Referenzarchitektur: Citrix DaaS — GCP-Architektur mit dem Managed Service für Microsoft Active Directory für CSPs

Einführung

In diesem Dokument werden Entwurfs- und Architekturanleitungen für Citrix Service Provider (CSPs) bereitgestellt, die die Google Cloud Platform (GCP) als Citrix DaaS-Ressourcenstandort mit dem Managed Service für Microsoft Active Directory verwenden möchten.

Dieses Dokument enthält keine Schritt-für-Schritt-Anleitung zur Bereitstellung von Citrix DaaS für CSPs. Es setzt ein Verständnis der Referenzarchitektur für Virtual Apps and Desktops des CSP voraus, die detaillierte Überlegungen zum Entwurf und zur Bereitstellung einer Citrix DaaS-Umgebung für CSPs bietet.

Detaillierte Anleitungen zu Citrix DaaS auf GCP finden Sie im Solution Hub for Citrix DaaS in Google Cloud.

Wir beginnen dieses Dokument, indem wir die gängigsten GCP-Elemente überprüfen, die Sie verstehen müssen, um dieses Dokument bequem zu nutzen. Google hat seine eigenen Möglichkeiten geschaffen, Komponenten in GCP zu benennen und zu organisieren. Daher ist es für ein erfolgreiches Design und eine erfolgreiche Bereitstellung von entscheidender Bedeutung, sie zu verstehen.

Als Nächstes überprüfen wir die Details des Managed AD-Dienstes, seine Ähnlichkeiten und Unterschiede mit dem traditionellen Microsoft Active Directory und die Bereitstellungsmodelle, die Sie als CSP zur Bereitstellung Ihrer von GCP verwalteten Ressourcenstandorte verwenden können.

Schließlich behandeln wir die Schritte, die zur Bereitstellung einer Managed AD Service-Domain in GCP erforderlich sind.

Terminologie

Während mehrere Dienste eine ähnliche Funktionalität für die verschiedenen Public Cloud-Anbieter bieten, kann die Terminologie unterschiedlich sein. Im Folgenden sind die gebräuchlichsten GCP-Elemente aufgeführt, die Sie verstehen müssen, wenn Sie diese Referenzarchitektur verfolgen, wie in der GCP-Dokumentation beschrieben.

