Citrix SD-WAN Orchestrator

SD-WAN-Konfiguration für Citrix Virtual Apps and Desktops Standard für Azure-Integration

Citrix SD-WAN ist eine WAN-Edge-Lösung der nächsten Generation, die die digitale Transformation mit flexibler, automatisierter und sicherer Konnektivität und Leistung für SaaS, Cloud und virtuelle Anwendungen beschleunigt, um ein ständig verfügbares Workspace Erlebnis zu gewährleisten.

Citrix SD-WAN ist die empfohlene und beste Methode für Unternehmen, mit einer schnellen und einfachen Einrichtung eine Verbindung zu Citrix Virtual Apps and Desktops Standard for Azure herzustellen. Weitere Informationen finden Sie im Citrix Blog.

Vorteile

  • Einfache Einrichtung von SD-WAN in Citrix Virtual Apps and Desktops Standard for Azure über einen geführten und automatisierten Workflow
  • Ständig eingeschaltete, leistungsstarke Konnektivität durch fortschrittliche SD-WAN-Technologien
  • Vorteile für alle Verbindungen (VDA-zu-DC, User-to-VDA, VDA-to-Cloud und User-to-Cloud)
  • Reduziert die Latenz im Vergleich zum Backhauling-Datenverkehr zum Rechenzentrum
  • Verkehrsmanagement zur Sicherstellung der Quality of Service (QoS)

    • QoS über HDX/ICA-Verkehrsströme (Single-Port-HDX AutoQoS)
    • QoS zwischen HDX und anderem Datenverkehr
    • HDX QoS Fairness zwischen Benutzern
    • End-to-End-QoS
  • Link-Bonding bietet mehr Bandbreite für schnellere Leistung
  • Hochverfügbarkeit (HA) mit nahtlosem Link-Failover und SD-WAN-Redundanz in Azure
  • Optimiertes VoIP-Erlebnis (Paketrennen für reduzierten Jitter und minimalen Paketverlust, QoS, lokaler Ausbruch für reduzierte Latenz)
  • Große Kosteneinsparungen und viel schneller und einfacher zu implementieren im Vergleich zu ExpressRoute

Voraussetzungen

Um diese neuen Fähigkeiten zu bewerten, müssen die folgenden Voraussetzungen eingehalten werden:

  1. Sie müssen über ein vorhandenes SD-WAN-Netzwerk mit der Citrix SD-WAN Orchestrator Service Orchestrator-Dienstberechtigung verfügen. Wenn Sie kein vorhandenes SD-WAN-Netzwerk haben, müssen Sie eines mit dem Citrix SD-WAN Orchestrator Serviceeinrichten. Weitere Informationen finden Sie unter Konfigurieren eines Master Control Node (MCN).

  2. Sie müssen über ein Abonnement für Citrix Virtual Apps and Desktops Standard for Azure verfügen.
  3. Derzeit ist diese Integrationsunterstützung nur für Kunden verfügbar. Wenn Sie ein Partner oder ein MSP sind und diesen Dienst ausprobieren müssen, müssen Sie Citrix Virtual Apps and Desktops Standard for Azure als Kunde abonnieren. Nur dann kann diese Integration aktiviert werden.
  4. Um SD-WAN-Funktionen (wie QoS für MSI, Anwendungssichtbarkeit) zu verwenden, muss der Network Location Service (NLS) für alle SD-WAN-Sites in Ihrem Netzwerk konfiguriert sein.
  5. Sie müssen einen DNS-Server und eine AD entweder dort einsetzen, wo die Client-Endpunkte vorhanden sind (zusammen in Ihrer Rechenzentrumsumgebung, die auch den MCN haben würde), oder Sie können auch Azure Active Directory (AAD) verwenden.
  6. Der DNS-Server muss in der Lage sein, sowohl interne (private) als auch externe (öffentliche) IPs aufzulösen.
  7. Stellen Sie sicher, dass der FQDN sdwan-location.citrixnetworkapi.net in der Firewall auf der Positivliste ist. Dies ist der FQDN für den Netzwerkstandortdienst, der für das Senden von Datenverkehr über den virtuellen SD-WAN entscheidend ist.

Eine Liste der Clouddienste, die in der Firewall auf die Whitelist gesetzt werden müssen, finden Sie unter Voraussetzungen für die Verwendung des Citrix SD-WAN Orchestrator Service.

