Referenzarchitektur: Citrix DaaS

Überblick

Als Covid-19 auftrat, zwang es alle Mitarbeiter von Worldwide Co., remote zu arbeiten. Die Bürobenutzer von Worldwide Co. arbeiteten in der Regel von einem unternehmenseigenen PC aus, der mit ihrem Cube/Büro verbunden war. Worldwide Co. setzte schnell Citrix DaaS ein, damit Benutzer über Remote PC Access von zu Hause aus sicher auf ihren Arbeits-PC zugreifen können.

Während der Pandemie 2020 erkannte Worldwide Co., dass Mitarbeiter in bestimmten Rollen von zu Hause aus gleichermaßen oder produktiver arbeiten als im Büro. Daher wollten sie sicherstellen, dass ihre Umgebung diesen neuen festen Remote-Mitarbeitern zugute kommt.

Obwohl viele Mitarbeiter zu festen Remote-Mitarbeitern wurden, hat eine Gruppe von Mitarbeitern Rollen, die Vor-Ort-Büroarbeit erfordern. Worldwide Co. möchte den Büromitarbeitern jedoch die Flexibilität bieten, bei Bedarf aus der Ferne zu arbeiten.

Diese Referenzarchitektur zeigt, wie Worldwide Co. ihre Citrix DaaS-Umgebung geplant hat.

Erfolgskriterien

Worldwide Co. definierte eine Liste von Erfolgskriterien, die die Grundlage für das übergeordnete Design bildeten.

Erfolgskriterien Beschreibung Lösung
Flexibler Arbeitsstil Obwohl viele Benutzer über eine primäre Arbeitsumgebung verfügen, unterstützt die Lösung die Flexibilität des Arbeitsstils, sodass Benutzer nach Bedarf von überall aus arbeiten können. Citrix DaaS
Minimieren Sie die Hard Ein großer Prozentsatz der Benutzer arbeitet im Büro auf herkömmlichen PCs. Die Lösung ermöglicht es Benutzern, remote zu arbeiten und gleichzeitig die gleiche Erfahrung zu haben. Remote-PC-Zugriff
Sichere Ressourcen Unternehmensressourcen müssen für Benutzer gesichert werden, auf die über nicht vertrauenswürdige Endpunkte oder von ungesicherten Standorten aus zugegriffen wird. VPN-loser Zugang
Minimierung des Datencenterspeicherbedarfs Minimieren Sie den Platzbedarf des Rechenzentrums, um flexibel und agil zu sein, um nach Bedarf zu skalieren und die Menge an physischer Hardware und Appliances zu reduzieren, die verwaltet werden müssen. Citrix DaaS
Anpassungsfähige Sitzung Aufgrund der unterschiedlichen Art der Verbindung des Endbenutzers mit der Ressource ändert sich das Erlebnis dynamisch, wenn sich die Umgebung des Endbenutzers ändert. Adaptive HDX-Technologien
Berichte zur Nutzererfahrung Da die IT die Verbindungen zwischen Remotebenutzern und den virtuellen Desktops nicht vollständig steuern kann, muss sie in der Lage sein, das Gesamterlebnis zu überwachen und die Bereiche zu identifizieren, in denen Verbesserungen erforderlich sind. Citrix Analytics für Leistung
Erkennung von Sicherheitsbedrohungen Beugen Sie dem Verlust geistigen Eigentums vor und bewerten, erkennen und verhindern Sie Sicherheitsrisiken in Echtzeit. Citrix Analytics für Sicherheit
Optimales Routing Um die Latenz zu verringern und das Erlebnis zu verbessern, muss die Lösung die bestmögliche Route verwenden. Citrix Gateway Service
Optimierung der Cloud-Kosten Minimieren Sie die Cloud-Kosten, indem Sie Workloads automatisch basierend auf Zeitplan und Nutzung skalieren. Autoscale
Multifaktorauthentifizierung Da die Sicherheit im Vordergrund steht, muss MFA eine weitere Layer der Authentifizierung und des Schutzes von Unternehmensressourcen sicherstellen. Zeitbasierter Einmal-Kennwort-Micro-Service
Optimale Leistung und App-Reaktionszeit Vermeiden Sie in einer Mehrbenutzerumgebung eine Situation, in der ein einzelner Benutzer CPU-Ressourcen monopolisieren kann, was sich negativ auf andere Benutzer auswirkt. Workspace Management - CPU-Optimierung
Optimieren Sie die Images, die den Endbenutzern zur Verfügung gestellt werden Einfaches Tool zur Unterstützung von Administratoren bei der Optimierung ihrer Images Citrix Optimizer
Geschäftskontinuität Optionen für die Ausfallsicherheit bei einem Ausfall mit den Clouddiensten Citrix Service Continuity

