Citrix SD-WAN

Konfigurationshandbuch für Citrix Virtual Apps and Desktops s-Workloads

Citrix SD-WAN ist eine WAN-Edge-Lösung der nächsten Generation, die die digitale Transformation mit flexibler, automatisierter, sicherer Konnektivität und Leistung für SaaS-, Cloud- und virtuelle Anwendungen beschleunigt, um eine stets aktive Workspace Erfahrung zu gewährleisten.

Citrix SD-WAN ist die empfohlene und beste Möglichkeit für Unternehmen, die den Citrix Virtual Apps and Desktops Service verwenden, eine Verbindung zu Workloads von Citrix Virtual Apps and Desktops in der Cloud herzustellen. Weitere Informationen finden Sie unter Citrix Blog.

Dieses Dokument konzentriert sich auf die Konfiguration von Citrix SD-WAN für die Konnektivität zu/von Citrix Virtual Apps and Desktops Workloads auf Azure.

Vorteile

  • Einfache Einrichtung von SD-WAN in Citrix Virtual Apps and Desktops über einen geführten Workflow
  • Ständig eingeschaltete, leistungsstarke Konnektivität durch fortschrittliche SD-WAN-Technologien
  • Vorteile über alle Verbindungen hinweg (VDA-zu-DC, Benutzer-zu-VDA, VDA-zu-Cloud, Benutzer-zu-Cloud)
  • Reduziert die Latenz im Vergleich zum Backhauling-Datenverkehr zum Rechenzentrum
  • Verkehrsmanagement zur Sicherstellung der Quality of Service (QoS)
    • QoS über HDX/ICA-Datenverkehrsströme (HDX AutoQoS mit einem Port)
    • QoS zwischen HDX und anderem Datenverkehr
    • HDX QoS Fairness zwischen Benutzern
    • End-to-End-QoS
  • Link-Bonding bietet mehr Bandbreite für schnellere Leistung
  • Hohe Verfügbarkeit mit nahtlosem Link-Failover und SD-WAN-Redundanz in Azure
  • Optimiertes VoIP-Erlebnis (Paketrennen für reduzierten Jitter und minimalen Paketverlust, QoS, lokaler Ausbruch für reduzierte Latenz)
  • Größere Kosteneinsparungen und müssen im Vergleich zu Azure ExpressRoute schneller und einfacher bereitgestellt werden

Voraussetzungen

Befolgen Sie die folgenden Voraussetzungen, um die Workload-Funktionen von Citrix Virtual Apps and Desktops zu bewerten und bereitzustellen:

  • Sie müssen entweder über ein vorhandenes SD-WAN-Netzwerk verfügen oder ein neues erstellen.
  • Sie müssen ein Abonnement für Citrix Virtual Apps and Desktops Service haben.
  • Um SD-WAN-Funktionen wie Multistream-HDX-AutoQoS und tiefe Sichtbarkeit nutzen zu können, muss der Network Location Service (NLS) für alle SD-WAN-Sites in Ihrem Netzwerk konfiguriert sein.
  • Sie müssen einen DNS-Server und AD bereitstellen, auf dem die Clientendpunkte vorhanden sind (häufig in Ihrer Rechenzentrumsumgebung), oder Sie können Azure Active Directory (AAD) verwenden.
  • Der DNS-Server muss in der Lage sein, sowohl interne (private) als auch externe (öffentliche) IPs aufzulösen.
  • Stellen Sie sicher, dass der FQDN (sdwan-location.citrixnetworkapi.net) der Zulassungsliste in der Firewall hinzugefügt wird. Dies ist der FQDN für den Netzwerkstandortdienst, der für das Senden von Datenverkehr über den virtuellen SD-WAN-Pfad von entscheidender Bedeutung ist. Eine bessere Möglichkeit, wenn Sie mit Positivlisten von Wildcard-FQDNs vertraut sind, wäre es auch möglich *.citrixnetworkapi.net zur zulässigen Liste hinzuzufügen, da dies die Subdomain für andere Citrix Cloud-Dienste wie Zero-Touch-Provisioning ist.
  • Melden Sie sich bei sdwan.cloud.com an, um den SD-WAN Orchestrator für die Verwaltung Ihres SD-WAN-Netzwerks zu verwenden. SD-WAN Orchestrator ist eine auf Citrix Cloud basierende Multitenant-Verwaltungsplattform für Citrix SD-WAN.