Bereitstellungsarchitektur

Bereitstellung auf hohem Niveau

Jede Bereitstellung würde die folgenden Entitäten enthalten:

  • Ein lokaler Standort, der die SD-WAN-Appliance hostet, die entweder im Zweigstellenmodus oder als MCN bereitgestellt werden kann. Dieser Speicherort enthält die Client-Computer, Active Directory und DNS. Sie können jedoch auch die Verwendung von Azure DNS und AD wählen. In den meisten Szenarien dient der lokale Standort als On-Prem-Rechenzentrum und beherbergt den MCN.

  • Citrix Virtual Apps and Desktops Standard for Azure Clouddienst: Diese Entität bietet:

    • Die Benutzeroberfläche zum Aktivieren und Überwachen der SD-WAN-Konnektivität für Citrix Virtual Apps and Desktops Standard for Azure.
    • Erstellt SD-WAN-Instanzen virtueller Maschinen in Azure.
    • Verwaltet ihre Lebenszeit.
    • Bündelt SD-WAN-Instanzkosten mit Citrix Virtual Apps and Desktops Standard for Azure-Kosten für die Kundenabrechnung.
    • Konfiguriert die lokale Netzwerkumgebung (Subnetze, lokales Routing, Firewall-Regeln usw.) für SD-WAN-Instanzen.
    • Liefert SD-WAN-Instanzinformationen an den Citrix SD-WAN Orchestrator Service, um SD-WAN-Überwachungs- und andere Betriebsdaten bereitzustellen und zu nutzen.
  • Citrix SD-WAN Orchestrator Service: DerCitrix SD-WAN Orchestrator Service bietet die Benutzeroberfläche für die SD-WAN-Verwaltung:

    • Einschließlich der Verwaltung von Instanzen, die in Citrix Virtual Apps and Desktops Standard for Azure bereitgestellt werden.
    • Implementiert die anfängliche Bereitstellung für Citrix Virtual Apps and Desktops Standard für Azure SD-WAN-Instanzen.
    • Implementiert Einschränkungen für die SD-WAN-Instanzverwaltung, um die Konfiguration von Citrix Virtual Apps and Desktops Standard for Azure widerzuspiegeln.
    • Integriert in Citrix Virtual Apps and Desktops Standard for Azure, um SD-WAN-Überwachung und andere Betriebsdaten bereitzustellen und zu nutzen.
  • Virtuelle und physische SD-WAN-Appliances: Virtuelle und physische SD-WAN-Appliances werden als mehrere Instanzen innerhalb der Cloud (VMs), on-premises im Rechenzentrum und in den Zweigstellen (physische Appliances oder VMs) ausgeführt, um Konnektivität zwischen diesen Standorten und zum/vom öffentlichen Internet bereitzustellen.

    Die SD-WAN-Instanz im Citrix Virtual Apps and Desktops Standard for Azure-Abonnement wird vom Clouddienst Citrix Virtual Apps and Desktops Standard for Azure in Azure im Bereich Citrix Virtual Apps and Desktops Standard für Azure im Bereich Citrix Virtual Apps and Desktops Standard für Azure-Abonnement. SD-WAN-Appliances an anderen Standorten (DC und Niederlassungen) werden vom Kunden erstellt. Alle diese SD-WAN-Appliances werden (in Bezug auf Konfiguration und Software-Upgrades) von SD-WAN-Administratoren über den Citrix SD-WAN Orchestrator Service verwaltet.

  • Citrix Virtual Apps and Desktops Standard for Azure VDA, Connector - Verwendet den Citrix Virtual Apps and Desktops Standard for Azure SD-WAN-Appliance als Gateway zu allen Ressourcen außerhalb des Citrix Virtual Apps and Desktops Standard für Azure VNet, einschließlich lokaler Unternehmensressourcen, bestimmte Azure-Dienste und SaaS-Anwendungen im öffentlichen Internet.