  • VPC-Netzwerk: Das virtuelle Netzwerkobjekt von GCP. Virtual Private Cloud-Netzwerke (VPCs) in GCP sind global, was bedeutet, dass Sie Subnetze aus jeder GCP-Region in einer VPC bereitstellen können. Sie können VPCs im Auto-Modus bereitstellen, der alle Subnetze und CIDR-Bereiche automatisch oder im benutzerdefinierten Modus erstellt, mit dem Sie Subnetze und CIDR-Bereiche manuell erstellen können. Nicht überlappende VPCs aus verschiedenen Projekten können über VPC-Peering verbunden werden.
  • VPC Peering: Mit einem VPC-Peering können Sie VPCs anschließen, die sonst getrennt würden. In diesem Fall erstellt der GCP Managed AD Service automatisch ein VPC-Peering, um unsere VPC mit der Managed AD Service VPC zu verbinden.
  • Gemeinsame VPC: Eine gemeinsam genutzte VPC kann über mehrere Projekte verteilt werden, wodurch die Notwendigkeit, separate VPCs für jedes Projekt zu erstellen, oder die Nutzung von VPC-Peering entfällt.
  • GCP-Organisation: Eine Organisation repräsentiert den Wurzelknoten in der GCP-Ressourcenhierarchie. Um eine Organisation zu erstellen, sind GCP Cloud Identity oder Google Workspace (ehemals G-Suite) erforderlich. Eine Organisation ist nicht erforderlich, es wird jedoch dringend empfohlen, eine für Ihre Produktionsumgebungen bereitzustellen, um Ihre Ressourcen besser zu organisieren und zu verwalten.
  • Ordner: Ein Ordner wird verwendet, um Ressourcen in GCP zu organisieren, und sie können mehr Ordner oder Projekte enthalten. Sie können beispielsweise Ordner erstellen, um Projekte nach Abteilung, Umgebungstyp oder anderen Kriterien zu trennen. Ein Ordner ist nicht immer erforderlich, aber wie bei Organisationen werden sie für eine bessere Ressourcenorganisation empfohlen.
  • Projekt: Ein Projekt bietet eine abstrakte Gruppierung von Ressourcen innerhalb von GCP, und alle Ressourcen in GCP müssen zu einem Projekt gehören. Unter normalen Umständen können VM-Instanzen aus einem Projekt nicht mit VM-Instanzen in einem anderen Projekt kommunizieren, es sei denn, ein VPC-Peering oder eine Shared VPC werden verwendet.
  • Rechnungskonto: Ein Rechnungskonto stellt das Zahlungsprofil dar, das für die Bezahlung des GCP-Verbrauchs verwendet wird. Ein Rechnungskonto kann mit mehreren Projekten verknüpft werden, ein Projekt kann jedoch nur mit einem einzigen Abrechnungskonto verknüpft werden.
  • IAM: Die Identity and Access Management-Plattform von GCP wird verwendet, um Benutzern Berechtigungen zum Ausführen von Aktionen auf GCP-Ressourcen zu gewähren. Diese Plattform wird auch zur Bereitstellung und Verwaltung von Dienstkonten verwendet.
  • Dienstkonto: Ein Dienstkonto ist ein GCP-Konto, das nicht mit einem tatsächlichen Benutzer verbunden ist, sondern stattdessen eine VM-Instanz oder eine Anwendung darstellt. Dienstkonten können Berechtigungen erhalten, um verschiedene Aktionen für die verschiedenen GCP-APIs durchzuführen. Ein Dienstkonto ist erforderlich, um Citrix DaaS mit GCP zu verbinden und die Maschinenerstellungsdienste zu aktivieren.
  • GCE: Google Compute Engine ist die GCP-Plattform, auf der Sie Rechenressourcen bereitstellen, einschließlich VM-Instanzen, Datenträger, Instanzgruppen und mehr.
  • GCE Instanz: Eine GCE-Instanz ist jede VM, die auf der GCE-Plattform bereitgestellt wird. Cloud Connectors, Golden Images, die AD-Verwaltungs-VM und jede andere virtuelle Maschine in der Umgebung gelten als GCE-Instanzen.
  • Instanzvorlage: Eine “Baseline” -Ressource, die Sie für die Bereitstellung von VMs und Instanzgruppen in GCP verwenden können. Der Citrix MCS-Prozess kopiert das Golden Image in eine Instanzvorlage, die dann zur Bereitstellung von Katalogmaschinen verwendet wird.
  • Cloud DNS: Der GCP-Dienst wird zur Verwaltung von DNS-Zonen und -Datensätzen verwendet. Mit der Erstellung des Managed AD Service wird Cloud DNS automatisch so konfiguriert, dass DNS-Abfragen an die verwalteten Domänencontroller weitergeleitet werden.

Managed AD Service auf GCP

Der Managed Service von GCP für Microsoft Active Directory ist ein vollständig verwalteter Active Directory-Dienst auf der Google Cloud Platform. Dieser Service bietet Ihnen eine voll funktionsfähige Active Directory-Forst-/Domäne ohne den Aufwand für die Erstellung und Wartung von Windows Server-VM-Instanzen.

Der Managed AD Service basiert auf einer hochverfügbaren, von Google verwalteten Infrastruktur und wird als Managed Service bereitgestellt. Jedes Verzeichnis wird in mehreren GCP-Zonen bereitgestellt, und die Überwachung erkennt und ersetzt automatisch Domänencontroller, die ausfallen. Sie müssen keine Software installieren, und Google übernimmt alle Patches und Softwareupdates.