Konzeptarchitektur

Basierend auf den oben genannten Anforderungen hat Worldwide Co. die folgende Architektur erstellt. Diese Architektur wird nicht nur alle oben genannten Anforderungen erfüllen, sondern auch Worldwide Co. die Grundlage geben, die sie benötigen, um auf andere Anwendungsfälle auszudehnen, wie sie in Zukunft identifiziert werden.

Konzeptarchitektur

Die Citrix DaaS-Architektur ist in Layer unterteilt. Dieses Framework bietet eine Grundlage, um die technische Architektur für die gängigsten Szenarien für die Bereitstellung virtueller Desktops und Anwendungen zu verstehen. Alle Layer fließen zusammen, um eine vollständige End-to-End-Lösung für ein Unternehmen zu schaffen.

Im Überblick:

  • Benutzerebene: Diese Ebene beschreibt die Endbenutzerumgebung und Endgeräte, die zur Verbindung mit Ressourcen verwendet werden.
    • Externe Benutzer: Greifen Sie auf Citrix Workspace zu, um Zugriff auf Azure Virtual Desktop in Azure zu erhalten.
    • Interne Benutzer: Wenn Sie im Büro sind, verwenden Sie weiterhin ihren physischen PC. Wenn sie remote arbeiten, greifen sie auf Citrix Workspace und Remote-PC-Zugriff zu, um eine Verbindung zu ihrem bürobasierten physischen PC herzustellen.
  • Zugriffsebene: Diese Ebene beschreibt Details zum externen und internen Zugriff auf die Citrix-Umgebung.
    • Citrix Workspace: Eine vollständige Lösung für den digitalen Workspace, mit der Sie einen sicheren Zugriff auf die Informationen, Apps und andere Inhalte bereitstellen können, die für die Rolle einer Person in Ihrem Unternehmen relevant sind.
    • Gateway-Service: Dieser cloudbasierte Dienst bietet sicheren Remotezugriff mit Identity and Access Management (IdAM)-Funktionen und bietet SaaS (Software as a Service)-Apps und virtuellen Apps und Desktops eine einheitliche Erfahrung.
  • Ressourcenebene: Diese Ebene definiert die virtuellen Desktops, Anwendungen und Daten, die jeder Benutzergruppe zur Verfügung gestellt werden.
    • Remote-PC-Zugriff: Ein herkömmlicher lokaler Windows-Desktop, der einem einzelnen Benutzer zugewiesen ist und lokal oder remote abgerufen werden kann.
    • Azure Virtual Desktop: virtualisiertes Windows 10-Multisitzungs-Betriebssystem, damit Benutzer remote auf ihre Desktops und Anwendungen zugreifen können.
  • Steuerungsebene: Diese Ebene beschreibt Details zu den Komponenten, die zur Unterstützung des restlichen Umfelds verwendet werden.
    • Citrix DaaS: Dieser cloudbasierte Dienst verwaltet die Autorisierung und Vermittlung für Azure Virtual Desktops und Remote-PC-Zugriff.
    • Workspace Environment Management Service: Dieser cloudbasierte Service verwendet intelligente Ressourcenverwaltungs- und Profilverwaltungstechnologien, um die bestmögliche Leistung, die Desktopanmeldung und die Reaktionszeiten von Anwendungen zu erzielen.
    • Citrix Analytics for Performance: Dieser Cloud-basierte Service verfolgt, aggregiert und visualisiert wichtige Leistungsindikatoren der Citrix DaaS-Umgebung.
    • Citrix Analytics for Security: Dieser Cloud-basierte Service bewertet, erkennt und verhindert Risiken in Echtzeit. Er bietet Ihnen proaktiven Sicherheitsschutz, ohne die Mitarbeitererfahrung zu erschweren.
  • Hostebene: Diese Ebene beschreibt die Hardwarekomponenten, Private, Public und Hybrid Cloud, die für die Citrix Umgebung verwendet werden — Details zu Hardware, Speicher und Virtualisierung.
    • Physischer PC: Sie verwenden die physischen PCs, die sie bereits besitzen, ermöglichen Benutzern jedoch bei Bedarf den Remotezugriff auf diese
    • Azure: Um ihren Platzbedarf im Rechenzentrum zu reduzieren, stellen sie neue virtuelle Desktop-Ressourcen in Azure bereit.