Bereitstellungsarchitektur

Bereitstellungsarchitektur

Die folgenden Entitäten sind für die Bereitstellung erforderlich:

  • Ein on-premises Standort, der die SD-WAN-Appliance hostet, die entweder im Zweigstellenmodus oder als MCN (Master Control Node) bereitgestellt werden kann. Der Zweigmodus oder MCN enthält die Clientcomputer, das Active Directory und DNS. Sie können jedoch auch die Verwendung von Azure DNS und AD wählen. In den meisten Szenarien dient der lokale Standort als Rechenzentrum und beherbergt das MCN.

  • Cloud-Service für Citrix Virtual Apps and Desktops — Citrix Virtual Apps and Desktops bietet Virtualisierungslösungen, die der IT die Kontrolle über virtuelle Maschinen, Anwendungen und Sicherheit ermöglichen und überall Zugriff für jedes Gerät bieten. Endbenutzer können Anwendungen und Desktops unabhängig vom Betriebssystem und der Benutzeroberfläche des Geräts verwenden.

    Mit dem Citrix Virtual Apps and Desktops s-Dienst können Sie sichere virtuelle Apps und Desktops auf jedem Gerät bereitstellen und den Großteil der Produktinstallation, Setup, Konfiguration, Upgrades und Überwachung von Citrix überlassen. Sie behalten die vollständige Kontrolle über Anwendungen, Richtlinien und Benutzer und bieten auf jedem Gerät die beste Benutzererfahrung.

  • Citrix Connector/Cloud Connector - Sie verbinden Ihre Ressourcen über Citrix Cloud Connector mit dem Service, der als Kanal für die Kommunikation zwischen Citrix Cloud und Ihren Ressourcenstandorten dient. Mit Cloud Connector kann die Cloud ohne komplexe Netzwerk- oder Infrastrukturkonfiguration (VPNs, IPsec-Tunnel o. Ä.) verwaltet werden. Ressourcenstandorte enthalten die Maschinen und andere Ressourcen, die Anwendungen und Desktops für Ihre Abonnenten bereitstellen.

  • SD-WAN Orchestrator — Citrix SD-WAN Orchestrator ist ein Cloud-gehosteter Multitenant-Management-Service, der Do It Yourself Unternehmen und Citrix Partnern zur Verfügung steht. Citrix Partner können SD-WAN Orchestrator verwenden, um mehrere Kunden mit einem einzigen Fensterbereich und geeigneten rollenbasierten Zugriffskontrollen zu verwalten.

  • Virtuelle und physische SD-WAN-Appliances — Dies läuft als mehrere Instanzen in der Cloud (VMs) und on-premises im Rechenzentrum und in den Zweigstellen (physische Geräte oder VMs), um Konnektivität zwischen diesen Standorten und zum/vom öffentlichen Internet bereitzustellen. Die SD-WAN-Instanz in Citrix Virtual Apps and Desktops wird als eine oder eine Reihe virtueller Appliances (im Falle einer HA-Bereitstellung) erstellt, indem diese Instanzen über Azure Marketplace Provisioning werden. SD-WAN-Appliances an anderen Standorten (DC und Niederlassungen) werden vom Kunden erstellt. Alle diese SD-WAN-Appliances werden (in Bezug auf Konfiguration und Software-Upgrades) von SD-WAN-Administratoren über SD-WAN Orchestrator verwaltet.

Bereitstellung und Konfiguration

Bereitstellung und Konfiguration

In einer gemeinsamen Bereitstellung würde ein Kunde die Citrix SD-WAN Appliance (H/W oder VPX) als MCN in seinem DC/Large Office bereitstellen. Der Kunden-DC würde normalerweise lokale Benutzer und Ressourcen wie AD- und DNS-Server hosten. In einigen Szenarien kann der Kunde Azure Active Directory Dienste (AADS) und DNS nutzen, die beide von der Citrix SD-WAN - und CMD-Integration unterstützt werden.

Innerhalb des vom Kunden verwalteten Azure-Abonnements muss der Kunde die virtuelle Citrix SD-WAN Appliance und die VDAs bereitstellen. Die SD-WAN-Appliances werden über SD-WAN Orchestrator verwaltet. Sobald die SD-WAN-Appliance konfiguriert wurde, stellt sie eine Verbindung zum vorhandenen Citrix SD-WAN Netzwerk her. Weitere Aufgaben wie Konfiguration, Transparenz und Verwaltung werden über SD-WAN Orchestrator erledigt.

Die dritte Komponente dieser Integration ist der Network Location Service (NLS), der es internen Benutzern ermöglicht, das Gateway zu Bypass und sich direkt mit den VDAs zu verbinden, wodurch die Latenz für den internen Netzwerkverkehr reduziert wird. Sie können NLS manuell oder über Citrix SD-WAN Orchestrator konfigurieren. Weitere Informationen finden Sie unter NLS.