User-Rollen

  1. Citrix Virtual Apps and Desktops Standard für Azure Administrator: Entscheidet sich für die Verwendung der SD-WAN-Konnektivität und ruft die erforderlichen Netzwerkinformationen vom SD-WAN-Administrator (oder einer anderen Netzwerkadministratorrolle) ab:

    • Startet die Konfiguration der SD-WAN-Konnektivität über Citrix Virtual Apps and Desktops Standard for Azure UI.
    • Sobald die SD-WAN-Konnektivität vollständig aktiviert ist, verwaltet Citrix Virtual Apps and Desktops Standard for Azure-Kataloge mithilfe der SD-WAN-Konnektivität.
    • Überwacht zusammen mit dem SD-WAN-Administrator die SD-WAN-Konnektivität und ergreift bei Bedarf weitere Maßnahmen.
  2. SD-WAN-Administrator: Stellt SD-WAN-Konfigurationsinformationen für Citrix Virtual Apps and Desktops Standard für Azure Administrator bereit:

  • Aktiviert SD-WAN-Instanzen in Citrix Virtual Apps and Desktops Standard for Azure, um die Konnektivität zu anderen Netzwerkelementen zu ermöglichen, und führt zusätzliche Konfigurationsaktivitäten durch.
  • Überwacht zusammen mit dem SD-WAN-Administrator die SD-WAN-Konnektivität und ergreift bei Bedarf zusätzliche Maßnahmen.

Interaktion zwischen verschiedenen Entitäten und Benutzerrollen innerhalb des Citrix Virtual Apps and Desktops Standard für Azure-SDWAN-Integration

Zugriffsverwaltung für SD-WAN Citrix Virtual Apps and Desktops Standard für Azure-Integration

  • Sowohl Citrix Virtual Apps and Desktops Standard for Azure als auch der Citrix SD-WAN Orchestrator Service verlassen sich auf Citrix Cloud IDAM, um Benutzer mit schreibgeschütztem oder Lese-/Schreibzugriff zu identifizieren.
  • Darüber hinaus kann der Citrix SD-WAN Orchestrator Service Benutzern ähnliche Zugriffsrechte ausschließlich innerhalb des Citrix SD-WAN Orchestrator Service zuweisen. Die beiden Autorisierungsmechanismen werden mit der OR-Logik kombiniert: Es reicht aus, Administratorzugriffsrechte entweder in Citrix Cloud oder im Citrix SD-WAN Orchestrator Service zu haben, um Zugriff auf die SD-WAN-Konfigurationsverwaltung zu erhalten.

Bereitstellung und Konfiguration

Typischer Einsatz und die beteiligten Entitäten

In einer typischen Bereitstellung hätte ein Kunde die Citrix SD-WAN Appliance (H/W oder VPX) als MCN in seinem Rechenzentrum/großen Büro bereitstellen lassen. Das Kundenrechenzentrum würde normalerweise lokale Benutzer und Ressourcen wie AD- und DNS-Server hosten. In einigen Szenarien kann der Kunde Azure Active Directory Directory-Dienste (AADS) und DNS verwenden, die beide von Citrix SD-WAN und Citrix Virtual Apps and Desktops Standard für die Azure-Integration unterstützt werden.

Im Rahmen des Citrix Managed Azure-Abonnements muss der Kunde die virtuelle Citrix SD-WAN Appliance und VDAs bereitstellen. Die SD-WAN-Appliances werden über den Citrix SD-WAN Orchestrator Service verwaltet. Zum Zweck dieser Integration wird die SD-WAN-Appliance innerhalb des Citrix Managed Azure-Abonnements jedoch über Citrix Virtual Apps and Desktops Standard for Azure UI/Workflow konfiguriert. Sobald die SD-WAN-Appliance konfiguriert wurde, stellt sie eine Verbindung zum vorhandenen Citrix SD-WAN-Netzwerk her, und weitere Aufgaben wie Konfiguration, Sichtbarkeit und Verwaltung werden über den Citrix SD-WAN Orchestrator Service ausgeführt. Sowohl der Citrix SD-WAN Orchestrator Service als auch Citrix Virtual Apps and Desktops Standard for Azure kommunizieren über APIs miteinander.

Die dritte Komponente dieser Integration ist der Netzwerkstandortdienst, der es internen Benutzern ermöglicht, das Gateway zu umgehen und sich direkt mit dem VDA zu verbinden, wodurch die Latenz für den internen Netzwerkverkehr reduziert wird. Für Phase 1 dieser Integration muss der Netzwerkstandortdienst manuell konfiguriert werden. Weitere Informationen finden Sie unter Network Location Service (NLS).