In den folgenden Abschnitten gehen wir auf jede der vorherigen Architekturkomponenten ein und erläutern, wie sie die Anforderungen von Unternehmen XYZ erfüllen.

Detaillierte Architektur

Benutzerlayer

Die Ausrichtung der Benutzeranforderungen an einen geeigneten virtuellen Desktop ist der erste Schritt bei der Erstellung einer vollständigen End-to-End-Lösung. Worldwide Co. hat die nachstehenden Benutzeranforderungen definiert.

Benutzer benötigen Zugang zu… Zu den Benutzern gehören… Zu den Endpunkten gehören… Zu den üblichen Standorten gehören… IT liefert…
Standardisierte Desktop-Umgebung mit Branchenanwendungen Engineers Designers Führungskräfte Im Büro: Physische Firmen-PCs, aus der Ferne: Persönliche Geräte Überwiegend internes lokales Netzwerk. Manchmal ein entferntes, nicht vertrauenswürdiges Netzwerk. Remote-PC-Zugriff
Standardisierte Desktop-Umgebung mit Branchenanwendungen Vertriebs-Marketing Persönliche Geräte Tablets Laptops Nicht vertrauenswürdiges Remote-Netzwerk Azure Virtual Desktop

Büroangestellte arbeiten in der Regel mit ihrem unternehmenseigenen PC aus dem Büro. Als die Pandemie ausbrach, brauchten sie eine Möglichkeit, sicher von zu Hause aus zu arbeiten und gleichzeitig ihre PCs im Büro zu verwenden. Worldwide Co. erkannte, dass Büroangestellte als Remote-Mitarbeiter produktiv sein können und die Flexibilität bieten möchten, remote zu arbeiten. Sie verwenden ihre PCs weiterhin lokal, wenn sie im Büro arbeiten, und greifen remote über Citrix DaaS Remote PC Access auf sie zu, wenn sie von zu Hause aus arbeiten.

Mitarbeiter sind überwiegend Remote-Mitarbeiter. Worldwide Co. möchte keine unternehmenseigenen Geräte bereitstellen, sondern möchten diesen Mitarbeitern die Möglichkeit geben, das gewünschte Gerät zu verwenden. Dies kann Geräte wie persönliche Laptops, Smartphones oder Tablets umfassen. Da Worldwide Co. den Platzbedarf im Rechenzentrum minimieren möchte, hat das Unternehmen beschlossen, Azure Virtual Desktop mit Citrix Virtual Apps and Desktops Service für diese Gruppe von Mitarbeitern bereitzustellen.