Konfiguration

Die Citrix SD-WAN VM wird in einer bestimmten Region bereitgestellt (je nach Kundenwunsch) und kann über MPLS, Internet oder 4G/LTE mit mehreren Zweigstellen verbunden werden. Innerhalb einer VNET (Virtual Network) -Infrastruktur wird die SD-WAN Standard Edition (SE) -VM im Gateway Modus bereitgestellt. Das VNET verfügt über Routen zum Azure-Gateway. Die SD-WAN-Instanz verfügt über eine Route zum Azure-Gateway für die Internetverbindung. Diese Route muss manuell erstellt werden.

  1. Navigieren Sie in einem Webbrowser zu Azure-Portal. Melden Sie sich bei Microsoft Azure-Konto an und suchen Sie nach Citrix SD-WAN Standard Edition.

  2. Wählen Sie in den Suchergebnissen die Citrix SD-WAN Standard Edition-Lösung aus. Klicken Sie auf Erstellen, nachdem Sie die Beschreibung durchlaufen und sichergestellt haben, dass die gewählte Lösung korrekt ist.

    Azure-Suchoption

    Klicken Sie auf Erstellen, einen Assistenten, der mit den erforderlichen Details zum Erstellen der virtuellen Maschine auffordert.

  3. Wählen Sie auf der Seite Grundeinstellungen die Ressourcengruppe aus, in der Sie die SD-WAN SE-Lösung bereitstellen möchten.

    Eine Ressourcengruppe ist ein Container, der zugehörige Ressourcen für eine Azure-Lösung enthält. Die Ressourcengruppe kann alle Ressourcen für die Lösung oder nur die Ressourcen enthalten, die Sie als Gruppe verwalten möchten. Sie können auf der Grundlage Ihrer Bereitstellung festlegen, wie Ressourcen Ressourcengruppen zugewiesen werden sollen.

    Für Citrix SD-WAN wird empfohlen, dass die ausgewählte Ressourcengruppe leer sein muss. Wählen Sie in ähnlicher Weise die Azure-Region aus, in der Sie die SD-WAN-Instanz bereitstellen möchten. Die Region muss mit der Region identisch sein, in der Ihre Citrix Virtual Apps and Desktops Ressourcen bereitgestellt werden.

    Azure-Grundeinstellungen

  4. Geben Sie auf der Seite Administratoreinstellungen einen Namen für die virtuelle Maschine an. Wählen Sie einen Benutzernamen und ein sicheres Kennwort. Das Kennwort muss aus einem Großbuchstaben und einem Sonderzeichen bestehen und aus mehr als neun Zeichen bestehen. Klicken Sie auf OK.

    Dieses Kennwort ist erforderlich, um sich als Gastbenutzer an der Verwaltungsoberfläche der Instanz anzumelden. Um Admin-Zugriff auf die Instanz zu erhalten, verwenden Sie admin als Benutzernamen und das Kennwort, das während der Provisioning der Instanz erstellt wurde. Wenn Sie den Benutzernamen verwenden, der während der Provisioning der Instanz erstellt wurde, erhalten Sie schreibgeschützten Zugriff. Wählen Sie hier auch den Bereitstellungstyp aus.

    Wenn Sie eine einzelne Instanz bereitstellen möchten, stellen Sie sicher, dass Sie deaktiviert über die Option HA-Bereitstellungsmodus wählen, andernfalls die Auswahl aktiviert ist. Für Produktionsnetzwerke empfiehlt Citrix immer die Bereitstellung von Instanzen im HA-Modus, da das Netzwerk vor Ausfällen der Instanz geschützt wird.

    Azure-Administratoreinstellungen

  5. Wählen Sie auf der SD-WAN-Einstellungsseite die Instanz aus, in der Sie das Image ausführen möchten. Wählen Sie den folgenden Instanz-Typ gemäß Ihrer Anforderung:

    • Instanztyp D3_V2 für maximalen unidirektionalen Durchsatz von 200 Mbit/s mit direkter Konnektivität zu maximal 16 Zweigen.
    • Instanztyp D4_V2 für maximalen unidirektionalen Durchsatz von 500 Mbit/s mit direkter Konnektivität zu maximal 16 Zweigen.
    • Instanztyp F8 Standard für maximalen unidirektionalen Durchsatz von 1 Gbit/s mit direkter Konnektivität zu maximal 64 Zweigen.
    • Instanztyp F16 Standard für maximalen unidirektionalen Durchsatz von 1 Gbit/s mit direkter Konnektivität zu maximal 128 Zweigen.