Der Managed AD Service stellt automatisch hochverfügbare Active Directory-Domänencontroller in einem isolierten GCP-Projekt und VPC-Netzwerk bereit und verwaltet es. Ein VPC-Peering wird automatisch mit dem Dienst bereitgestellt, damit Ihre werbeabhängigen Workloads Active Directory erreichen. Darüber hinaus wird Google Cloud DNS automatisch so konfiguriert, dass alle DNS-Anfragen an den Managed AD-Dienst weitergeleitet werden.

Überlegungen zum verwalteten AD-Service

Zwar gibt es viele Ähnlichkeiten zwischen einer herkömmlichen Microsoft Active Directory-Umgebung und dem Managed AD Service in GCP, doch bei der Bereitstellung des Managed AD Service von GCP müssen einige Überlegungen beachtet werden.

  1. Der Zugriff auf den Domänencontroller ist eingeschränkt, und Sie können Ihre Domäne nur verwalten, indem Sie Verwaltungsinstanzen bereitstellen und die Remote-Server-Administrationstools installieren.
  2. Eine gemeinsam genutzte VPC muss bereitgestellt werden, bevor neue Kunden/Projekte am GCP-Standort für gemeinsam genutzte Ressourcen hinzugefügt werden. Projekte müssen zu einer gemeinsam genutzten VPC gehören, um die verwaltete AD-Domäne erreichen zu können. Ressourcen, die für ein Projekt mit einer VPC bereitgestellt werden, die auf eine gemeinsam genutzte VPC gespeist wird, können die Managed AD Service-Domäne nicht erreichen. Weitere Informationen finden Sie auf der Seite GCP VPC-Peering-Anforderungen und im Handbuch Google Cloud Platform (GCP) Shared VPC Support with Citrix DaaS Tech-Zone PoC.
  3. Berechtigungen für Domänenadministrator/ Enterprise Administrator-Konten sind nicht verfügbar, diese Konten werden von GCP nur verwendet, um die Domäne für Sie zu verwalten.
  4. AD-Objekte können nicht in einem der Standardcontainer (z. B. /Computers) erstellt werden, sie sind schreibgeschützt. Diese Einschränkung führt zu einem häufigen Fehler bei der Verwendung der MCS-Provisioning-Technologie von Citrix. Sie müssen die Maschinenkonten für Ihre von MCS verwalteten VDAs in einem Container/OU erstellen, der beschreibbar ist. Wenn Sie sich nicht für einen solchen Standort entscheiden, kann MCS die Maschinenkonten nicht erstellen.
  5. Einige integrierte AD-Funktionen wie Zertifikatdienste können nicht installiert werden. Daher wirkt sich diese Einschränkung auf CSPs aus, die die Federated Authentication Services (FAS) -Technologie von Citrix nutzen müssen (für die integrierte AD Certificate Services erforderlich sind). Diese Kunden müssen ihr eigenes Active Directory in Google Cloud mithilfe von Windows Server-VM-Instanzen erstellen und verwalten.
  6. Zwei Hauptorganisationseinheiten (OUs) werden vom Dienst erstellt. Die “Cloud” OU, die alle Ihre verwalteten AD-Ressourcen hostet. Sie haben die volle Kontrolle über diese OU und alle ihre Kinder. Und die OU “Cloud Services Object”, die von GCP zur Verwaltung der Domain verwendet wird. Ressourcen und die OU selbst sind schreibgeschützt, außer dass einige Attribute beschreibbar sind.
  7. Der Dienst erstellt automatisch mehrere AD-Benutzergruppen, um verschiedene AD-Verwaltungsfunktionen zu ermöglichen. Sie können die Mitgliedschaft dieser Benutzergruppen verwalten.
  8. Bei der Service-Erstellung wird ein Konto mit dem Standardnamen “setupadmin”erstellt. Dieses Konto wird zur Verwaltung der Domain verwendet. Auf dieser Seite finden Sie die vollständige Liste der Berechtigungen für das Konto “setupadmin” .
  9. Trusts können als unidirektionale Outbound-Trusts für eine on-premises Active Directory-Umgebung konfiguriert werden. Bei dieser Konfiguration ist die Managed AD Service-Domäne die “vertrauensvolle” Domäne, die die Computerkonten hostet, und die on-premises Domäne ist die “vertrauenswürdige” Domäne, die die Benutzerkonten hostet. Dieses Modell wird häufig mit der Resource Forest-Bereitstellung verwendet, die im folgenden Abschnitt erläutert wird.