Zugriffsebene

Der Zugang zur Umgebung umfasst mehr als nur die Verbindung zu einer Ressource. Die Bereitstellung der richtigen Zugriffsebene basiert darauf, wo sich der Benutzer neben den von der Organisation definierten Sicherheitsrichtlinien befindet. Worldwide Co. entschied sich für Folgendes:

  • Minimierung des Speicherbedarfs iim Rechenzentrum
    • Gateway-Service: Worldwide Co. hat beschlossen, den Gateway Service bereitzustellen, um sich an das Ziel anzupassen, den Platzbedarf im Rechenzentrum zu reduzieren. Der Gateway-Dienst ermöglicht es ihnen, ihren externen Benutzern sicheren Remotezugriff zu bieten, ohne physische Hardware, öffentliche IP-Adressen oder Firewall-Regeln bereitstellen und verwalten zu müssen. Sie müssen sich auch keine Sorgen um die Architektur für Redundanz machen, da Citrix dies für sie erledigt - Gateway Service arbeitet in mehreren Regionen weltweit mit integrierter Redundanz. Der Gateway-Service minimiert die erforderliche Infrastruktur, was Administratoren die Flexibilität bietet, bei Bedarf schnell zu skalieren (M & A, DR, neue Benutzer oder Auftragnehmer). Weitere Informationen zum Gateway Service finden Sie hier.
    • Rendezvous-Protokoll: Worldwide Co. hat auch das Rendezvous-Protokoll aktiviert, das es der HDX-Sitzung ermöglicht, den Citrix Cloud Connector zu Bypass und eine direkte Verbindung zum NetScaler Gateway Service herzustellen. Das Rendezvous-Protokoll reduziert die Belastung der Cloud Connectors, was dazu beiträgt, den Platzbedarf des Rechenzentrums zu reduzieren.
  • Multifaktor-Authentifizierung: Worldwide Co. hat beschlossen, Multifaktor-Authentifizierung zum Schutz ihres geistigen Eigentums zu implementieren Sie haben sich dafür entschieden, dies über den zeitbasierten One-Time Password Microservice in Citrix Workspace zu tun. Sie entschieden sich für TOTP, weil es ihnen ermöglicht, ihre Sicherheitsanforderungen zu erfüllen, ohne andere Systeme von Drittanbietern bereitstellen oder warten zu müssen. Weitere Informationen zu TOTP und Workspace Identity finden Sie hier.
  • Optimales Routing — Gateway-Service: Da der Gateway-Service global verteilt ist, ermöglicht er dem Benutzer, eine Verbindung über den schnellsten Access Point herzustellen, was die beste Benutzererfahrung bietet.
  • Secure Resources: Alle Benutzer, die sich beim Workspace- und Gateway-Dienst authentifizieren, bieten VPN-freien Zugriff auf ihre physischen PCs und Cloud-gehosteten VDI-Desktops. Während diese Referenzarchitektur nur die Benutzer zeigt, die auf virtuelle Apps und Desktops zugreifen, bietet Workspace Unternehmen die Flexibilität, Endbenutzern SaaS- und Web-Apps von einem zentralen Standort aus zur Verfügung zu stellen. Außerdem bietet es SSO, damit sich Benutzer nicht immer wieder ständig neu authentifizieren müssen.
  • Business Continuity: Worldwide Co. hat auch die neuesten Service Continuity-Funktionen in Citrix Workspace genutzt. Service Continuity erweitert die Resilienz des Citrix Virtual Apps and Desktops Service weiter, falls es zu einem Ausfall mit einem der folgenden Gründe kommt:
    • Citrix Workspace Portal
    • Citrix Cloud-Plattform
    • Citrix Identity Provider-Dienst
    • Steuerungsebene von Citrix Virtual Apps and Desktops
    • AWS und Azure-Plattform

Worldwide Co. hat sich für diesen Ansatz anstelle von Local Host Cache entschieden, da Service Continuity keine on-premises Anforderungen hat. Im Wesentlichen verwendet es langlebige Verbindungstickets für Workspace und verbindet Benutzer mit ihren VDAs, solange eine Netzwerkverbindung zwischen den Endpunkten und dem VDA besteht. Weitere Informationen zur Servicekontinuität finden Sie hier.

