Referenzarchitektur: Citrix DaaS — Azure

Einführung

Dieses Handbuch unterstützt Sie bei der Architektur und dem Bereitstellungsmodell von Citrix DaaS auf Microsoft Azure.

Die Kombination aus Citrix Cloud und Microsoft Azure ermöglicht es, neue virtuelle Citrix Ressourcen mit größerer Agilität und Elastizität bereitzustellen und die Nutzung an sich ändernde Anforderungen anzupassen. Virtuelle Maschinen in Azure unterstützen alle Steuerungs- und Workload-Komponenten, die für eine Citrix DaaS-Bereitstellung erforderlich sind. Citrix Cloud und Microsoft Azure verfügen über gemeinsame Integrationen auf Steuerungsebene, die Identität, Governance und Sicherheit für globale Abläufe festlegen.

Dieses Dokument enthält auch Anleitungen zu Voraussetzungen, Architekturentwurfsüberlegungen und Bereitstellungsleitfäden für Kundenumgebungen. In dem Dokument werden die Entwurfsentscheidungen und Bereitstellungsüberlegungen für die folgenden fünf wichtigsten Architekturprinzipien hervorgehoben:

  • Betrieb — Der Betrieb umfasst eine Vielzahl von Themen wie Image-Management, Service-Überwachung, Business Continuity, Support und andere. Zur Unterstützung der Automatisierung von Vorgängen stehen verschiedene Tools zur Verfügung, darunter Azure PowerShell, Azure CLI, ARM-Vorlagen und Azure API.

  • Identität — Einer der Eckpfeiler des gesamten Azure-Bildes ist die Identität einer Person und ihr rollenbasierter Zugriff (RBAC). Die Azure-Identität wird über Azure Active Directory (Azure AD) und Azure AD-Domänendienste verwaltet. Der Kunde muss entscheiden, welchen Weg er für seine Identitätsintegration einschlagen möchte.

  • Governance — Der Schlüssel zur Governance liegt in der Festlegung der Richtlinien, Prozesse und Verfahren, die mit der Planung, Architektur, Beschaffung, Bereitstellung und Betriebsverwaltung von Azure-Ressourcen verbunden sind.

  • Sicherheit - Azure bietet eine breite Palette von konfigurierbaren Sicherheitsoptionen und die Möglichkeit, diese zu steuern, damit Kunden die Sicherheit an die individuellen Anforderungen der Bereitstellung ihres Unternehmens anpassen können. In diesem Abschnitt erfahren Sie, wie Azure-Sicherheitsfunktionen Ihnen helfen können, diese Anforderungen zu erfüllen.

  • Konnektivität - Die Verbindung von virtuellen Azure-Netzwerken mit dem lokalen/Cloud-Netzwerk des Kunden wird als Hybrid-Netzwerk bezeichnet. In diesem Abschnitt werden die Optionen für Netzwerkkonnektivität und Netzwerkdienstrouting erläutert.

Planung

Die drei häufigsten Szenarien für die Bereitstellung von Citrix Apps und Desktops über Azure sind:

  • Greenfield-Bereitstellung mit Citrix Cloud zur Bereitstellung von Ressourcenstandorten in Azure. Dieses Szenario wird über Citrix DaaS bereitgestellt und verwendet, wenn Kunden lieber zu einem Abonnementmodell wechseln und die Infrastruktur der Steuerungsebene an Citrix auslagern möchten.
  • Erweiterung einer on-premises Bereitstellung auf Azure. In diesem Szenario verfügt der Kunde über eine aktuelle on-premises Steuerungsebene und möchte Azure als Citrix-Ressourcenstandort für neue Bereitstellungen oder Migrationen hinzufügen.
  • Heben und verschieben. In diesem Szenario stellen Kunden ihre Citrix Management-Infrastruktur in Azure bereit und behandeln Azure als Site, indem sie Citrix ADC und StoreFront verwenden, um Ressourcen von mehreren Standorten zu aggregieren.

Dieses Dokument konzentriert sich auf das Citrix Cloud-Bereitstellungsmodell. Kunden können diese Services basierend auf den Bedürfnissen ihres Unternehmens planen und übernehmen:

Citrix DaaS

Citrix DaaS vereinfacht die Bereitstellung und Verwaltung von Citrix-Technologien und hilft Kunden, vorhandene on-premises Softwarebereitstellungen zu erweitern oder 100 Prozent in die Cloud zu verlagern. Bieten Sie sicheren Zugriff auf Windows-, Linux- und Web-Apps sowie virtuelle Windows- und Linux-Desktops. Verwalten Sie Apps und Desktops zentral über mehrere Ressourcenstandorte hinweg und sorgen Sie gleichzeitig für eine hervorragende Endbenutzererfahrung.

Citrix Virtual Desktops Essentials Service

Kunden von Citrix und Microsoft haben mehr Optionen für die Bereitstellung von Windows 10 Enterprise in ihrem Unternehmen. Citrix Virtual Desktops Essentials Service beschleunigt die Migration von Windows 10 Enterprise für Kunden, die Microsoft Azure-Cloud-Lösungen bevorzugen. Dies ermöglicht Kunden, die Windows 10 Enterprise (Current Branch for Business) pro Benutzer lizenziert haben, die Möglichkeit, ein leistungsstarkes virtuelles Windows 10 Enterprise-Desktop-Erlebnis von Azure bereitzustellen.

Citrix Virtual Apps Essentials Service

Citrix Virtual Apps Essentials, der neue Service zur Anwendungsvirtualisierung, kombiniert die Leistungsfähigkeit und Flexibilität der Citrix Cloud-Plattform mit der einfachen, präskriptiven und benutzerfreundlichen Vision von Microsoft Azure RemoteApp. Citrix Virtual Apps Essentials bietet überlegene Leistung und Flexibilität, indem die Back-End-Infrastruktur in die Cloud verlagert wird, wodurch die Anwendungsbereitstellung vereinfacht wird, ohne das Management oder die Endbenutzererfahrung zu beeinträchtigen.

Konzeptionelle Referenzarchitektur

Diese konzeptionelle Architektur enthält allgemeine Richtlinien für die Bereitstellung eines Citrix Cloud-Ressourcenstandorts in Azure, die in den folgenden Abschnitten erläutert werden.

Azure-RA-Image-1

Diagramm-1: Konzeptionelle Referenzarchitektur für Citrix Cloud

Informationen zur Skalierbarkeit und Wirtschaftlichkeit der Bereitstellung von Citrix DaaS auf Microsoft Azure finden Sie im Designleitfaden .

Vorgänge

Im Themenbereich Betrieb befasst sich dieser Leitfaden eingehender mit der Planung der Anforderungen der Arbeitsumgebung und der Hierarchie für grundlegende Services. Auf der obersten Layer befinden sich die Überlegungen zu Abonnement, Ressourcengruppe und regionalem Design. Gefolgt von häufig gestellten Fragen zu VM-Speicher, Benutzerprofilspeicher und Verwaltung/Bereitstellung von Masterimages. Außerdem finden Sie Anleitungen zur Optimierung von reservierten Instanzen mit Autoscale und zur Planung von Business Continuity/Disaster Recovery.

Namenskonventionen

Die Benennung von Ressourcen in Microsoft Azure ist aus folgenden Gründen wichtig:

  • Die meisten Ressourcen können nach der Erstellung nicht umbenannt werden
  • Bestimmte Ressourcentypen haben unterschiedliche Namensanforderungen
  • Konsistente Namenskonventionen erleichtern das Auffinden von Ressourcen und können die Rolle einer Ressource angeben

Der Schlüssel zum Erfolg bei Namenskonventionen liegt darin, diese in Ihren Anwendungen und Organisationen festzulegen und zu befolgen.

Bei der Benennung von Azure-Abonnements wird anhand ausführlicher Namen der Kontext und Zweck jedes Abonnements deutlich. Die Einhaltung einer Namenskonvention kann die Übersichtlichkeit bei der Arbeit in einer Umgebung mit vielen Abonnements verbessern.

Ein empfohlenes Muster zur Benennung von Abonnements ist

Variable Beispiel Beschreibung
[System] CTX (Citrix), CORE (Azure) Bezeichner aus drei Buchstaben für das Produkt, die Anwendung oder den Dienst, den die Ressource unterstützt.
[Rolle] XAW (XenApp Workers), VDA (Virtual Delivery Agent), CC (Cloud Connector), CVA (Citrix Virtual Apps) Drei Buchstaben Bezeichner für ein Teilsystem des Dienstes.
[Umwelt] D, T, P (Entwicklung, Test oder Prod) Identifiziert die Umgebung für die Ressource
## 01, 02 Für Ressourcen mit mehr als einer benannten Instanz (Webserver usw.).
[Standort] WU (West US), EU (Ost US), SCU (South Central US) Identifiziert die Azure-Region, in der die Ressource bereitgestellt wird

Verwenden Sie beim Benennen von Ressourcen in Azure allgemeine Präfixe oder Suffixe, um den Typ und den Kontext der Ressource zu identifizieren. Während alle Informationen über Typ, Metadaten und Kontext programmgesteuert verfügbar sind, vereinfacht die Anwendung allgemeiner Affixe die visuelle Identifizierung. Wenn Sie Affixe in Ihre Namenskonvention aufnehmen, ist es wichtig, klar anzugeben, ob das Affix am Anfang des Namens (Präfix) oder am Ende (Suffix) steht.

Ein gut definiertes Benennungsschema identifiziert das System, die Rolle, die Umgebung, die Anzahl der Instanzen und den Standort einer Azure-Ressource. Die Benennung kann mithilfe einer Azure-Richtlinie durchgesetzt werden.