Konfiguration

  1. Nachdem Sie alle im Abschnitt Voraussetzungen hervorgehobenen Voraussetzungen erfüllt haben, ist das erste Element, das konfiguriert werden muss, das DNS. Dies muss im Citrix SD-WAN Orchestrator Service konfiguriert werden. Sie benötigen Administratorrechte, um DNS im Citrix SD-WAN Orchestrator Service zu konfigurieren. Um DNS zu konfigurieren, navigieren Sie in der Citrix SD-WAN Orchestrator Service Orchestrator-Dienst-GUI zu Konfiguration > App & DNS-Einstellungen > DNS-Server und klicken Sie auf +DNS-Server. Geben Sie das primäre und sekundäre DNS im folgenden Bildschirm ein.

    DNS-Server hinzufügen

    Wie im Abschnitt Bereitstellung und Konfiguration oben hervorgehoben, sind AD und DNS on-premises Standort vorhanden und fungieren als Rechenzentrum, und in einer Bereitstellung mit SD-WAN sind sie hinter dem SD-WAN im LAN-Netzwerk verfügbar. Es ist die AD/DNS-IP, die Sie hier konfigurieren müssen. Falls Sie Azure Active Directory -Service/DNS verwenden, konfigurieren Sie 168.63. 129,16 als DNS-IP.

    Wenn Sie ein lokal lokal verwendendes AD/DNS verwenden, überprüfen Sie, ob Sie die IP Ihres DNS von Ihrer SD-WAN-Appliance aus anpingen können. Sie können dies tun, indem Sie zu Problembehandlung > Diagnosenavigieren. Aktivieren Sie das Kontrollkästchen gegen Ping im folgenden Bildschirm und initiieren Sie einen Ping von der LAN-Schnittstelle/Standardschnittstelle der SD-WAN-Appliance an die IP Ihres AD/DNS.

    Standard LAN-Schnittstelle

    Wenn der Ping erfolgreich ist, bedeutet dies, dass Ihre AD/DNS erfolgreich erreicht werden können. Wenn nicht, liegt ein Routingproblem in Ihrem Netzwerk vor, das die Erreichbarkeit Ihrer AD/DNS verhindert. Versuchen Sie, wenn möglich, Ihre AD- und SD-WAN-Appliance auf demselben LAN-Segment zu hosten. Falls es immer noch ein Problem gibt, wenden Sie sich an Ihren Netzwerkadministrator. Ohne erfolgreichen Abschluss dieses Schritts ist der Schritt zur Katalogerstellung nicht erfolgreich und Sie erhalten wahrscheinlich eine Fehlermeldung, die besagt, dass die globale DNS-IP nicht konfiguriert ist.

    Hinweis Stellen Sie

    sicher, dass das DNS sowohl interne als auch externe IPs auflösen kann.

  2. Melden Sie sich bei der Citrix Virtual Apps and Desktops Standard for Azure-Benutzeroberfläche an. Sie können den folgenden Bildschirm ansehen:

    Anmeldebildschirm „Citrix Virtual Apps and Desktops Standard for Azure“

    Klicken Sie auf Netzwerkverbindungen, um eine Netzwerkverbindung zwischen Ihren lokalen Ressourcen und dem Citrix Virtual Apps and Desktops Standard for Azure-Abonnement herzustellen. Klicken Sie auf + Verbindung hinzufügen.

    Verbindung hinzufügen

    Die SD-WAN-Option ist nur aktiviert, wenn Sie die folgenden Anforderungen erfüllen:

    • Sie müssen über ein vorhandenes SD-WAN-Netzwerk mit der Citrix SD-WAN Orchestrator Service Orchestrator-Dienstberechtigung verfügen. Wenn Sie kein vorhandenes SD-WAN-Netzwerk haben, richten Sie eines mit dem Citrix SD-WAN Orchestrator Serviceein. Weitere Informationen finden Sie unter Konfigurieren eines Master Control Node (MCN).

    • Sie müssen über ein Abonnement für Citrix Virtual Apps and Desktops Standard for Azure verfügen.