Ressourcenebene

Benutzer benötigen Zugriff auf ihre Ressourcen, unabhängig davon, ob es sich bei diesen Ressourcen um Desktops oder Anwendungen handelt. Ressourcen werden in Ressourcenstandorten konfiguriert, die von Worldwide Co verwaltet werden. Die Konfiguration der Ressourcen muss mit den Gesamtbedürfnissen der Benutzergruppen übereinstimmen. Endbenutzer erwarten ein Erlebnis, das einer herkömmlichen PC-Umgebung ähnlich oder überlegen ist. Ressourcen können on-premises, in Private Cloud, Public Cloud oder in einem hybriden Ansatz lokalisiert werden. Dies ist für den Endbenutzer nahtlos. Cloud Connectors befinden sich in jedem Ressourcenstandort, um die Ressourcen mit Citrix Cloud zu verbinden. Worldwide Co. entschied sich für Folgendes:

  • Minimierung der Hardwarekosten
    • Remote-PC-Zugriff: Remote-PC-Zugriff ermöglicht Benutzern den Zugriff auf ihre physischen PCs im Büro.

    Remote-PC-Zugriff

    Benutzer greifen über ihr eigenes persönliches Gerät und über die Workspace-App zu. Nach der Authentifizierung hätten Benutzer Zugriff auf ihre physischen Windows-Desktops. Worldwide Co. folgte den hier gefundenen Best Practices (/en-us/tech-zone/design/design-decisions/remote-pc-access.html) für ihre Remote-PC-Zugriffs-VDAs.

  • Minimieren Sie den Speicherabdruck im Rechenzentrum: Worldwide Co. hat Azure als ihren anderen Ressourcenstandort gewählt. Auf diese Weise können sie bei Bedarf schnell neue Ressourcen einrichten, ohne eine neue Infrastruktur hinzufügen zu müssen. Es gibt ihnen die Flexibilität, schnell und einfach zu skalieren. Azure Worldwide Co. verwendete den folgenden Leitfaden zur Designentscheidung, um zu überlegen, welche Instanzserie bereitgestellt werden sollte. Letztendlich haben sie sich für eine D13_v2-Instanz mit Standard-Datenträger und einem 2-GB-MCSIO-Cache mit einem Windows 10-Multisession-Betriebssystem entschieden. Worldwide Co. hat sich dafür entschieden, diese über Azure Active Directory Domain Services und Benutzerkonten im on-premises Active Directory der Organisation mit ihrer Domäne in ihr lokales Active Directory einzubinden. Weitere Informationen finden Sie hier.
  • Optimieren Sie die Images, die den Endbenutzern zur Verfügung gestellt wurden: Worldwide Co. hat sich entschieden, den Citrix Optimizer zur Optimierung ihrer VDAs zu verwenden. Informationen zum Citrix Optimizer finden Sie hier.
  • Adaptive Sitzung: Worldwide Co. verwendete die Basisrichtlinien, aktivierte jedoch “Adaptive Transport”. Adaptiver Transport ermöglicht es der Sitzung, auf veränderte Netzwerkbedingungen zu reagieren. Mit Remote-Mitarbeitern ermöglicht ihnen der adaptive Transport eine optimale Benutzererfahrung. Sie haben auch andere HDX-Technologien genutzt, um das Gesamterlebnis zu verbessern.