Service Geltungsbereich Vorgeschlagenes Beispiel
Abonnements Global [System][Environment]##[Location]-sub WSCD01scu-sub
Ressourcengruppen Global [System]-[Role]-[Environment]##-[Location]-rg CTX-Apps-P01-CUS-rg
Virtuelles Netzwerk Ressourcen-Gruppe [System][Environment]##[Location]-vnet CTXP01cus-vnet
Subnetz Übergeordnetes VNET [Descriptive Context] DMZ - 10.0.1.0/24 Infrastructure - 10.0.2.0/24
Speicherkonto Ressourcen-Gruppe [System][Role][Environment]##[Location] Hinweis: Muss alphanumerisch in Kleinbuchstaben geschrieben werden ctxinfd01scu
Behälter Speicherkonto [Descriptive Context] vhds
Virtuelle Maschine Ressourcen-Gruppe [System][Role][Environment]##[Location] Hinweis: Muss mindestens 15 Zeichen lang sein. CTXSTFD01scu
Netzwerkschnittstelle Ressourcen-Gruppe [vmname]-nic# CTXSTFD01scu-nic1
Öffentliche IPs Ressourcen-Gruppe [vmname]-pip CTXSTFD01scu-pip
Virtuelles Netzwerk-Gateway Virtuelles Netzwerk [System][Environment]##[Location]-vng WSCD01scu-vng
Lokales Netzwerk-Gateway Ressourcen-Gruppe [System][Environment]##[Location]-lng WSCD01scu-lng
Verfügbarkeitssets Ressourcen-Gruppe [System][Role]-as CTXSTF-as
Load Balancer Ressourcen-Gruppe [System][Role]-lb CTXNSG-lb
Arbeitsbereiche Abonnement [System][Environment]-analytics CTXP-analytics
Tags Ressource [Descriptive Context] Finance
Schlüssel-Tresor Abonnement [System][Environment]-vault CTXP-vault

Abonnements

Die Auswahl eines Abonnementmodells ist eine komplexe Entscheidung, die das Verständnis des Wachstums des Azure-Footprints des Kunden innerhalb und außerhalb der Citrix-Bereitstellung beinhaltet. Selbst wenn die Citrix-Bereitstellung klein ist, verfügt der Kunde möglicherweise noch über eine große Menge anderer Ressourcen, die stark gegen die Azure-API lesen/schreiben, was sich negativ auf die Citrix-Umgebung auswirken kann. Das Gegenteil gilt auch, wenn viele Citrix Ressourcen eine übermäßige Anzahl der verfügbaren API-Aufrufe verbrauchen können, wodurch die Verfügbarkeit für andere Ressourcen innerhalb des Abonnements verringert wird.

Workspace-Modell für einzelne Abonnements

In einem einzigen Abonnementmodell befinden sich die gesamte Kerninfrastruktur und die Citrix-Infrastruktur im selben Abonnement. Dies ist die Konfiguration, die für Bereitstellungen empfohlen wird, die bis zu 1.200 Citrix VDAs erfordern (kann Session, gepoolte VDI oder persistente VDI sein). Die Grenzwerte können sich ändern. Überprüfen Sie die folgenden Informationen für die aktuellsten VDA-Grenzwerte. Im folgenden Blog finden Sie die neuesten Start-Shutdown-Skalennummern innerhalb eines einzelnen Abonnements.

Diagramm-2: Azure-Arbeitsbereichsmodell mit Einzelabonnement Azure-RA-Image-2

Workspace Modell für mehrere Abonnements

In diesem Modell befinden sich die Kerninfrastruktur und die Citrix-Infrastruktur in separaten Abonnements, um die Skalierbarkeit in großen Bereitstellungen zu verwalten. Häufig werden Enterprise-Bereitstellungen mit Multi-Regionen-Infrastrukturentwurf in mehrere Abonnements unterteilt, um das Erreichen von Azure-Abonnementlimits zu verhindern.

Azure-RA-Image-3

Diagramm 3: Azure-Workspacemodell für mehrere Abonnements

Die folgenden Fragen enthalten Anleitungen, um Kunden dabei zu helfen, die Azure-Abonnementoptionen zu verstehen und ihre Ressourcen zu planen.

Komponente Voraussetzung
Enthält das Azure-Abonnement nur Citrix-Ressourcen? Legen Sie fest, ob das Azure-Abonnement für dedizierte Citrix-Ressourcen verwendet wird oder ob die Citrix-Ressourcen für andere Systeme freigegeben werden.
Bereitstellung eines oder mehrerer Abonnements? In der Regel sind Bereitstellungen mehrerer Abonnements für größere Bereitstellungen vorgesehen, bei denen Einschränkungen einzelner Abonnements ein Problem darstellen und detailliertere Sicherheitskontrollen erforderlich sind.
Welche Azure-Limits werden wahrscheinlich erreicht? Wie viele Ressourcen gibt es in einer Ressourcengruppe? Ressourcengruppen sind begrenzt, und Maschinenerstellungsdienste (MCS) erfordern entweder 2 oder 3 Datenträger pro VM-Ressource. Überprüfen Sie die Azure-Abonnementlimits bei der Planung der Lösung.
Welche Berechtigungen sind für das CVAD-Dienstprinzip für das Azure-Abonnement erforderlich? Citrix DaaS erfordert die Erstellung von Ressourcengruppen und Ressourcen innerhalb des Abonnements. Wenn dem Dienstprinzip beispielsweise kein vollständiger Zugriff auf ein Abonnement gewährt werden kann, muss ihm der Teilnehmerzugriff auf eine vorab erstellte Ressourcengruppe gewährt werden.
Werden Entwicklungs- und Testumgebungen in separaten Abonnements von der Produktion erstellt? Die Isolierung von Entwicklungs- und Testabonnements von der Produktion ermöglicht die Anwendung und Änderung globaler Azure-Dienste in einer isolierten Umgebung und isoliert die Ressourcennutzung. Diese Vorgehensweise hat Vorteile für Sicherheit, Compliance und Abonnementleistung. Das Erstellen separater Abonnements für diese Umgebungen erhöht die Komplexität der Image-Verwaltung. Diese Kompromisse sollten auf der Grundlage der Bedürfnisse des Kunden in Betracht gezogen werden.

Azure-Regionen

Eine Azure-Region ist eine Gruppe von Rechenzentren, die innerhalb eines durch Latenz definierten Perimeters bereitgestellt und über ein dediziertes regionales Netzwerk mit niedriger Latenz verbunden sind. Azure bietet Kunden die Flexibilität, Anwendungen dort bereitzustellen, wo sie sie benötigen. Azure ist allgemein in 42 Regionen auf der ganzen Welt verfügbar. Pläne für 12 weitere Regionen wurden ab November 2018 angekündigt.

Eine Geographie ist ein diskreter Markt, der typischerweise zwei oder mehr Azure-Regionen enthält, die Datenresidenz- und Compliance-Grenzen beibehalten. Geografische Standorte ermöglichen es Kunden mit spezifischen Anforderungen an Datenspeicherung und Compliance, ihre Daten und Anwendungen in der Nähe zu halten.

Availability Zones sind physisch getrennte Standorte innerhalb einer Azure-Region. Jede Availability Zone besteht aus einem oder mehreren Rechenzentren, die mit unabhängiger Stromversorgung, Kühlung und Vernetzung ausgestattet sind. Availability Zones ermöglichen es Kunden, geschäftskritische Anwendungen mit hoher Verfügbarkeit und Replikation mit niedriger Latenz auszuführen. Um die Ausfallsicherheit zu gewährleisten, gibt es mindestens drei separate Zonen in allen aktivierten Regionen.

Berücksichtigen Sie diese Faktoren bei der Auswahl Ihrer Region.

Komponente Voraussetzung
Compliance und Datenspeicherung Haben Kunden spezielle Compliance- oder Data-Residency-Anforderungen? Microsoft kann Kundendaten zwischen Regionen innerhalb eines bestimmten Geo für Datenredundanz oder andere betriebliche Zwecke kopieren. Azure Globally Redundant Storage (GRS) repliziert beispielsweise Blob- und Tabellendaten zwischen zwei Regionen innerhalb desselben Geos, um die Datenbeständigkeit zu verbessern, wenn es zu einer größeren Katastrophe im Rechenzentrum kommt. Bestimmte Azure-Dienste ermöglichen es dem Kunden nicht, die Region anzugeben, in der der Dienst bereitgestellt wird. Diese Dienste können Kundendaten in jedem der Rechenzentren von Microsoft speichern, sofern nicht anders angegeben. Aktuelle Updates finden Sie auf der Kartenwebsite für Azure-Regionen .
Serviceverfügbarkeit Überprüfen Sie die Serviceverfügbarkeit innerhalb der vorläufigen Regionen. Die Serviceverfügbarkeit nach Regionen hilft dem Kunden festzustellen, welche Dienste in einer Region verfügbar sind. Während ein Azure-Dienst in einer bestimmten Region unterstützt werden kann, sind nicht alle Servicefunktionen in Sovereign Clouds wie Azure Government, Deutschland und China verfügbar.
Ermitteln Sie die Azure-Zielregionen für die Citrix Bereitstellung. Überprüfen Sie die Nähe der Azure-Region zu Benutzern und Kundenrechenzentren.
Sind mehrere Azure-Regionen erforderlich? Mehrere Azure-Regionen werden in der Regel aus den folgenden wichtigen Gründen berücksichtigt: - Nähe zu Anwendungsdaten oder Endbenutzern - Geografische Redundanz für Business Continuity und Disaster Recovery - Verfügbarkeit von Azure-Funktionen oder -Diensten

Verfügbarkeitssets

Ein Availability Set ist eine logische Gruppierungsfunktion, die in Azure verwendet werden kann, um sicherzustellen, dass die in einem Availability Set platzierten VM-Ressourcen voneinander isoliert sind, wenn sie in einem Azure-Rechenzentrum bereitgestellt werden. Azure stellt sicher, dass die in einem Availability Set platzierten VMs auf mehreren physischen Servern, Rechen-Racks, Speichereinheiten und Netzwerk-Switches ausgeführt werden. Wenn ein Hardware- oder Azure-Softwarefehler auftritt, ist nur ein Teil Ihrer VMs betroffen, und die gesamte Anwendung bleibt aktiv und steht den Kunden weiterhin zur Verfügung. Verfügbarkeitssätze sind eine unverzichtbare Funktion, wenn Kunden zuverlässige Cloud-Lösungen entwickeln möchten.