    • Derzeit ist diese Integrationsunterstützung nur für Kunden verfügbar. Wenn Sie ein Partner oder ein MSP sind und diesen Dienst ausprobieren müssen, müssen Sie als Kunde Citrix Virtual Apps and Desktops Standard for Azure abonnieren. Nur dann kann diese Integration aktiviert werden. Andernfalls bleibt diese Option deaktiviert.

    Wenn Sie diese Integration ausprobieren möchten und Testzugriff für den Citrix SD-WAN Orchestrator Service benötigen, fordern Sie eine Testversion an, indem Sie citrix.cloud.com oder sdwan.cloud.com besuchen.

  3. Wenn Sie die in den Voraussetzungen hervorgehobenen Bedingungen erfüllt haben, klicken Sie auf die Registerkarte SD-WAN, um den gesamten Workflow anzuzeigen:

    Gesamter Workflow

  4. Geben Sie die folgenden Details ein, um das SD-WAN zu konfigurieren:

    • Bereitstellungsmodus: Es werden zwei Optionen für den Bereitstellungsmodus angezeigt: Eigenständig und Hochverfügbarkeit.

      • Standalone: Der Bereitstellungsmodus für SD-WAN kann entweder eigenständig sein, wobei eine einzelne SD-WAN-Instanz bereitgestellt wird. Wenn die SD-WAN-Instanz aufgrund eines Problems mit der SD-WAN-Firmware oder der zugrunde liegenden Azure Infra ausfällt, können Sie die Ressourcen, die hinter der SD-WAN-Instanz in Azure bereitgestellt werden, nicht erreichen. Mit anderen Worten, die Instanz verhält sich im Modus “Blockieren”.

      • Hochverfügbarkeit: Um sich vor Softwarefehlern der SD-WAN-Instanz zu schützen, können Sie die Instanz im Hochverfügbarkeitsmodus bereitstellen, der zwei SD-WAN-Instanzen im aktiven Standby-Modus bereitstellt. Citrix empfiehlt, Instanzen im Hochverfügbarkeitsmodus für Produktionsnetzwerke bereitzustellen.

    • SD-WAN-Site-Nameneingeben: Geben Sie den Site-Namen ein, um eine Site in Ihrem SD-WAN-Netzwerk zu identifizieren. Stellen Sie sicher, dass der von Ihnen gewählte Name eindeutig und leicht abrufbar ist.

    • Durchsatz und Anzahl der Büros: Derzeit wird nur die Option D3_V2 unterstützt. D3_V2 unterstützt einen Durchsatz von bis zu 200 Mbit/s und kann eine direkte Konnektivität zu 16 Standorten herstellen. Die Verbindungen, die nicht direkt sind, laufen über den MCN.

    • Region: Wählen Sie die Azure-Region aus, in der Sie die SD-WAN-Instanz bereitstellen möchten. Dies muss dieselbe Region sein, in der Sie Ihre Citrix Virtual Apps and Desktops Standard for Azure-Ressourcen bereitstellen möchten.

    • VDA-Subnetz: Das VDA-Subnetz ist das Subnetz, in dem Sie Ihren VDA und andere Citrix Virtual Apps and Desktops Standard for Azure-Ressourcen in Azure bereitstellen möchten.

    • SD-WAN-Subnetz: Das SD-WAN-Subnetz ist das Subnetz, in dem Sie Ihre SD-WAN-Appliance (en) bereitstellen möchten.

    Hinweis:

    Diese Integration unterstützt nur Kataloge, die einer Domäne beigetreten sind. Nicht zur Domäne gehörende Kataloge werden derzeit nicht unterstützt.

  5. Sobald Sie alle im vorherigen Schritt angeforderten Informationen bereitgestellt haben, erfolgt die Provisioning und Bereitstellung und es dauert etwa 20 Minuten, bis der Prozess abgeschlossen ist. Während dieser Zeit finden hinter den Kulissen folgende Schritte statt:

    • Eine virtuelle SD-WAN-Appliance (VPX) wird in Azure basierend auf der von Ihnen gewählten Konfiguration bereitgestellt. Sobald die Provisioning erfolgreich ist, erstellt der SD-WAN VPX das gewählte CPU- und Speicherprofil zusammen mit der im vorherigen Schritt bereitgestellten Netzwerkkonfiguration.

    • Sobald die Bereitstellung erfolgreich ist, wendet sich die VPX-Appliance über das öffentliche Internet an den Citrix SD-WAN Orchestrator Service, um das Konfigurationspaket anzufordern.

