Citrix Virtual Apps and Desktops Service unter Azure

Einführung

Dieses Handbuch unterstützt das Architektur- und Bereitstellungsmodell von Citrix Virtual Apps and Desktops -Services in Microsoft Azure.

Die Kombination von Citrix Cloud und Microsoft Azure ermöglicht es, neue virtuelle Citrix Ressourcen mit größerer Agilität und Elastizität aufzubauen und die Nutzung bei sich ändernden Anforderungen anzupassen. Virtuelle Maschinen in Azure unterstützen alle Steuerungs- und Arbeitslastkomponenten, die für eine Dienstbereitstellung von Citrix Virtual Apps and Desktops erforderlich sind. Citrix Cloud und Microsoft Azure verfügen über gemeinsame Steuerelemente-Integrationen, die Identität, Governance und Sicherheit für globale Abläufe festlegen.

Dieses Dokument enthält auch Anleitungen zu Voraussetzungen, Architekturentwurfsüberlegungen und Bereitstellungsleitfäden für Kundenumgebungen. In dem Dokument werden die Entwurfsentscheidungen und die Bereitstellungsüberlegungen für die folgenden fünf wichtigsten Architekturprinzipien erläutert:

  • Operations - Operations umfasst eine Vielzahl von Themen wie Image-Management, Service-Monitoring, Business Continuity, Support und andere. Zur Unterstützung der Automatisierung von Vorgängen stehen verschiedene Tools zur Verfügung, einschließlich Azure PowerShell, Azure CLI, ARM-Vorlagen und Azure-API.

  • Identität - Einer der Eckpfeiler des gesamten Bildes von Azure ist die Identität einer Person und deren rollenbasierten Zugriff (RBAC). Die Azure-Identität wird über Azure Active Directory (Azure AD) und Azure AD-Domänendienste verwaltet. Der Kunde muss entscheiden, welchen Weg er für seine Identitätsintegration gehen soll.

  • Governance — Der Schlüssel zur Governance ist die Festlegung der Richtlinien, Prozesse und Verfahren, die mit der Planung, Architektur, Akquisition, Bereitstellung und Betriebsverwaltung von Azure-Ressourcen verbunden sind.

  • Sicherheit - Azure bietet eine breite Palette von konfigurierbaren Sicherheitsoptionen und die Möglichkeit, diese zu steuern, damit Kunden die Sicherheit an die individuellen Anforderungen der Bereitstellung ihres Unternehmens anpassen können. In diesem Abschnitt erfahren Sie, wie Azure Sicherheitsfunktionen Ihnen dabei helfen können, diese Anforderungen zu erfüllen.

  • Konnektivität - Die Verbindung von virtuellen Azure-Netzwerken mit dem lokalen/Cloud-Netzwerk des Kunden wird als Hybrid-Netzwerk bezeichnet. In diesem Abschnitt werden die Optionen für die Netzwerkkonnektivität und das Routing von Netzwerkdiensten erläutert.

Planung

Die drei häufigsten Szenarien für die Bereitstellung von Citrix Apps und Desktops über Azure sind:

  • Greenfield-Bereitstellung mit Citrix Cloud zur Bereitstellung von Ressourcenstandorten in Azure. Dieses Szenario wird über den Dienst Citrix Virtual Apps and Desktops bereitgestellt und verwendet, wenn Kunden es vorziehen, zu einem Abonnementmodell zu wechseln und die Infrastruktur der Steuerungsebene an Citrix auszulagern.
  • Erweitern einer lokalen Bereitstellung in Azure. In diesem Szenario verfügt der Kunde über einen aktuelle lokalen Steuerungslayer und möchte Azure als Citrix Ressourcenstandort für neue Bereitstellungen oder Migration hinzufügen.
  • Heben und verschieben. In diesem Szenario stellen Kunden ihre Citrix Management-Infrastruktur in Azure bereit und behandeln Azure als Site, indem sie Citrix ADC und StoreFront verwenden, um Ressourcen von mehreren Standorten zu aggregieren.