Jede Komponente einer Citrix-Bereitstellung sollte sich in einem eigenen Availability Set befinden, um die Gesamtverfügbarkeit für Citrix zu maximieren. Beispielsweise sollte ein separates Availability Set für Cloud Connectors, ein anderes für Citrix Application Delivery Controller (ADC), StoreFront usw. verwendet werden.

Sobald die Verfügbarkeitssätze optimiert sind, besteht der nächste Schritt darin, Ausfallsicherheit für VM-Ausfallzeiten innerhalb der Verfügbarkeitssätze aufzubauen. Dadurch wird die Ausfallzeit von Diensten minimiert/eliminiert, wenn VMs von Microsoft neu gestartet oder neu bereitgestellt werden. Dies kann auch auf geplante Wartungsereignisse ausgeweitet werden. Es gibt zwei Funktionen, die Sie verwenden können, um die Zuverlässigkeit des gesamten Dienstes zu erhöhen.

Diese beiden Funktionen schützen nicht vor ungeplanten Wartungen/Abstürzen.

  • Azure - geplante Wartungsarbeiten
  • Azure - geplante Ereignisse

Azure - geplante Wartungsarbeiten

Azure führt regelmäßig Updates durch, um die Zuverlässigkeit, Leistung und Sicherheit der Host-Infrastruktur in Azure zu verbessern. Wenn die Wartung einen Neustart erfordert, sendet Microsoft eine Benachrichtigung. Mit Azure Planned Maintenance ist es möglich, diese Hinweise zu erfassen und proaktiv nach dem Zeitplan des Kunden Maßnahmen zu ergreifen, anstatt nach dem Zeitplan von Microsoft.

Nutzen Sie die geplante Wartungsfunktion, indem Sie E-Mail-Benachrichtigungen an den Servicebesitzer jeder Stufe senden (für manuelle Eingriffe) und Runbooks erstellen, um den Serviceschutz zu automatisieren.

Azure - geplante Ereignisse

Azure Scheduled Events ist ein Azure Metadata Service, der programmgesteuert Benachrichtigungen an Anwendungen sendet, um bei sofortiger Wartung zu warnen Es enthält Informationen über bevorstehende Wartungsereignisse (z. B. einen Neustart), damit der Anwendungsadministrator sich auf Unterbrechungen vorbereiten und diese begrenzen kann. Es klingt zwar nach einer geplanten Wartung, ist es aber nicht. Der Hauptunterschied besteht darin, dass diese Ereignisse für geplante und manchmal nicht geplante Wartungsarbeiten ausgelöst werden. Zum Beispiel, wenn Azure Host-Heilungsaktivitäten durchführt und VMs kurzfristig verschieben muss.

Diese Ereignisse werden programmgesteuert verwendet und werden im Voraus wie folgt informiert:

  • Einfrieren — 15 Minuten
  • Neustart — 15 Minuten
  • Erneute Bereitstellung — 10 Minuten

Disaster Recovery (DR)

Azure bietet eine äußerst kostengünstige DR-Lösung für Citrix-Kunden, die heute sofort von der Cloud-Einführung profitieren möchten. Die Topologie des Bereitstellungsmodells bestimmt die Implementierung der DR-Lösung.

Erweiterung der Architektur

Bei dieser Topologie bleibt die Verwaltungsinfrastruktur on-premises, aber Workloads werden in Azure bereitgestellt. Wenn das on-premises Datencenter nicht erreichbar ist, bleiben die vorhandenen verbundenen Benutzer verbunden, aber neue Verbindungen sind nicht möglich, da die Verwaltungsinfrastruktur nicht verfügbar ist.

Um die Verwaltungsinfrastruktur zu schützen, konfigurieren Sie Azure Site Recovery vor, um die Verwaltungsinfrastruktur in Azure wiederherzustellen. Dies ist ein manueller Prozess, und nach der Wiederherstellung kann Ihre Umgebung betriebsbereit gemacht werden. Diese Option ist nicht nahtlos und kann keine Komponenten wie ADC VPX wiederherstellen. Für Unternehmen mit einem flexibleren Recovery Time Objective (RTO) kann sie jedoch die Betriebskosten senken.

Hosting-Architektur

Bei der Bereitstellung dieser Topologie wird die Citrix Management-Infrastruktur in Azure bereitgestellt und als separater Standort behandelt. Dies bietet eine funktionale Isolierung von der on-premises Bereitstellung im Falle eines Standortausfalls. Verwenden Sie Citrix ADC und StoreFront, um Ressourcen zu aggregieren und Benutzern ein nahezu sofortiges Failover zwischen Production und Disaster Recovery-Ressourcen zu ermöglichen.

Das Vorhandensein der Citrix-Infrastruktur in Azure bedeutet, dass keine manuellen Prozesse aufgerufen und keine Systeme wiederhergestellt werden müssen, bevor Benutzer auf ihren Kernarbeitsbereich zugreifen können.

Clouddienste-Architektur

Bei Verwendung von Citrix Cloud wird Azure nur zu einem weiteren Ressourcenstandort. Diese Topologie bietet die einfachste Bereitstellung, da die Verwaltungskomponenten von Citrix as a Service gehostet werden und Disaster Recovery-Workloads erreicht werden können, ohne dass eine doppelte Infrastruktur zur Unterstützung bereitgestellt werden muss. Die Benutzererfahrung während des Failovers im Katastrophenfall kann nahtlos sein.

Die Punkte in der folgenden Tabelle helfen dem Kunden bei der DR-Planung:

Komponente Voraussetzung
Was sind die RTO- und RPO-Anforderungen der Citrix-Umgebung? RTO - Gezielte Dauer und ein Service-Level, innerhalb dessen ein Geschäftsprozess nach einem Notfall wiederhergestellt werden muss. RPO - Das Zeitintervall, das während einer Unterbrechung vergehen kann, bevor die in diesem Zeitraum verlorene Datenmenge den maximal zulässigen Schwellenwert oder die “Toleranz” des Business Continuity-Plans überschreitet.
Was ist das gewünschte Ergebnis, wenn in der gesamten Region, in der Ihre Azure-Anwendung für virtuelle Maschinen bereitgestellt wird, eine Dienstunterbrechung auftritt? Diese Optionen sollten in Übereinstimmung mit der RTO und dem RPO des Kunden für DR überprüft werden. Disaster Recovery einer Citrix Umgebung in Azure kann mit Azure Site Recover, passivem Secondary Site und aktiver Site Azure Site behoben werden. Die Wiederherstellung unterstützt nur das Serverbetriebssystem (Citrix-Infrastruktur und Server-VDAs). Client-Betriebssystem wird nicht unterstützt (z. B. persistente Desktops, die mit ARM-Vorlagen erstellt wurden). Außerdem müssen Maschinenkataloge, die von MCS (Server oder Client VDA) erstellt wurden, mit einem Recovery-Task neu erstellt werden.

Ressourcengruppen

Ressourcengruppen (RG) in Azure sind eine Sammlung von Assets in logischen Gruppen zur einfachen oder sogar automatischen Bereitstellung, Überwachung und Zugriffskontrolle sowie zur effektiveren Verwaltung ihrer Kosten. Der Vorteil der Verwendung von RGs in Azure besteht darin, verwandte Ressourcen, die zu einer Anwendung gehören, zu einer Anwendung zu gruppieren, da sie einen einheitlichen Lebenszyklus von der Erstellung über die Nutzung bis hin zur Aufhebung der Bereitstellung teilen.

Der Schlüssel zu einem erfolgreichen Design von Ressourcengruppen liegt darin, den Lebenszyklus der Ressourcen zu verstehen, die in ihnen enthalten sind.

Ressourcengruppen sind bei der Erstellung an Maschinenkataloge gebunden und können später nicht hinzugefügt oder geändert werden. Um zusätzliche Ressourcengruppen zu einem Maschinenkatalog hinzuzufügen, muss der Maschinenkatalog entfernt und neu erstellt werden.

Imageverwaltung

Image-Management ist der Prozess der Erstellung, Aktualisierung und Zuweisung eines Images, das konsistent in Entwicklungs-, Test- und Produktionsumgebungen angewendet wird. Folgendes sollte bei der Entwicklung eines Image-Managementprozesses berücksichtigt werden:

On-Demand Provisioning

Der Kunde muss ermitteln, ob MCS zum Verwalten der nicht persistenten Azure-Maschinen oder zum Erstellen eigener Azure Resource Manager (ARM) -Vorlagen verwendet werden soll. Wenn ein Kunde MCS zum Erstellen von Maschinenkatalogen verwendet, reduziert die Azure-On-Demand-Bereitstellungsfunktion die Speicherkosten, ermöglicht eine schnellere Katalogerstellung und schnellere Energievorgänge für virtuelle Maschinen (VM). Bei der On-Demand-Bereitstellung von Azure werden VMs nur erstellt, wenn Citrix DaaS nach Abschluss der Bereitstellung eine Einschaltaktion initiiert. Eine VM ist im Azure-Portal nur sichtbar, wenn sie ausgeführt wird, während in Citrix Studio alle VMs unabhängig vom Energiestatus sichtbar sind. Computer, die über ARM-Vorlagen oder MCS erstellt wurden, können Energieverwaltung von Citrix über eine Azure-Hostverbindung in Citrix Studio verwenden.

Container für Speicherkonten

Der Kunde muss die Organisationsstruktur für die speichernden Quell- (oder Golden-)Images festlegen, aus denen die virtuellen Maschinen mit Citrix Maschinenerstellungsdiensten (MCS) erstellt werden sollen. Citrix MCS-Images können aus Snapshots, verwalteten oder nicht verwalteten Datenträgern bezogen werden und können sich auf Standard- oder Premium-Speicher befinden. Der Zugriff auf nicht verwaltete Datenträger erfolgt über allgemeine Speicherkonten und werden als VHDs in Azure Blob-Speichercontainern gespeichert. Container sind Ordner, die zum Trennen von Produktions-, Test- und Entwicklungsimages verwendet werden können.