Überlegungen zum Forstdesign von verwaltetem

Im Kontext eines Citrix Service Providers kann der Managed AD Service unter zwei verschiedenen Active Directory-Gesamtstrukturentwurfsmodelle bereitgestellt werden.

Die erste und einfachere Möglichkeit, den Managed AD Service bereitzustellen, besteht in der Verwendung des Organisationsstrukturentwurfsmodells. In diesem Modell hostet der von GCP verwaltete AD-Dienst sowohl die Benutzerkonten und Ressourcen (Computerkonten) als auch alle administrativen Konten.

Unter normalen Umständen ermöglicht eine Organisationsstruktur die Konfiguration eines Trusts, um eine Beziehung zu einer anderen Organisationsstruktur aufzubauen. Bedenken Sie jedoch, dass der von GCP verwaltete AD-Dienst nur einseitige ausgehende Trusts unterstützt.

CSP-Image-001

Die zweite Art von Forest Design-Modell ist die Ressourcenstruktur. In diesem Modell ist eine unidirektionale Vertrauensstellung für ausgehende Nachrichten konfiguriert, um eine Beziehung zu einer on-premises Active Directory-Umgebung herzustellen.

Wie bereits erläutert, ist der Managed AD Service in diesem Bereitstellungsmodell die “vertrauensvolle” Gesamtstruktur, in der die Ressourcen gehostet werden, und das on-premises AD ist die “vertrauenswürdige” Gesamtstruktur, in der sich Benutzeridentitäten befinden. Mit anderen Worten, die Managed AD Service-Domäne ermöglicht Benutzern in der on-premises Domäne den Zugriff auf ihre Ressourcen.

HINWEIS:
Beachten Sie beim Entwerfen Ihrer Active Directory-Gesamtstrukturmodelle die technischen Details von Citrix Cloud Connector . Cloud Connectors kann keine Gesamtstruktur-Trusts durchqueren, Benutzerkonten aus einem on-premises Active Directory sind in Citrix Cloud nicht sichtbar, es sei denn, ein Satz von Cloud Connectors wird in dieser Gesamtstruktur bereitgestellt.

CSP-Image-002

Architektur

Wir verstehen, dass sich nicht alle CSPs auf ihrem Weg zur Cloud-Einführung in die gleiche Phase befinden. Eine ausführliche Erklärung der verschiedenen Entwurfsmuster für Citrix on GCP finden Sie in diesem Abschnitt der Referenzarchitektur Citrix Virtualization on Google Cloud.

Außerdem gehen wir davon aus, dass wir die Mehrmandanten- und Kundenmanagementfunktionen der Citrix Cloud, die CSPs zur Verfügung stehen, vollständig verstehen. Diese Funktionen werden in der Referenzarchitektur für Virtual Apps and Desktops von CSPausführlich behandelt.

Design-Pattern für verwaltete Dienste für Microsoft Active Directory für CSPs

Das Designmuster Managed Service für Microsoft Active Directory für CSPs konzentriert sich auf die Kombination der verschiedenen Architekturmodelle, die CSPs unter Verwendung von GCP-verwalteten Ressourcenstandorten unter Verwendung des Managed AD Service zur Verfügung stehen.

Partner, die ihre Managed DaaS-Angebote mit Citrix Cloud bereitstellen, können die exklusiven Funktionen für Kundenverwaltung und Mandantenfähigkeit nutzen, die CSPs zur Verfügung stehen. Diese Mandantenfähigkeitsfunktionen ermöglichen es CSPs, mehrere Kunden auf einer gemeinsam genutzten Citrix Cloud-Kontrollebene/einem Mandanten bereitzustellen oder ihnen ihre dedizierte Steuerungsebene/einen Mandanten zur Verfügung zu stellen.

