的信息。
- Deployment mode(部署模式):如果选择 High availability(高可用性),则会创建两个 VPX 设备(建议用于生产环境)。如果选择 Standalone(独立),则会创建一个设备。以后不能更改此设置。要更改到部署模式,必须删除并重新创建分支和所有关联的目录。
- Name(名称):键入 SD-WAN 站点的名称。
- Throughput and number of offices(吞吐量和办公室数量):此信息由您的 SD-WAN Orchestrator 管理员提供。
- Region(区域):将创建 VPX 设备所在的区域。
- VDA subnet and SD-WAN subnet(VDA 子网和 SD-WAN 子网):此信息由您的 SD-WAN Orchestrator 管理员提供。有关避免冲突的信息,请参阅 SD-WAN 连接要求和准备工作。
- 完成后,选择 Create Branch(创建分支)。
- 下一页总结了在 Manage(管理)> Quick Deploy(快速部署)控制板上查找的内容。阅读完毕后,选择 Got it(明白了)。
- 在 Manage(管理)> Quick Deploy(快速部署)中,Network Connections(网络连接)下的新 SD-WAN 条目显示了配置过程的进度。当该条目随消息“
Awaiting activation by SD-WAN administrator
”变为橙色时,请通知您的 SD-WAN Orchestrator 管理员。 - 有关 SD-WAN Orchestrator 管理员任务,请参阅 SD-WAN Orchestrator 产品文档。
- SD-WAN Orchestrator 管理员完成时,Network Connections(网络连接)下的 SD-WAN 条目将变为绿色,并显示消息“
You can create catalogs using this connection
”。
查看 SD-WAN 连接详细信息
- 在 Manage(管理)> Quick Deploy(快速部署)中,展开右侧的 Network Connections(网络连接)。
- 如果该选项不是唯一的选择,请选择 SD-WAN。
- 选择要显示的连接。
展示内容包括:
- Details(详细信息)选项卡:配置连接时指定的信息。
- Branch Connectivity(分支机构连接)选项卡:每个分支机构和 MCN 的名称、云连接性、可用性、带宽层、角色和位置。
删除 SD-WAN 连接
在删除 SD-WAN 连接之前,请删除与之关联的所有目录。请参阅删除目录。
- 在 Manage(管理)> Quick Deploy(快速部署)中,展开右侧的 Network Connections(网络连接)。
- 如果该选项不是唯一的选择,请选择 SD-WAN。
- 选择要删除的连接,以展开其详细信息。
- 在 Details(详细信息)选项卡上,选择 Delete Connection(删除连接)。
- 确认删除。