Imagereplikation

Der Kunde muss den geeigneten Prozess für die Replizierung von Images über Regionen hinweg bestimmen und wie die Citrix App Layering-Technologie im Rahmen der gesamten Imageverwaltungsstrategie eingesetzt werden kann. PowerShell-Skripte können mit Azure Automation zum Planen der Image-Replikation verwendet werden Weitere Informationen zu Citrix App Layering finden Sie hier. Beachten Sie jedoch, dass Elastic Layering eine SMB-Dateifreigabe erfordert, die sich nicht in Azure Files befindet. Im Abschnitt Dateiserver finden Sie unterstützte SMB-Share-Technologien, die Elastic Layering unterstützen.

Dateiserver-Technologien

Azure bietet verschiedene Dateiservertechnologien, die zum Speichern von Citrix-Benutzerdaten, Roaming-Profilinformationen oder als Ziele für Citrix Layering-Freigaben verwendet werden können. Zu diesen Optionen gehören die folgenden:

  • Eigenständiger Dateiserver
  • Dateiserver, die Storage Replica verwenden
  • Scale-out-Dateiserver (SOFS) mit Storage Spaces Direct (S2D)
  • Verteiltes Dateisystem — Replikation (DFS-R)
  • Speicher-Appliances von Drittanbietern aus Azure Marketplace (wie NetApp und andere)

Der Kunde sollte Dateiserver-Technologien auswählen, die seinen Geschäftsanforderungen am besten entsprechen. In der folgenden Tabelle werden einige Vorteile und Überlegungen für die verschiedenen Dateiservering-Technologien beschrieben.

Optionen Vorteile Überlegungen
Eigenständiger Dateiserver Bekannt und erprobt. Kompatibel mit vorhandenen Backup/Restore-Produkten Single Point of Failure. Keine Datenredundanz. Ausfall für monatliches Patching, gemessen in Minuten.
Dateiserver, die Storage Replica verwenden Replikation auf Blockebene. SMB 3.0. Speicherunabhängig (SAN, Cloud, Lokal usw.). Bietet synchrone und asynchrone Replikation. Empfohlen, wenn Zugriff auf mehrere Regionen erforderlich ist Manuelles Failover erforderlich. Verwendet 2 x Speicherplatz. Manuelles Failover hat immer noch Ausfallzeiten, gemessen in Minuten. DNS-Abhängigkeit.
SOFS auf Storage Spaces Direct Hochverfügbar. HA mit mehreren Knoten und mehreren Datenträger. Scale-Up oder Scale-Out. SMB 3.0 und 3.1. Transparentes Failover bei geplanten und ungeplanten Wartungsaktivitäten. Für die Speicherung von Benutzerprofilen in Azure Verwendet 2-3 x Speicherplatz. Der Support für Backup-Software von Drittanbietern kann vom Anbieter eingeschränkt werden. Unterstützt keine Bereitstellung in mehreren Regionen
Verteiltes Dateisystem — Replikation Bewährte Technologie für dateibasierte Replikation. Unterstützt PowerShell Domain-basiert. Kann nicht in einer Aktiv-Aktiv-Konfiguration bereitgestellt werden.
Speicheranwendungen von Drittanbietern Deduplizierungstechnologien. Bessere Nutzung von Speicherplatz. Zusätzliche Kosten. Proprietäre Management-Tools

Die empfohlenen Dateitypen für virtuelle Dateiserver sind im Allgemeinen DS1, DS2, DS3, DS4 oder DS5, wobei die entsprechende Auswahl abhängig von den Verwendungsanforderungen des Kunden ist. Um eine optimale Leistung zu erzielen, stellen Sie sicher, dass die Premium-Datenträgerunterstützung ausgewählt ist. Zusätzliche Anleitungen finden Sie in der Microsoft Azure-Dokumentation.

Infrastrukturkostenmanagement

Es stehen zwei Technologien zur Verfügung, mit denen die Kosten der Citrix-Umgebung in Azure gesenkt werden können: Reservierte Instanzen und Citrix Autoscale.

Reservierte Instanzen

Azure reservierte VM-Instanzen (RIs) senken die Kosten erheblich — bis zu 72 Prozent im Vergleich zu Pay-as-you-go-Preisen — mit einer Laufzeit von einem Jahr oder drei Jahren für virtuelle Windows- und Linux-Maschinen (VMs). Wenn Kunden die durch Azure RIs erzielten Kosteneinsparungen mit dem Mehrwert des Azure Hybrid Benefits kombinieren, können sie bis zu 80 Prozent sparen. Die 80% werden auf der Grundlage einer dreijährigen Verpflichtung für Azure reservierte Instanzen-eines Windows Server im Vergleich zum normalen Pay-as-you-go-Tarif berechnet.

Azure reservierte Instanzen erfordern zwar Vorabverpflichtungen zur Rechenkapazität, bieten aber auch Flexibilität, reservierte Instanzen jederzeit auszutauschen oder zu kündigen. Eine Reservierung deckt nur die Rechenkosten der virtuellen Maschine ab. Es reduziert keine zusätzlichen Software-, Netzwerk- oder Speichergebühren. Dies ist gut für die Citrix Infrastruktur und die Mindestkapazität, die für einen Anwendungsfall (ein- und ausgeschaltet) benötigt wird.

Die Citrix Autoscale-Funktion unterstützt auch reservierte Instanzen, um Ihre Kosten weiter zu senken - Sie können jetzt Autoscale für Bursting in der Cloud verwenden. In einer Bereitstellungsgruppe können Sie Maschinen kennzeichnen, die automatisch skaliert werden müssen, und Ihre reservierten Instanzen (oder on-premises Workloads) ausschließen. Weitere Informationen finden Sie hier: Beschränken Sie Autoscale auf bestimmte Maschinen in einer Bereitstellungsgruppe.

Citrix Autoscale

Autoscale ist eine exklusive Funktion von Citrix DaaS, die eine konsistente, leistungsstarke Lösung zur proaktiven Energieverwaltung Ihrer Maschinen bietet. Es zielt auf eine Balance zwischen Kosten und Benutzererfahrung ab. Autoscale integriert die veraltete Smart Scale-Technologie in die Energieverwaltung von Studio.

Maschinentyp Zeitplanbasiert Last-basiert Lade- und zeitplanbasiert
Serverbetriebssystemmaschinen, die veröffentlichte Anwendungen oder gehostete gemeinsam genutzte Desktops hosten (Server-VDI) Unterstützt Unterstützt Unterstützt
Desktopbetriebssystemmaschinen, die statische persistente (dedizierte) VDI-Desktops hosten Unterstützt. In Zeiten, in denen Computer ausgeschaltet sind (z. B. nach Arbeitszeiten), können Benutzer das Einschalten von Maschinen über den Citrix Receiver auslösen. Sie können die Ausschaltverzögerung von Autoscale so einstellen, dass Autoscale Maschinen nicht automatisch ausschaltet, bevor der Benutzer eine Sitzung einrichten kann. Wird nur für nicht zugewiesene Maschinen unterstützt. Wird nur für nicht zugewiesene Maschinen unterstützt.
Desktop-Betriebssystem — Hosting von Maschinen — zufällige, nicht persistente VDI-Desktops (gepoolte VDI-Desktops) Unterstützt Unterstützt. Verwenden Sie die Skalierungsmetrik “Sitzungsanzahl” und legen Sie die maximale Anzahl von Sitzungen auf 1 fest. Unterstützt. Verwenden Sie die Skalierungsmetrik “Sitzungsanzahl”, und legen Sie die Mindestanzahl von Maschinen auf 1 fest.

Azure-RA-Image-4

Diagramm 4: Citrix Autoskalierungsfluss

Sie können hiermehr über Citrix Autoscale lesen.

Optimieren der Benutzererfahrung

Die Optimierung der Endbenutzererfahrung beinhaltet den Ausgleich der Wahrnehmung des Endbenutzers von Reaktionsfähigkeit mit den Geschäftsanforderungen, innerhalb eines Budgets zu bleiben. In diesem Abschnitt werden die Entwurfskonzepte und Entscheidungen zur Bereitstellung einer Umgebung erläutert, die für das Unternehmen und den Endbenutzer richtig dimensioniert ist.

Benutzerarbeitsbereich definieren

Lesen Sie die folgenden Fragen auf hoher Ebene, um bestehende Anwendungsfälle und die Ressourcen, die für ihre Endbenutzer benötigt werden, besser zu verstehen.

Thema Frage
Anzahl Benutzer Wie viele Benutzer werden in der Umgebung erwartet? Wurde in der Bewertungsphase das geeignete VDI-Modell ermittelt? (Virtuelle Apps oder virtuelle Desktops)
Anwendungsfälle Welche Arten von Anwendungen werden von den Endbenutzern genutzt? Was sind die VDA-Anforderungen für die Anwendungen? Wie werden die Anwendung am besten bereitgestellt? (Virtuelle Apps vs. virtuelle Desktops)
Arbeitszeiten der Benutzergruppe Wann werden Benutzer auf die Umgebung zugreifen? Was sind die Stoßzeiten? Wie hoch ist der erwartete Verbrauch im Laufe des Tages? (Der Benutzerverbrauch während bestimmter Stunden hilft dabei, die Anforderungen an den Workspace für die Skalenautomatisierung und den Kauf reservierter Azure-Instanzen zu identifizieren.)
Standort/Ortung Wo befinden sich die Endbenutzer? Sollten Workspaces in mehreren Regionen oder nur in einer einzigen Region bereitgestellt werden?
Benutzer- und Anwendungsdaten Wo werden die Benutzer- und Anwendungsdaten gespeichert? Werden Daten ausschließlich in Azure, nur on-premises oder in einer Mischung aus beidem enthalten sein? Was ist die maximal tolerierbare Latenz für den Zugriff auf die Benutzerdaten?