Citrix Cloud kann mit gemeinsam genutzten oder dedizierten Ressourcenstandorten auf GCP bereitgestellt werden. Verschiedene Metriken können einem CSP helfen, zu bestimmen, welches Modell besser auf die spezifischen Anforderungen jedes Kunden abgestimmt ist, und sie können auf der Größe des Endkunden, den Sicherheits- und Compliance-Anforderungen, Kosteneinsparungen oder mehr basieren.

CSP-Image-003

Während es sich um eine optionale Komponente handelt, kann GCP Organizations (1) verwendet werden, um die Hierarchie der verschiedenen Projekte und Ordner im CSPs GCP-Abonnement zu verwalten. Beachten Sie außerdem, dass das GCP-Abonnement und die Ressourcen, die für einen bestimmten Endkunden verwendet werden, möglicherweise dem Endkunden und nicht dem CSP gehören können.

Ein gemeinsam genutztes VPC-Netzwerk (2) wird an einem Ressourcenstandort bereitgestellt, an dem mehrere Kunden Komponenten wie die Managed AD Service-Domain, Golden Images und Citrix Cloud Connectors gemeinsam nutzen. Andere Kunden können an dedizierten VPCs und Ressourcenstandorten (3) unter derselben GCP-Organisation gehostet werden. Diese Kunden haben ihre eigene Managed AD Service-Domain, Golden Images und Citrix Cloud Connectors.

Der Managed AD-Dienst kann am freigegebenen Ressourcenstandort (4) oder an einem dedizierten Ressourcenstandort (5) bereitgestellt werden. Dieser Prozess erstellt ein Projekt (auf das nicht zugegriffen werden kann) und ein Netzwerk, das von Ihrer VPC zur VPC führt, die den Managed AD Service hostet.

Wie bereits erläutert, müssen immer dann, wenn Sie neue Kunden/Projekte am Speicherort für gemeinsam genutzte Ressourcen bereitstellen, zur gemeinsam genutzten VPC gehören, um die Managed AD Service-Domäne erreichen zu können. Ressourcen, die für ein Projekt mit einer VPC bereitgestellt werden, die auf Ihre freigegebene VPC gespeist wird, können die Managed AD Service-Domäne nicht erreichen. Diese Einschränkung hat damit zu tun, dass VPCs nicht transitiv sind. Die Managed AD Service-Domäne am freigegebenen Ressourcenstandort unterscheidet sich von der Domäne an dedizierten Ressourcenstandorten.

Es wird ein separates GCP-Projekt empfohlen, um die Ressourcen (VDAs) jedes Kunden an einem freigegebenen Ressourcenstandort (6) zu hosten. Diese Überlegung ermöglicht eine einfachere Ressourcenverwaltung und IAM-Berechtigungsanwendung für die Administratoren, die für die Unterstützung der verschiedenen Umgebungen verantwortlich sind.

Außerdem hostet das gemeinsam genutzte VPC-Hostprojekt gemäß den führenden Praktiken keine Ressourcen (7). Dieses Projekt wird nur zur Bereitstellung der gemeinsam genutzten VPC und der Managed AD Service-Domäne verwendet.

HINWEIS:
Während die Managed AD Service-Domain vom Hostprojekt aus bereitgestellt wird, gehören die eigentlichen Ressourcen (Domänencontroller und VPC-Netzwerk) zu einem von Google verwalteten Projekt. Sie haben keinen Zugriff auf dieses Projekt.

Ein gemeinsam genutzter Citrix Cloud-Mandant (8) wird bereitgestellt, um die Ressourcen mehrerer Kunden bereitzustellen und zu verwalten. Diese Kunden teilen sich die Komponenten von Citrix Virtual Apps and Desktop Service (wie Delivery Controller, Datenbanken, Director, Studio, Lizenzierung und APIs).

Für jeden Kunden wird eine dedizierte Citrix Workspace Experience (9) bereitgestellt. Die dedizierte Workspace Experience ermöglicht es CSPs, die Anmeldeseite zu versehen und die Zugriffs-URL für jeden Kunden anzupassen. Jeder Kunde verwendet den Citrix Gateway Service für die Authentifizierung und HDX-Verbindungen zu seinen Ressourcen.