    Zusammenfassung der SD-WAN-Branche

  6. Sobald der SD-WAN-Zweig konfiguriert ist, können Sie die Konfigurationsdetails anzeigen.

    Einzelheiten zur Konfiguration

  7. Sobald die Instanz bereitgestellt wurde, sehen Sie den folgenden Bildschirm. Zu diesem Zeitpunkt muss sich der Netzwerkadministrator beim Citrix SD-WAN Orchestrator Service anmelden, um das Hinzufügen der SD-WAN VPX-Appliance zum Netzwerk zu ermöglichen.

    Bereitgestellte Instanz

  8. Der Netzwerkadministrator muss sich beim Citrix SD-WAN Orchestrator Service anmelden und zur Homepage der Netzwerkkonfiguration navigieren, auf der Sie eine Zeile für die SD-WAN-Site in Citrix Virtual Apps and Desktops Standard for Azure sehen können.

    Einzelposten für SD-WAN-Site

  9. Der Netzwerkadministrator muss die Sites in diesem Stadium bereitstellen. Klicken Sie auf die Bereitstellungskonfiguration/Software für die Bereitstellung.

    Bereitstellen von Konfiguration oder Software

  10. Sobald der Schritt „Konfiguration/Software bereitstellen “ erfolgreich ist, können Sie sehen, dass sich der Status auf dem Bildschirm „Citrix Virtual Apps and Desktops Standard for Azure“ ändert. Sie können jetzt Kataloge mit SD-WAN erstellen.

Netzwerkstandort-Service

Mit dem Dienst Network Location in Citrix Cloud können Sie den internen Datenverkehr zu den Apps und Desktops optimieren, die Sie den Arbeitsbereichen der Abonnenten zur Verfügung stellen, um HDX-Sitzungen schneller zu machen.

Benutzer in internen und externen Netzwerken müssen über ein externes Gateway eine Verbindung mit VDAs herstellen. Während dies für externe Benutzer zu erwarten ist, können sich interne Benutzer dadurch langsamer mit virtuellen Ressourcen verbinden. Der Network Location-Dienst ermöglicht es internen Benutzern, das Gateway zu Bypass und sich direkt mit den VDAs zu verbinden, wodurch die Latenz für den internen Netzwerkverkehr reduziert wird.

Konfiguration

Zum Einrichten des Netzwerkstandortdienstes konfigurieren Sie Netzwerkstandorte, die den VDAs in Ihrer Umgebung entsprechen, mithilfe des von Citrix bereitgestellten PowerShell-Moduls für den Netzwerkstandortdienst . Zu diesen Netzwerkstandorten gehören die öffentlichen IP-Bereiche der Netzwerke, von denen Ihre internen Benutzer eine Verbindung herstellen.

Wenn Abonnenten Citrix Virtual Apps and Desktops Standard for Azure-Sitzungen von ihrem Workspace aus starten, erkennt Citrix Cloud anhand der öffentlichen IP-Adresse des Netzwerks, von dem aus sie eine Verbindung herstellen, ob Abonnenten intern oder extern im Unternehmensnetzwerk sind.

  • Wenn ein Abonnent sich über das interne Netzwerk verbindet, leitet Citrix Cloud die Verbindung direkt an den VDA weiter und umgeht Citrix Gateway.

  • Wenn ein Abonnent eine externe Verbindung herstellt, leitet Citrix Cloud den Abonnenten erwartungsgemäß über Citrix Gateway und dann an den VDA im internen Netzwerk.

Hinweis:

Die öffentliche IP, die im Netzwerkstandortdienst konfiguriert werden muss, muss die öffentliche IP sein, die den WAN-Verbindungen zugewiesen ist.

Öffentliche IP, die der SD-WAN-Appliance zugewiesen ist

Die öffentliche IP, die in NLS konfiguriert werden muss, muss die WAN-Link-IPs aller Links sein, die zum Senden von Datenverkehr über den virtuellen Pfad verwendet werden. Sie finden diese Informationen, indem Sie zu Site > Berichte > Echtzeit > Statistiken > Zugriffsschnittstellennavigieren.

Öffentliche IP

SD-WAN-Konfiguration für Citrix Virtual Apps and Desktops Standard für Azure-Integration