Azure-VM-Instanztypen

Jede Citrix Komponente verwendet einen zugehörigen virtuellen Maschinentyp in Azure. Jede verfügbare VM-Serie wird einer bestimmten Kategorie von Workloads zugeordnet (allgemeine Zwecke, für die Datenverarbeitung optimiert usw.), wobei verschiedene Größen die der VM zugewiesenen Ressourcen steuern (CPU, Arbeitsspeicher, IOPS, Netzwerk usw.).

Die meisten Citrix Bereitstellungen verwenden die Instanztypen der D-Serie und der F-Serie. Die D-Serie wird häufig für die Citrix Infrastrukturkomponenten und manchmal für die Benutzerarbeitslasten verwendet, wenn sie zusätzlichen Arbeitsspeicher benötigen, der über die Instanz-Typen der F-Serie hinausgeht. Die Instanztypen der F-Serie sind aufgrund ihrer schnelleren Prozessoren, die die Wahrnehmung der Reaktionsfähigkeit mit sich bringen, in der Branche am häufigsten für Benutzerworkloads.

Warum D-Serie oder F-Serie? Aus Citrix-Perspektive verwenden die meisten Infrastrukturkomponenten (Cloud Connectors, StoreFront, ADC usw.) CPU, um Kernprozesse auszuführen. Diese VM-Typen haben ein ausgewogenes CPU-Speicher-Verhältnis, werden auf einheitlicher Hardware gehostet (im Gegensatz zur A-Serie) für eine konsistentere Leistung und Unterstützung von Premium-Speicher. Natürlich können und sollten Kunden ihre Instanztypen an ihre Bedürfnisse und ihr Budget anpassen.

Die Größe und Anzahl der Komponenten innerhalb der Infrastruktur eines Kunden hängt immer von den Anforderungen, dem Umfang und den Arbeitslasten des Kunden ab. Mit Azure haben wir jedoch die Möglichkeit, dynamisch und bedarfsgerecht zu skalieren! Für kostenbewusste Kunden ist es am besten, kleiner anzufangen und zu skalieren. Azure-VMs erfordern einen Neustart, wenn die Größe geändert wird. Planen Sie diese Ereignisse daher nur innerhalb der geplanten Wartungsfenster und unter festgelegten Änderungssteuerungsrichtlinien.

Wie wäre es mit Scale-Up oder Scale-Out?

Die folgenden allgemeinen Fragen sollten überprüft werden, um den Anwendungsfall eines Kunden und die für seine Endbenutzer benötigten Ressourcen besser zu verstehen. Dies hilft ihnen auch, ihre Arbeitsbelastung im Voraus zu planen.

Eine Skalierung ist am besten, wenn die Kosten pro Benutzer und Stunde am niedrigsten sein müssen und bei einem Ausfall der Instanz größere Auswirkungen toleriert werden können. Scale-Out wird bevorzugt, wenn die Auswirkungen eines Ausfalls einer einzelnen Instanz minimiert werden müssen. Die folgende Tabelle enthält einige Beispielinstanztypen für verschiedene Citrix-Komponenten.

Komponente Empfohlene Instanzart
Delivery Controller, Cloud Connectors Standard DS2_v2 oder DS2_v3 mit Premium-SSD-Speicher
Skalieren der Serverbetriebssystem-Benutzerworkloads Standard_F16s_v2-VMs mit virtueller App wiesen im Vergleich zu anderen Instanzen die niedrigsten Kosten in Höhe von $/Benutzer/Stunde auf. Standard_DS5_v2-VMs waren im Vergleich zu anderen Instanzen auch kostengünstig.
Skalierung der Benutzerlasten von Serverbetriebssystem- Standard_F4_v2- und Standard_F8_v2-Instanzen unterstützen eine geringere Benutzeranzahl, bieten jedoch aufgrund kleinerer Benutzercontainergrößen mehr Flexibilität bei Energieverwaltungsvorgängen. Auf diese Weise können Maschinen effektiver freigegeben werden, um Kosten für Pay-as-you-go-Instanzen zu sparen. Außerdem sind die Fehlerdomänen beim Scale-Out kleiner.
Workloads von Desktop-Betriebssystem-Benutzern Standard_F2_v2 weist die niedrigsten Dualcore-Kosten auf und funktioniert gut mit Windows 10.

Die neueste Instanztypstudie wurde durchgeführt, um einen guten Einblick in diesen Bereich zu bieten, und wir empfehlen die Lektüredringend. In allen Fällen sollten Kunden die Instanztypen mit ihren Arbeitslasten bewerten.

Für grafikintensive Workloads sollten Sie die virtuellen Maschinen der NVv4-Serie in Betracht ziehen. Sie werden von AMD EPYC 7002-Prozessoren und virtualisiertem Radeon MI25-GPU unterstützt. Diese virtuellen Maschinen sind optimiert und für VDI und Remote-Visualisierung konzipiert. Mit partitionierten GPUs bietet NVv4 die richtige Größe für Workloads, die kleinere GPU-Ressourcen zum optimalen Preis erfordern. Alternativ ist die NVv3-Serie optimiert und für Remote-Visualisierung, Streaming, Gaming, Codierung und VDI-Szenarien mit Frameworks wie OpenGL und DirectX konzipiert. Diese VMs werden von der NVIDIA Tesla M60 GPU unterstützt. Weitere GPU-Optionen finden Sie in den anderen Angeboten von Azure.

Während die Skalierung in der Regel ein bevorzugtes Modell ist, um die Kosten zu senken, kann Autoscale von kleineren Instanzen profitieren (15-20 Sitzungen pro Host). Kleinere Instanzen hosten weniger Benutzersitzungen als größere. Daher versetzt Autoscale bei kleineren Instanzen Maschinen viel schneller in den Drainingzustand , da die Abmeldung der letzten Benutzersitzung schneller erfolgt. Kleinere Instanzen werden somit schneller ausgeschaltet, wodurch die Kosten gesenkt werden. Weitere Informationen zu den Überlegungen zur Instanzgröße für Autoscale finden Sie in der offiziellen Dokumentation.

Speicher

Wie jeder andere Computer verwenden virtuelle Maschinen in Azure Datenträger als Speicherort für ein Betriebssystem, Anwendungen und Daten. Alle virtuellen Azure-Maschinen haben mindestens zwei Datenträger— einen Windows-Betriebssystemdatenträger und einen temporären Datenträger. Der Betriebssystemdatenträger wird aus einem Image erstellt, und sowohl der Betriebssystemdatenträger als auch das Image werden in Azure als virtuelle Datenträger (VHDs) gespeichert. Virtuelle Maschinen können auch zusätzliche Datenträger haben, die als Datenträger angeschlossen sind und auch als VHDs gespeichert sind.

Azure Disks wurden entwickelt, um Langlebigkeit auf Unternehmensniveau zu bieten. Es gibt drei Leistungsstufen für den Speicher, die beim Erstellen von Datenträgern ausgewählt werden können: Premium SSD-Datenträger, Standard SSD und Standard HDD-Speicher, und die Datenträger können entweder verwaltet oder nicht verwaltet werden. Verwaltete Datenträger sind die Standarddatenträger und unterliegen nicht den Speicherkontobeschränkungen wie nicht verwaltete Datenträger.

Verwaltete Datenträger werden von Microsoft vor nicht verwalteten Datenträger empfohlen. Nicht verwaltete Datenträger sollten nur ausnahmsweise berücksichtigt werden. Standardspeicher (HDD und SSD) umfasst Transaktionskosten (Speicher-E/A), die berücksichtigt werden müssen, jedoch niedrigere Kosten pro Datenträger aufweisen. Premium Storage hat keine Transaktionskosten, aber höhere Kosten pro Datenträger und bietet eine verbesserte Benutzererfahrung.

Die Datenträger bieten keine SLA, es sei denn, ein Verfügbarkeitsset wird verwendet. Availability Sets werden von Citrix MCS nicht unterstützt, sollten jedoch in Citrix Cloud Connector, ADC und StoreFront enthalten sein.

Identität

Der Abschnitt konzentriert sich auf Identitätskontrollen, Benutzerplanung im Workspace und die Endbenutzererfahrung. Die primäre Entwurfsüberlegung ist die Verwaltung von Identitäten innerhalb von Azure- und Citrix Cloud-Mandanten.

Microsoft Azure Active Directory (Azure AD) ist eine Cloud-Lösung für Identitäts- und Zugriffsmanagement, die Verzeichnisdienste, Identitätsverwaltung und Anwendungszugriffsverwaltung bietet. Ein einzelnes Azure AD-Verzeichnis wird bei der Erstellung automatisch einem Azure-Abonnement zugeordnet.

Jedes Azure-Abonnement verfügt über eine Vertrauensstellung mit einem Azure AD-Verzeichnis, um Benutzer, Dienste und Geräte zu authentifizieren. Mehrere Abonnements können demselben Azure AD-Verzeichnis vertrauen, aber ein Abonnement vertraut nur einem einzelnen Azure AD-Verzeichnis.

Die Identitätslösungen von Microsoft umfassen on-premises und Cloud-basierte Funktionen und schaffen so eine einheitliche Benutzeridentität für die Authentifizierung und Autorisierung für alle Ressourcen, unabhängig vom Standort. Dieses Konzept ist als Hybrid Identity bekannt. Es gibt verschiedene Entwurfs- und Konfigurationsoptionen für Hybrid Identity unter Verwendung von Microsoft-Lösungen, und in einigen Fällen kann es schwierig sein, zu bestimmen, welche Kombination die Anforderungen einer Organisation am besten erfüllt.

Allgemeine Überlegungen zum Identitätsdesign

Bei der Erweiterung des Active Directory-Standorts des Kunden auf Azure wird normalerweise die Active Directory-Replikation verwendet, um Identität und Authentifizierung mit dem Citrix Workspace bereitzustellen. Ein häufiger Schritt ist die Verwendung von AD Connect, um Benutzer in Azure Active Directory zu replizieren, wodurch Sie die für Windows 10 erforderliche abonnementbasierte Aktivierung erhalten.