Ein dedizierter Citrix Cloud-Mandant (10) kann für die größeren, komplexesten Kunden bereitgestellt werden. Diese dedizierte Umgebung bietet einen isolierten Citrix Virtual Apps and Desktop Service zusammen mit all seinen Komponenten und eine dedizierte Citrix Workspace Experience. Es gibt keine zusätzlichen Citrix Lizenzkosten für die Bereitstellung eines dedizierten Citrix Cloud-Mandanten

Bereitstellen des Managed Service für Microsoft Active Directory

In diesem Abschnitt behandeln wir die Schritte, die zur Bereitstellung der Managed AD Service-Domain erforderlich sind. In diesem Abschnitt wird davon ausgegangen, dass ein GCP-Abonnement verfügbar ist und Ressourcen wie Projekte, VPC-Netzwerke, Firewall-Konfigurationen und andere GCP-Komponenten bereits bereitgestellt wurden.

1- Gehen Sie im Navigationsmenü zu IDENTITY & SECURITY > Identität > Managed Microsoft AD.

CSP-Image-004

2- Klicken Sie auf dem Bildschirm Managed Service for Microsoft Active Directory auf CREATE NEW DOMAIN.

CSP-Image-005

Hinweise:
* Verwaltete Domänencontroller werden mit den Rollen ADDS und DNS bereitgestellt.
* Management-VMs müssen separat erstellt werden.

3- Geben Sie auf dem Bildschirm Neue Domain erstellen die folgenden Informationen ein:

  • Vollständig qualifizierter Domainname: Domain-FQDN, zum Beispiel customer.com
  • NetBIOS: das wird automatisch ausgefüllt
  • Wählen Sie Netzwerke aus: Netzwerke, die Zugriff auf den Dienst haben,
  • CIDR-Bereich: ein /24 CIDR-Bereich für die VPC, in der die Domänencontroller bereitgestellt werden

CSP-Image-006

Hinweise:
* Die VPC, die als Teil des Dienstes bereitgestellt wird, kann nicht von der GCP-Konsole aus verwaltet werden.
* Der CIDR-Bereich darf sich nicht mit Ihren aktuellen Subnetzen überschneiden.

4- Scrollen Sie nach unten und geben Sie die folgenden Informationen ein:

  • Region: GCP-Regionen, in denen die Managed AD-Dienstdomäne bereitgestellt werden soll
  • Delegierter Admin: Name des delegierten Administratorkontos
  • Klicken Sie auf Domäne erstellen

CSP-Image-007

Hinweise:
* Das delegierte Administratorkonto befindet sich im Container “Benutzer”. Sie können das Kennwort zwar direkt in der ADUC-Konsole zurücksetzen, aber Sie können das Objekt nicht in eine andere Organisationseinheit verschieben.
* Wenn Sie einem Computer der Domäne beitreten, wird sein AD-Konto unter der Organisationseinheit Cloud > Computers und nicht im Standardcontainer Computer erstellt.
* Die Erstellung von Diensten kann bis zu 60 Minuten dauern.

5- Sobald die Erstellung abgeschlossen ist, wählen Sie Ihre Domain aus und klicken Sie auf SET PASSWORD.

CSP-Image-008

6- Klicken Sie im Fenster Kennwort festlegen auf BESTÄTIGEN.

CSP-Image-009

7- Kopieren Sie im Fenster Neues Kennwort das Kennwort und klicken Sie auf Fertig.

CSP-Image-010

Sobald der Dienst erstellt wurde und einsatzbereit ist, können Sie mit der Bereitstellung anderer Instanzen beginnen und sie der Domäne beitreten. Sie können auch Ihre Citrix DaaS-Site-Konfiguration abschließen.

Referenzarchitektur: Citrix DaaS — GCP-Architektur mit dem Managed Service für Microsoft Active Directory für CSPs