    Azure SD-WAN-Einstellungen

  6. Erstellen Sie ein neues virtuelles Netzwerk (VNet) oder verwenden Sie ein vorhandenes VNet. Dies ist der wichtigste Schritt für die Bereitstellung, da in diesem Schritt die Subnetze ausgewählt werden, die den Schnittstellen der SD-WAN VPX-VM zugewiesen werden sollen.

    Azure VNet

    Das Aux-Subnetz wird nur benötigt, wenn Sie die Instanzen im HA-Modus bereitstellen. Stellen Sie sicher, dass die SD-WAN-Instanz im selben VNet wie Ihre Citrix Virtual Apps and Desktops-Ressourcen bereitgestellt wird und sich im selben Subnetz wie die LAN-Schnittstelle der SD-WAN VPX-Appliance befindet.

    Azure-Subnetz

  7. Überprüfen Sie die Konfiguration auf der Zusammenfassungsseite und klicken Sie auf OK.

    Azure-Zusammenfassung

  8. Klicken Sie auf der Seite Kaufen auf Erstellen, um den Bereitstellungsprozess für die Instanzen zu starten. Es kann etwa 10 Minuten dauern, bis die Instanz bereitgestellt wird. Sie erhalten eine Benachrichtigung im Azure-Verwaltungsportal, in der der Erfolg/Fehler bei der Instanzerstellung vorgeschlagen wird.

    Azure kauft

    Nachdem die Instanz erfolgreich erstellt wurde, rufen Sie die öffentliche IP ab, die der Verwaltungsschnittstelle der SD-WAN-Instanz zugewiesen ist. Sie finden sie unter dem Netzwerkabschnitt der Ressourcengruppe, in der die Instanz bereitgestellt wurde. Nach dem Abrufen können Sie es verwenden, um sich bei der Instanz anzumelden.

    Hinweis

    Für den Admin-Zugriff lautet der Benutzername admin und das Kennwort, das Sie während der Instanzerstellung festgelegt haben.

  9. Sobald die Site bereitgestellt wurde, melden Sie sich bei SD-WAN Orchestrator an, um sie zu konfigurieren. Wie in den Voraussetzungen erwähnt, müssen Sie über die Berechtigung für SD-WAN Orchestrator verfügen, um die Site zu konfigurieren. Wenn Sie es noch nicht haben, lesen Sie weiter Onboarding von Citrix SD-WAN Orchestrator.

  10. Wenn Sie bereits über ein SD-WAN-Netzwerk verfügen, fahren Sie mit der Erstellung der Konfiguration für die Site fort, die Sie in Azure bereitgestellt haben. Andernfalls müssen Sie ein MCN erstellen. Weitere Informationen finden Sie unter Netzwerkkonfiguration.

  11. Sobald Sie Zugriff auf SD-WAN Orchestrator haben und bereits einen MCN eingerichtet haben, melden Sie sich bei SD-WAN Orchestrator an und klicken Sie auf +Neue Site, um mit der Konfiguration der SD-WAN VPX Appliance zu beginnen (die Sie in Azure bereitgestellt haben).

    Neue Azure-Site

  12. Geben Sie einen eindeutigen Site-Namen an, und geben Sie die Adresse basierend auf der Region ein, in der Sie das Image Provisioning. Informationen zum Einrichten der Instanz in Azure finden Sie unter Grundeinstellungen.

    Hinweis

    Um die Seriennummer der Instance in Azure abzurufen, melden Sie sich über die Public Management IP bei der Instance an. Sie können die Seriennummer auf dem Dashboard-Bildschirm sehen. Wenn Sie Instanzen in HA konfigurieren, müssen beide Seriennummern erfasst werden. Stellen Sie außerdem beim Konfigurieren der Instanz sicher, dass die Schnittstellen als Vertrauenswürdig ausgewählt werden.

  13. Zum Abrufen der IP-Adressen, die mit LAN- und WAN-Schnittstellen in Azure verknüpft sind. Navigieren Sie zum Azure-Portal > Ressourcengruppen > Ressourcengruppe, in der das SD-WAN bereitgestellt wird > SD-WAN VM > Networking.

    Azure SD-WAN bereitgestellt

  14. Sobald Sie mit der Konfiguration der Instanz fertig sind. Klicken Sie auf Config/Software bereitstellen, indem Sie zu Konfiguration > Netzwerkkonfiguration Homenavigieren.

    Azure stellt Konfigurationssoftware bereit

  15. Wenn es keine Probleme gibt und die Konfiguration korrekt ist, müssen Sie die virtuellen Pfade zwischen der Instanz in Azure und Ihrem MCN haben, sobald die Konfigurationsbereitstellung ausgeführt wurde.