Es wird empfohlen, die lokalen Active Directory Domain Services auf das Azure Virtual Network-Subnetz auszudehnen, um alle Funktionen und Erweiterbarkeit zu erhalten. Azure Role-Based Access Control (RBAC) ermöglicht ein fein abgestimmtes Zugriffsmanagement für Azure-Ressourcen. Zu viele Berechtigungen können Angreifer offenlegen und ihnen Rechnung tragen. Zu wenige Berechtigungen bedeuten, dass Mitarbeiter ihre Arbeit nicht effizient erledigen können. Mit RBAC können Administratoren Mitarbeitern genau die Berechtigungen erteilen, die sie benötigen.

Authentifizierung

Domänendienste (entweder AD DS oder Azure AD DS) sind für die Kernfunktionalität von Citrix erforderlich. RBAC ist ein auf Azure Resource Manager basierendes Autorisierungssystem, das eine feinkörnige Zugriffsverwaltung von Ressourcen in Azure ermöglicht. Mit RBAC können Sie die Zugriffsebene der Benutzer granular steuern. Beispielsweise können Sie einen Benutzer auf die Verwaltung virtueller Netzwerke und einen anderen Benutzer auf die Verwaltung aller Ressourcen in einer Ressourcengruppe beschränken. Azure enthält mehrere integrierte Rollen, die Sie verwenden können.

Azure AD-Authentifizierung wird für Citrix Workspace-, Citrix DaaS- und Citrix ADC/StoreFront-Authentifizierung unterstützt. Für ein vollständiges SSON mit Azure AD muss der Citrix Federated Authentication Service (FAS) oder Azure AD DS (für zentrale Domänendienste) verwendet werden.

Citrix FAS unterstützt Single Sign-On (SSO) bei DaaS in Citrix Workspace. Citrix FAS wird normalerweise verwendet, wenn Sie einen der folgenden Identitätsanbieter verwenden:

  • Azure Active Directory
  • Okta
  • SAML 2.0
  • Citrix Gateway

Ergebnisse für Active Directory und Azure Active Directory

  • Mandant mit Azure Active Directory-Provisioning
  • Liste der gewünschten Organisationsrollen für Azure RBAC mit Zuordnung zu integrierten oder benutzerdefinierten Azure-Rollen
  • Liste der gewünschten Admin-Zugriffsebenen (Konto, Abonnement, Ressourcengruppe usw.)
  • Verfahren zur Gewährung von Zugriff/Rolle für Azure
  • Verfahren zum Zuweisen von JIT-Höhen (Just-in-Time) für Benutzer für bestimmte Aufgaben

Im Folgenden finden Sie eine Beispielarchitektur für das Namespace-Layout und den Authentifizierungsfluss.

Azure-RA-Image-5

Diagramm-5: Architektur des Namespace-Layouts und des Authentifizierungsflusses

Citrix Cloud-Verwaltung + Azure AD

Standardmäßig verwendet Citrix Cloud den Citrix Identitätsanbieter, um die Identitätsinformationen für alle Benutzer zu verwalten, die auf die Citrix Cloud zugreifen. Kunden können dies ändern, um stattdessen Azure Active Directory (AD) zu verwenden. Durch die Verwendung von Azure AD mit Citrix Cloud können Kunden:

  • Verwenden Sie ihr eigenes Active Directory, damit sie die Überwachung und Kennwortrichtlinien steuern und Konten bei Bedarf einfach deaktivieren können.
  • Konfigurieren der mehrstufigen Authentifizierung zum verbesserten Schutz vor dem Diebstahl von Anmeldeinformationen
  • Verwenden Sie eine Marken-Anmeldeseite, damit Ihre Benutzer wissen, dass sie sich am richtigen Ort anmelden.
  • Verbund mit einem Identitätsanbieter nach Wahl, z. B. ADFS, Okta oder Ping

Citrix Cloud enthält eine Azure AD-App, mit der Citrix Cloud sich mit Azure AD verbinden kann, ohne dass Sie bei einer aktiven Azure AD-Sitzung angemeldet sein müssen. Mit der Citrix Cloud-Administratoranmeldung können Azure AD-Identitäten im Citrix Cloud-Mandanten verwendet werden.

  • Bestimmen Sie, ob Citrix Cloud-Administratoren ihre Citrix Identity oder Azure AD für den Zugriff auf die Citrix Cloud verwenden. Die URL folgt dem Format https://citrix.cloud.com/go/{Customer Determined}
  • Identifizieren der Authentifizierungs-URL für die Azure AD-Authentifizierung in Citrix Cloud

Unternehmensführung

Azure Governance ist eine Sammlung von Konzepten und Diensten, die darauf ausgelegt sind, die Verwaltung Ihrer verschiedenen Azure-Ressourcen in großem Maßstab zu ermöglichen. Diese Dienste bieten die Möglichkeit, Ihre Abonnements auf logische Weise zu organisieren und zu strukturieren, um native Azure-Pakete mit Ressourcen zu erstellen, bereitzustellen und wiederverwendbar zu machen. Dieses Thema konzentriert sich auf die Festlegung der Richtlinien, Prozesse und Verfahren, die mit der Planung, Architektur, Akquisition, Bereitstellung, dem Betrieb und der Verwaltung von Azure-Ressourcen verbunden sind.

Anmeldung für Citrix Cloud-Administrator

Ermitteln Sie, ob Citrix Cloud-Administratoren ihre Citrix Identity, Active Directory-Identität oder Azure AD für den Zugriff auf Citrix Cloud verwenden. Die Azure AD-Integration ermöglicht die Multifaktor-Authentifizierung in Citrix Cloud für Administratoren. Identifizieren Sie die Authentifizierungs-URL für die Azure AD-Authentifizierung bei Citrix Cloud. Die URL folgt dem Format https://citrix.cloud.com/go/{Customer Determined}.

RBAC-Berechtigungen und -Delegierung

Mit Azure AD können Kunden ihre Governance-Richtlinien mithilfe der rollenbasierten Zugriffssteuerung (RBAC) von Azure-Ressourcen implementieren. Eines der wichtigsten Werkzeuge für die Anwendung dieser Berechtigungen ist das Konzept einer Ressourcengruppe. Stellen Sie sich eine Ressourcengruppe als Bündel von Azure-Ressourcen vor, die sich den Lebenszyklus und die administrative Verantwortung teilen

Im Kontext einer Citrix-Umgebung sollten diese so organisiert sein, dass eine ordnungsgemäße Delegierung zwischen Teams möglich ist und das Konzept der geringsten Berechtigungen gefördert wird. Ein gutes Beispiel ist, wenn eine Citrix Cloud-Bereitstellung ein Citrix ADC VPX verwendet, das vom Azure Marketplace für den externen Zugriff bereitgestellt wurde. Obwohl es sich um ein Kernstück der Citrix Infrastruktur handelt, könnten die Citrix ADCs einen separaten Aktualisierungszyklus, eine Reihe von Administratoren usw. haben. Dies würde die Trennung der Citrix ADCs von den anderen Citrix Komponenten in separate Ressourcengruppen erfordern, damit die Azure RBAC-Berechtigungen über die Verwaltungszonen angewendet werden können von Mandanten, Abonnements und Ressourcen.

MCS-Dienstleiter

Um auf Ressourcen zuzugreifen, die durch einen Azure AD-Mandanten gesichert sind, muss die Entität, die Zugriff benötigt, durch einen Sicherheitsprinzipal dargestellt werden. Dies gilt sowohl für Benutzer (Benutzerprinzip) als auch für Anwendungen (Dienstprinzipal). Der Sicherheitsprinzipal definiert die Zugriffsrichtlinie und Berechtigungen für den Benutzer/die Anwendung im Azure AD-Mandanten. Dies ermöglicht Kernfunktionen wie die Authentifizierung des Benutzers/der Anwendung während der Anmeldung und die Autorisierung während des Ressourcenzugriffs.

Ermitteln Sie die Berechtigungen, die dem vom Citrix MCS-Dienst verwendeten Service Principal zugewiesen sind.

Dienstprinzipale für den Abonnementbereich verfügen über die Rechte Mitwirkender für das entsprechende Abonnement, das von der Citrix Umgebung verwendet wird. Bei Narrow Scope-Serviceprinzipalen wird granularer RBAC auf die Ressourcengruppen angewendet, die das Netzwerk, Masterimages und VDAs enthalten Narrow Scope Service Principals werden empfohlen, um die Berechtigungen nur auf die für den Dienst erforderlichen Berechtigungen zu beschränken. Dies entspricht dem Sicherheitskonzept des “geringsten Privilegien”.

Tagging

Der Kunde wendet Tags auf seine Azure-Ressourcen an und gibt Metadaten, um sie logisch in einer Taxonomie zu organisieren. Jedes Tag besteht aus einem Namen und einem Wertepaar. Sie können beispielsweise den Namen “Umgebung” und den Wert “Produktion” auf alle Ressourcen in der Produktion anwenden.

Der Kunde kann alle Ressourcen in Ihrem Abonnement mit diesem Tagnamen und Wert abrufen. Tags ermöglichen es ihnen, verwandte Ressourcen aus verschiedenen Ressourcengruppen abzurufen. Dieser Ansatz ist hilfreich, wenn der Administrator Ressourcen für die Abrechnung oder Verwaltung organisieren muss.

Es gibt ein Limit von 15 Tags pro Ressource. Citrix MCS erstellt 2 Tags pro VM, daher ist ein Kunde auf 13 Tags für MCS-Maschinen beschränkt. Nicht persistente MCS-Maschinen werden beim Neustart gelöscht. Dadurch werden Azure VM-spezifische Merkmale wie Tags und Bootdiagnosen entfernt Wenn Tags erforderlich sind, wird empfohlen, eine Azure Append-Richtlinie zu erstellen und sie auf die entsprechenden MCS-Ressourcengruppen anzuwenden.