Steuerungsebene

Bei Citrix DaaS sind die Delivery Controller, SQL Database, Studio, Director und die Lizenzierung die Kernkomponenten in der Steuerungsebene. Diese Komponenten werden in Citrix Cloud von Citrix während der Aktivierung des Virtual Apps and Desktop Service bereitgestellt. Citrix übernimmt die Redundanz, die Updates und die Installation dieser Komponenten. Dadurch kann die Umgebung immer über die neuesten Funktionen und Sicherheitspatches verfügen. Weitere Services innerhalb von Citrix Cloud können aktiviert werden, um die Anforderungen von Worldwide Co. Worldwide Co. wählte Folgendes:

  • User Experience Reporting: Worldwide Co. entschied sich dafür, Citrix Analytics for Performance zu aktivieren, um die Endbenutzererfahrung zu quantifizieren und Probleme proaktiv zu lösen. Diese Informationen können an beiden Ressourcenstandorten eingesehen werden. Weitere Informationen finden Sie hier.
  • Optimale Leistung und Reaktionszeit der App: Worldwide Co. wollte eine Situation vermeiden, in der ein einzelner Benutzer CPU-Ressourcen monopolisieren kann, was sich negativ auf andere Benutzer auswirkt (Noisy-Neighbor-Syndrom). Daher verwendeten sie den Workspace Environment Management Service, um die CPU-Management-Einstellungen zu aktivieren. Weitere Informationen zum CPU-Management finden Sie hier.
  • Erkennung von Sicherheitsrisiken in Echtzeit: Worldwide Co. wollte sensible Daten schützen und Anlagen und Mitarbeiter in Echtzeit schützen, ohne die Mitarbeitererfahrung zu erschweren. Weitere Informationen zu Sicherheitsanalysen in Echtzeit finden Sie hier: Citrix Analytics for Security.

Worldwide Co. entschied sich dafür, ihre Azure Virtual Desktops über Azure Active Directory-Domänendienste mit on-premises Active Directory der Organisation zu verbinden und die Konten ihrer Benutzer im on-premises Active Directory der Organisation zu führen. Das Active Directory wird mit dem Azure AD im Azure-Abonnement des Kunden mithilfe von Azure AD Connect synchronisiert. Mit dieser Einrichtung kann die Identität des Benutzers über das synchronisierte Azure AD authentifiziert werden.

Hostebene

Administratoren haben die Flexibilität, on-premises, in einer Public Cloud oder in einem hybriden Ansatz bereitzustellen. Worldwide Co. hat sich für Folgendes entschieden:

  • Optimieren Sie Cloud-Kosten:
    • Autoscale: Worldwide Co. hat sich für die Bereitstellung von Autoscale entschieden, um die Cloud-Kosten zu optimieren. Autoscale ermöglicht es Ihnen, Ressourcen intelligent zu verwenden, zuzuweisen und freizugeben. Weitere Informationen zu Autoscale finden Sie hier. Worldwide Co. wird zunächst die folgenden zeitplanbasierten Autoscale-Parameter basierend auf dem typischen Arbeitstag verwenden:
Tag Spitzenzeiten Zeiten außerhalb der Spitzenzeiten Maschinen Aktiv
Wochentage 7AM-5PM 5PM-7AM Spitzenwert: 50% Rabatt auf den Höchststand: 5%
Wochenende Ohne Ganztägig 5%

Um mehr Benutzer unterzubringen, ermöglichte Worldwide Co. auch die ladenbasierte Skalierung mit den folgenden Parametern:

Tag Kapazitätspuffer (Spitze) Kapazitätspuffer (Off-Peak)
Wochentage 20% 5%
Wochenende 5% 5%
  • Azure-Größe: Worldwide Co. entschied sich für die Bereitstellung einer D13_v2-Instanz mit Standard-Datenträger und einem 2-GB-MCSIO, um die beste Benutzererfahrung zu den niedrigsten Kosten zu bieten. Eine eingehende Analyse zur Skalierbarkeit von Citrix DaaS auf Azure finden Sie hier.
Referenzarchitektur: Citrix DaaS