Konfiguration von Citrix Virtual Apps and Desktops

Wie im Bereitstellung und Konfiguration Abschnitt hervorgehoben, ist das AD/DNS on-premises Standort vorhanden und fungiert als DC und in einer Bereitstellung mit SD-WAN, die hinter dem SD-WAN im LAN-Netzwerk angezeigt wird. Es ist die IP-Adresse Ihres AD/DNS, die Sie hier konfigurieren müssen. Falls Sie Azure Active Directory-Service/DNS verwenden, konfigurieren Sie 168.63.129.16 als DNS-IP.

Wenn Sie eine lokale AD/DNS verwenden, überprüfen Sie, ob Sie in der Lage sind, die IP-Adresse Ihres DNS von Ihrer SD-WAN-Appliance aus zu pingen. Sie können dies tun, indem Sie zu Problembehandlung > Diagnosenavigieren. Aktivieren Sie das Kontrollkästchen Ping und initiieren Sie einen Ping von der LAN-Schnittstelle/Standardschnittstelle der SD-WAN-Appliance zur IP Ihrer AD/DNS.

Azure Ping

Wenn der Ping erfolgreich ist, bedeutet dies, dass Ihr AD/DNS erfolgreich erreicht werden kann. Wenn nicht, bedeutet dies, dass es ein Routing-Problem in Ihrem Netzwerk gibt, das die Erreichbarkeit Ihres AD/DNS verhindert. Versuchen Sie, wenn möglich, Ihre AD- und SD-WAN-Appliance auf demselben LAN-Segment zu hosten.

Falls es immer noch ein Problem gibt, wenden Sie sich an Ihren Netzwerkadministrator. Ohne diesen Schritt erfolgreich abzuschließen, wird der Schritt zur Katalogerstellung nicht erfolgreich sein und Sie erhalten eine Fehlermeldung, da Global DNS IP nicht konfiguriert ist.

Hinweis Stellen Sie

sicher, dass das DNS sowohl interne als auch externe IPs auflösen kann.

Netzwerkstandort-Service

Mit dem Dienst Network Location in Citrix Cloud können Sie den internen Datenverkehr zu den Apps und Desktops optimieren, die Sie den Arbeitsbereichen der Abonnenten zur Verfügung stellen, um HDX-Sitzungen schneller zu machen. Benutzer in internen und externen Netzwerken müssen über ein externes Gateway eine Verbindung mit VDAs herstellen. Während dies für externe Benutzer zu erwarten ist, können sich interne Benutzer dadurch langsamer mit virtuellen Ressourcen verbinden. Der Network Location-Dienst ermöglicht es internen Benutzern, das Gateway zu Bypass und sich direkt mit den VDAs zu verbinden, wodurch die Latenz für den internen Netzwerkverkehr reduziert wird.

Konfiguration

Verwenden Sie eine der folgenden Methoden, um den Network Location-Dienst einzurichten:

  • Citrix SD-WAN Orchestrator: Detaillierte Informationen zur Konfiguration von NLS mit Citrix SD-WAN Orchestrator finden Sie unter Netzwerkstandort-Service.
  • PowerShell-Modul für den Netzwerkstandortdienst, das Citrix bereitstellt: Detaillierte Informationen zur Konfiguration von NLS mit dem PowerShell-Modul finden Sie unter PowerShell-Modul und -Konfiguration.

Die Netzwerkstandorte teilen sich die öffentlichen IP-Bereiche der Netzwerke, von denen Ihre internen Benutzer eine Verbindung herstellen. Wenn Abonnenten Virtual Apps and Desktops-Sitzungen über ihren Workspace starten, erkennt Citrix Cloud anhand der öffentlichen IP-Adresse des Netzwerks, von dem aus sie eine Verbindung herstellen, ob Abonnenten intern oder außerhalb des Unternehmensnetzwerks sind.

Wenn ein Abonnent sich über das interne Netzwerk verbindet, leitet Citrix Cloud die Verbindung direkt an den VDA weiter und umgeht Citrix Gateway. Wenn ein Abonnent eine externe Verbindung herstellt, leitet Citrix Cloud den Abonnenten erwartungsgemäß über Citrix Gateway und dann an den VDA im internen Netzwerk.

HINWEIS

Die öffentliche IP, die im Netzwerkstandortdienst konfiguriert werden muss, muss die öffentliche IP sein, die den WAN-Verbindungen zugewiesen ist.

Konfigurationshandbuch für Citrix Virtual Apps and Desktops s-Workloads