Azure-Richtlinie

Azure-Richtlinien können Aspekte wie Tagging, zulässige SKUs, Verschlüsselung, Azure-Region und Namenskonventionen steuern. Es sind Standardrichtlinien verfügbar und die Möglichkeit, benutzerdefinierte Richtlinien durchzusetzen. Azure-Richtlinien können auf Abonnement- oder Ressourcengruppenebene angewendet werden. Es können mehrere Richtlinien definiert werden. Richtlinien, die auf Ebene der Ressourcengruppe angewendet werden, haben Vorrang vor Richtlinien auf Abonnementebene.

Identifizieren Sie Aspekte von Azure, die in der gesamten Citrix Umgebung kontrolliert und standardisiert werden sollten. Eine harte Quote erzwingt die Richtlinie und lässt keine Ausnahmen zu. Soft Quota Audits für die Durchsetzung von Richtlinien und benachrichtigen, wenn die Richtlinie nicht erfüllt wird. Ausführlichere Informationen zum Definieren der Richtlinien finden Sie in der Azure-Dokumentation.

Azure-RA-Image-6

Diagramm 6: Zugriffsrichtlinie für Azure Governance und RBAC

Sicherheit

Sicherheit ist in jeden Aspekt von Azure integriert. Azure bietet einzigartige Sicherheitsvorteile, die sich aus globalen Sicherheitsinformationen, ausgefeilten kundenorientierten Steuerelementen und einer sicheren, robusten Infrastruktur ergeben. Diese leistungsstarke Kombination trägt zum Schutz von Anwendungen und Daten bei, unterstützt Compliance-Bemühungen und bietet kostengünstige Sicherheit für Unternehmen jeder Größe.

Sichern der Provisioning von Speicherkonten durch CVAD-Dienst

Wie bereits erwähnt, ist MCS der Dienst (innerhalb von CVAD), der für das Drehen von Maschinen im Kundenabonnement verantwortlich ist. MCS Utilities verwendet einen AAD Identity — Application Service Principal für den Zugriff auf Azure-Ressourcengruppen, um verschiedene Aktionen auszuführen. Für Ressourcen vom Speicherkontotyp benötigt MCS die Berechtigung listkeys, den Schlüssel zu erwerben, wenn dies für verschiedene Aktionen erforderlich ist (Schreiben/Lesen/Löschen). Gemäß unserer aktuellen Implementierung ist eine MCS-Anforderung für:

  • Das Speicherkontennetzwerk ist Zugriff aus dem öffentlichen Internet.
  • Speicherkonto RBAC ist Berechtigung listkeys

Für einige Unternehmen ist es ein Problem, den Speicherkontoendpunkt öffentlich zu halten. Im Folgenden finden Sie eine Analyse der Assets, die bei der Bereitstellung von VMs mit verwaltetem Datenträger erstellt und gespeichert wurden (das Standardverhalten).

  • Tabellenspeicher: Wir pflegen die Maschinenkonfiguration und Statusdaten im Tabellenspeicher im primären Speicherkonto (oder einem sekundären, wenn der primäre für Premium-Datenträger verwendet wird) für den Katalog. Es gibt keine sensiblen Informationen in den Tabellen.
  • Sperren: Für bestimmte Vorgänge (Zuweisen von Maschinen an Speicherkonten, replizierende Datenträger) verwenden wir ein Sperrobjekt, um Vorgänge aus mehreren Plug-in-Instanzen zu synchronisieren. Diese Dateien sind leere Blobs und enthalten keine sensiblen Daten.

Für Maschinenkataloge, die vor dem 15. Oktober 2020 erstellt wurden, erstellt MCS ein zusätzliches Speicherkonto für Identitätsdatenträger:

  • Disk-Import: Beim Importieren von Datenträger (Identität, Anleitung) laden wir die Datenträger als Seitenblob hoch. Wir erstellen dann eine verwaltete Datenträger aus dem Seitenblob und löschen den Seitenblob. Die vorübergehenden Daten enthalten sensible Daten für Computerobjektnamen und Kennwörter. Dies gilt nicht für alle Maschinenkataloge, die nach dem 15. Oktober 2020 erstellt wurden.

Es wird empfohlen, einen engen Scope Service Principal zu verwenden, der auf die spezifischen Ressourcengruppen angewendet wird, um die Berechtigungen nur auf die vom Service erforderlichen Berechtigungen zu beschränken. Dies entspricht dem Sicherheitskonzept des “geringsten Privilegien”. Weitere Informationen finden Sie unter CTX219243 und CTX224110 .

IaaS - Überwachung des Azure Security Centers

Azure Security Center analysiert den Sicherheitsstatus von Azure-Ressourcen. Wenn das Security Center potenzielle Sicherheitslücken identifiziert, erstellt es Empfehlungen, die den Kunden durch den Prozess der Konfiguration der erforderlichen Kontrollen führen. Empfehlungen gelten für Azure-Ressourcentypen: virtuelle Maschinen (VMs) und Computer, Anwendungen, Netzwerke, SQL sowie Identität und Zugriff. Es gibt einige Best Practices, die Sie befolgen müssen:

  • Steuern Sie den VM-Zugriff und sichern Sie privilegierten Zugriff
  • Provisioning von Antimalware zur Identifizierung und Entfernung bösartiger Software.
  • Integrieren Sie Ihre Antimalware-Lösung in das Security Center, um den Status Ihres Schutzes zu überwachen.
  • Halten Sie Ihre VMs auf dem neuesten Stand und stellen Sie bei der Bereitstellung sicher, dass die von Ihnen erstellten Images die letzte Runde von Windows- und Sicherheitsupdates enthalten.
  • Stellen Sie Ihre VMs regelmäßig erneut bereit, um eine neue Version des Betriebssystems zu erzwingen.
  • Konfigurieren von Netzwerksicherheitsgruppen und Regeln zur Steuerung des Datenverkehrs zu virtuellen Maschinen.
  • Provisioning von Webanwendungs-Firewalls zur Abwehr von Angriffen, die auf Ihre Webanwendungen abzielen.
  • Adressieren von Betriebssystemkonfigurationen, die nicht den empfohlenen Baselines entsprechen.

Netzwerk-Design

Netzwerksicherheit kann als Prozess definiert werden, bei dem Ressourcen vor unbefugtem Zugriff oder Angriffen geschützt werden, indem Kontrollen auf den Netzwerkverkehr angewendet werden. Ziel ist es sicherzustellen, dass nur legitimer Verkehr erlaubt ist. Azure umfasst eine robuste Netzwerkinfrastruktur zur Unterstützung Ihrer Anwendungs- und Dienstkonnektivitätsanforderungen Netzwerkkonnektivität ist zwischen Ressourcen in Azure, zwischen on-premises und von Azure gehosteten Ressourcen sowie zum und vom Internet und Azure möglich.

Segmentierung virtueller Netzwerke (VNet)

Virtuelle Azure-Netzwerke ähneln einem LAN in Ihrem on-premises Netzwerk. Die Idee hinter einem virtuellen Azure-Netzwerk besteht darin, dass Sie ein einzelnes privates IP-Adressraum-basiertes Netzwerk erstellen, in dem Kunden alle ihre virtuellen Azure-Maschinen platzieren können. Die bewährte Methode besteht darin, den größeren Adressraum in Subnetze zu segmentieren und Netzwerkzugriffskontrollen zwischen Subnetzen zu erstellen. Das Routing zwischen Subnetzen erfolgt automatisch, und Sie müssen keine Routingtabellen manuell konfigurieren.

Verwenden Sie eine Netzwerksicherheitsgruppe (NSG). NSGs sind einfache, statusbehaftete Paketprüfgeräte, die den 5-Tupel-Ansatz (Quell-IP, Quellport, Ziel-IP, Zielport und Layer-4-Protokoll) verwenden, um Zulassen/Verweigerungsregeln für den Netzwerkverkehr zu erstellen. Regeln erlauben oder verweigern Datenverkehr zu und von einer einzelnen IP-Adresse, zu und von mehreren IP-Adressen oder zu und von ganzen Subnetzen.

Kunden können benutzerdefinierte oder benutzerdefinierte Routen erstellen, die in Azure als benutzerdefinierte Routen (UDRs) bezeichnet werden, um die Standardsystemrouten von Azure zu überschreiben oder der Routing-Tabelle eines Subnetzes zusätzliche Routen hinzuzufügen. In Azure können Administratoren eine Routing-Tabelle erstellen und die Routing-Tabelle dann null oder mehr virtuellen Netzwerksubnetzen zuordnen. Jedem Subnetz kann keine oder eine Routing-Tabelle zugeordnet sein.

NSGs und UDRs werden auf Subnetzebene innerhalb eines virtuellen Netzwerks angewendet. Beim Entwerfen eines virtuellen Citrix-Netzwerks in Azure wird empfohlen, das virtuelle Netzwerk unter Berücksichtigung dieser Aspekte zu entwerfen und Subnetze für ähnliche Komponenten zu erstellen, die die granulare Anwendung von NSGs und UDRs nach Bedarf ermöglichen. Ein Beispiel hierfür wäre die Segmentierung der Citrix Infrastruktur in ein eigenes Subnetz mit einem entsprechenden Subnetz für jeden Anwendungsfall.

Identifizieren Sie die Ports und Protokolle, die für Citrix und die unterstützenden Technologien erforderlich sind. Überprüfen Sie, ob diese Ports in den in der Umgebung verwendeten Netzwerksicherheitsgruppen zulässig sind. Netzwerksicherheitsgruppen können eingehende und ausgehende Kommunikation auf einen definierten Satz von IP, virtuellen Netzwerken, Service-Tags oder Anwendungssicherheitsgruppen beschränken.

Azure-RA-Image-7

Diagramm 7: Azure Security Center und Netzwerksicherheit mit NSG und ASG

Verbindungen

Das Verbinden virtueller Azure-Netzwerke mit dem lokalen/Cloud-Netzwerk des Kunden wird als hybrides Netzwerk bezeichnet. In diesem Abschnitt werden die Optionen für Netzwerkkonnektivität und Netzwerkdienstrouting erläutert. Kunden können ihre on-premises Computer und Netzwerke mithilfe einer beliebigen Kombination der folgenden Optionen mit einem virtuellen Netzwerk verbinden:

  • Point-to-Site Virtual Private Network (VPN): Wird zwischen einem virtuellen Netzwerk und einem einzelnen Computer im Kundennetzwerk eingerichtet. Jeder Computer, der eine Verbindung mit einem virtuellen Netzwerk herstellen möchte, muss seine Verbindung konfigurieren. Dieser Verbindungstyp eignet sich hervorragend für den Einstieg in Azure oder für Entwickler, da er nur wenige oder keine Änderungen am bestehenden Kundennetzwerk erfordert. Die Kommunikation zwischen Ihrem Computer und einem virtuellen Netzwerk wird über einen verschlüsselten Tunnel über das Internet gesendet.
  • Site-to-Site-VPN: Wird zwischen einem on-premises VPN-Gerät und einem Azure VPN-Gateway eingerichtet, das in einem virtuellen Netzwerk bereitgestellt wird. Dieser Verbindungstyp ermöglicht jede on-premises Ressource, die der Kunde für den Zugriff auf ein virtuelles Netzwerk autorisiert. Die Kommunikation zwischen einem on-premises VPN-Gerät und einem Azure VPN-Gateway wird über einen verschlüsselten Tunnel über das Internet gesendet.
  • Azure ExpressRoute: Durch einen ExpressRoute-Partner zwischen dem Netzwerk des Kunden und Azure eingerichtet. Diese Verbindung ist privat. Der Verkehr läuft nicht über das Internet.

Die wichtigsten Überlegungen für die Konnektivität zwischen Azure und dem Kunden sind Bandbreite, Latenz, Sicherheit und Kosten. Site-zu-Site-VPNs haben niedrigere Bandbreitenlimits als Express Route und hängen von der Leistung des vom Kunden verwendeten Edge-Routers ab. SLAs sind auf den VPN-Gateway-SKUs verfügbar. Site-zu-Site-VPNs verwenden IPSEC über das Internet.

Express-Routen sind dedizierte private Verbindungen und nicht über das Internet. Dies führt zu einer geringeren Latenz bei der Verwendung von Express Route. Außerdem kann Express Route bis zu 10 Gbit/s skalieren. Express Route wird mit einem zertifizierten Partner konfiguriert. Die Konfigurationszeit dieser Anbieter sollte bei der Projektplanung berücksichtigt werden. Express-Route-Kosten bestehen aus einer Microsoft-Komponente und einer Express-Route-Provider-Komponente.

In der Regel werden diese Verbindungen über mehrere Dienste geteilt (Datenbankreplikation, Domänenverkehr, Anwendungsdatenverkehr usw.) In einer Hybrid-Cloud-Bereitstellung kann es Szenarien geben, in denen interne Benutzer benötigen, dass ihr ICA-Datenverkehr diese Verbindung durchläuft, um zu ihren Citrix Apps in Azure zu gelangen Die Überwachung der Bandbreite ist entscheidend.

Mit ADC und traditionellem StoreFront kann das optimale Gateway-Routing auch verwendet werden, um die Verbindung eines Benutzers zu einem ADC unter Verwendung des Internetdienstanbieters eines Büros und nicht über die Express Route oder das VPN zu Azure zu leiten.

Benutzerdefinierte Routen (UDRs)

In der Regel verwenden Kunden einen UDR, um Azure-Datenverkehr an eine Firewall-Appliance in Azure oder einem bestimmten virtuellen Netzwerk zu leiten. Zum Beispiel Nord-Süd-Verkehr von einem VDA zum Internet. Wenn große Datenverkehrsmengen an Firewall-Appliances von Drittanbietern in Azure weitergeleitet werden, kann dies zu einem Ressourcenengpass oder Verfügbarkeitsrisiko führen, wenn diese Appliances nicht dimensioniert oder entsprechend konfiguriert sind. NSGs können als Ergänzung zu Firewalls von Drittanbietern verwendet werden und sollten gegebenenfalls so weit wie möglich verwendet werden. Ziehen Sie Azure Network Watcher in Betracht, wenn eine Überprüfung des Datenverkehrs erforderlich ist.

Peering in virtuellen Netzwerken

Das Peering eines virtuellen Netzwerks verbindet zwei virtuelle Azure-Netzwerke nahtlos. Nach dem Peering werden die virtuellen Netzwerke aus Konnektivitätsgründen als eins angezeigt. Der Datenverkehr zwischen virtuellen Maschinen in den virtuellen Peering-Netzwerken wird durch die Microsoft-Backbone-Infrastruktur geleitet, ähnlich wie der Datenverkehr zwischen virtuellen Maschinen im selben virtuellen Netzwerk nur über private IP-Adressen geleitet wird.

Azure unterstützt:

  • VNet-Peering — Verbinden von VNets innerhalb derselben Azure-Region
  • Globales VNet-Peering — VNets über Azure-Regionen hinweg

Kunden, die Workloads auf mehreren VNet-Netzwerken bereitstellen, sollten erwägen, das VNet-Peering zu verwenden, um die Kommunikation zwischen VMs zwischen VNet-Peering zu ermöglichen.

Azure-RA-Image-8

Diagramm-8: Konnektivität und Routen im Rechenzentrum

SD-WAN

Die softwaredefinierte WAN-Technologie (SD-WAN) ermöglicht es, auch bei schwierigen Verbindungen eine hervorragende Benutzererfahrung zu bieten. Es eignet sich natürlich für die Bereitstellung virtueller Apps und Desktops.

  • Aggregieren Sie die gesamte verfügbare Bandbreite zu einer aktiven/aktiven Verbindung, um mehr Bandbreite bereitzustellen.
  • Verwenden Sie die einzigartige HDX Quality of Experience-Technologie, um die Leistung zu optimieren und Netzwerkrichtlinien zu optimieren.
  • Sorgen Sie für ständige Verbindungen für virtuelle Apps und Desktop-Benutzer mit der höchstmöglichen Qualität — selbst bei Rich Media und High-Definition-Video.

Kunden, die VPN verwenden, verwenden möglicherweise SD-WAN, um der Azure- und Kunden-Rechenzentrumskonnektivität Redundanz zu verleihen oder anwendungsspezifisches Routing bereitzustellen. Citrix SD-WAN leitet den Datenverkehr automatisch über alle verfügbaren Verbindungen um. Tatsächlich ist die Erfahrung so nahtlos, dass die Benutzer nicht einmal erkennen werden, dass Änderungen stattgefunden haben. Ihre primäre Zugriffs-IP-Adresse bleibt unverändert, sodass Benutzer mit denselben Methoden und Geräten auf ihre Apps und Daten zugreifen können.

Citrix ADC

Citrix ADC auf Microsoft Azure stellt sicher, dass Unternehmen Zugriff auf sichere und optimierte Anwendungen und Assets haben, die in der Cloud bereitgestellt werden, und bietet die Flexibilität, eine Netzwerkgrundlage zu schaffen, die sich an die sich ändernden Anforderungen einer Umgebung anpasst. Im Falle eines Datencenterausfalls leitet Citrix ADC den Benutzerdatenverkehr automatisch an einen sekundären Standort um, ohne dass Benutzerunterbrechungen auftreten. Der Lastenausgleich und der globale Serverlastenausgleich über mehrere Rechenzentren hinweg gewährleisten darüber hinaus eine optimale Serverintegrität, Kapazität und Auslastung.

Diskutieren Sie mit dem Kunden und definieren Sie den folgenden Anwendungsfall für jeden Ressourcenstandort:

Access-Methode Überlegungen
Nur intern Ein Citrix ADC ist nicht erforderlich, wenn nur interner Zugriff benötigt wird.
Externer Zugriff über Citrix ADC Gateway Service. Der Citrix Cloud ADC Gateway Service bietet ICA-Proxy (nur sichere Remotekonnektivität).
Externer Zugriff über Citrix ADC VPX, bereitgestellt in Azure Resource Location Ein Kunde muss eine Citrix ADC VPX Appliance in Azure in Betracht ziehen, wenn er Folgendes benötigt: 1. Multifaktor-Authentifizierung mit vollem SSON 2. Endpunkt-Scannen 3. Erweiterte Authentifizierungs- oder Vorauthentifizierungsrichtlinien 4. Citrix SmartAccess-Richtlinien. Hinweis: Diese Anforderungen führen dazu, dass die Authentifizierung beim Citrix ADC statt beim Workspace Experience Service erfolgt. StoreFront ist erforderlich, wenn die Authentifizierung von einem virtuellen Citrix ADC Gateway-Server verwaltet wird.

Citrix ADC — Bereitstellungsmodell

Aktiv-Aktiv-Bereitstellungen verwenden eigenständige Citrix ADC-Knoten, die mit dem Azure Load Balancer skaliert werden können. Aktiv-Passiv-Paare ermöglichen ein statusbehaftetes Failover des ICA-Datenverkehrs im Falle eines Knotenausfalls, sind jedoch auf die Kapazität eines einzelnen VPX beschränkt. Aktiv-Passive-Knoten benötigen außerdem Azure Load Balancer.

Citrix ADC ist auf 500 Mbit/s pro Azure-NIC begrenzt. Zur Isolierung des SNIP-, NSIP- und VIP-Datenverkehrs werden mehrere Netzwerkkarten empfohlen, um den für Citrix ADC Gateway oder andere Dienste verfügbaren Durchsatz zu maximieren.

Quellen

Ziel dieser Referenzarchitektur ist es, Sie bei der Planung Ihrer eigenen Implementierung zu unterstützen. Um Ihnen diese Arbeit zu erleichtern, möchten wir Ihnen Quelldiagramme zur Verfügung stellen, die Sie in Ihren eigenen detaillierten Designs und Implementierungsleitfäden anpassen können: Quelldiagramme.

Referenzen

Vorgänge

Identität

Unternehmensführung

Sicherheit

Azure-Monitor

Verbindungen

Referenzarchitektur: Citrix DaaS — Azure