Dieses Dokument konzentriert sich auf das Citrix Cloud-Bereitstellungsmodell. Kunden können diese Services basierend auf den Anforderungen ihrer Organisation planen und übernehmen:

Citrix Virtual Apps and Desktops Service

Citrix Cloud Virtual Apps und Desktops Services vereinfachen die Bereitstellung und Verwaltung von Citrix Technologien und helfen Kunden dabei, vorhandene lokale Softwarebereitstellungen zu erweitern oder zu 100 Prozent in die Cloud zu verlagern. Bieten Sie sicheren Zugriff auf Windows-, Linux- und Web-Apps sowie virtuelle Windows- und Linux-Desktops. Verwalten Sie Apps und Desktops zentral über mehrere Ressourcenstandorte hinweg, während Sie gleichzeitig eine hervorragende Benutzererfahrung erhalten.

Citrix Virtual Desktops Essentials Service

Citrix und Microsoft-Kunden haben mehr Möglichkeiten, Windows 10 Enterprise in ihrer Organisation bereitzustellen. Citrix Virtual Desktops Essentials Service beschleunigt die Migration von Windows 10 Enterprise für Kunden, die Microsoft Azure-Cloud-Lösungen bevorzugen. Dies ermöglicht Kunden, die Windows 10 Enterprise (Current Branch for Business) pro Benutzer lizenziert haben, die Option, ein virtuelles Windows 10 Enterprise-Desktoperlebnis von Azure bereitzustellen.

Citrix Virtual Apps Essentials Service

Citrix Virtual Apps Essentials, der neue Anwendungsvirtualisierungsdienst, kombiniert die Leistungsfähigkeit und Flexibilität der Citrix Cloud-Plattform mit der einfachen, verschreibenden und benutzerfreundlichen Vision von Microsoft Azure RemoteApp. Citrix Virtual Apps Essentials bietet überragende Leistung und Flexibilität, indem die Back-End-Infrastruktur in die Cloud verlagert wird. Dadurch wird die App-Bereitstellung vereinfacht, ohne dass das Management oder die Benutzerfreundlichkeit beeinträchtigt werden.

Konzeptionelle Referenzarchitektur

Diese konzeptionelle Architektur enthält allgemeine Richtlinien für die Bereitstellung eines Citrix Cloud-Ressourcenstandorts in Azure, die in den folgenden Abschnitten erläutert werden.

Azure-RA-Image-1

Diagram-1: Konzeptionelle Referenzarchitektur für Citrix Cloud

Weitere Informationen Design-Leitfaden zur Skalierbarkeit und Wirtschaftlichkeit der Bereitstellung von Citrix Virtual Apps and Desktops-Diensten auf Microsoft Azure

Vorgänge

Im Themenbereich “Operations” geht dieser Leitfaden tiefer in die Planung der Anforderungen der Workspace sumgebung und der Hierarchie für grundlegende Services ein. Auf der obersten Ebene befinden sich die Überlegungen zur Subskription, Ressourcengruppe und regionales Design. Gefolgt werden häufig gestellte Fragen zu VM-Speicher, Benutzerprofilspeicher und Masterimageverwaltung/-Bereitstellung. Außerdem wird eine Anleitung zur Optimierung der Reserved Instanz mit Autoscale und zur Planung von Business Continuity/Disaster Recovery bereitgestellt.

Benennungskonventionen

Die Benennung von Ressourcen in Microsoft Azure ist wichtig, weil:

  • Die meisten Ressourcen können nach der Erstellung nicht umbenannt werden
  • Bestimmte Ressourcentypen haben unterschiedliche Benennungsanforderungen
  • Konsistente Benennungskonventionen erleichtern das Auffinden von Ressourcen und können die Rolle einer Ressource angeben.

Der Schlüssel zum Erfolg bei Namenskonventionen besteht darin, diese in allen Anwendungen und Organisationen zu etablieren und zu verfolgen.

Beim Benennen von Azure-Abonnements machen ausführliche Namen das Verständnis des Kontexts und des Zwecks jedes Abonnements klar. Das Befolgen einer Namenskonvention kann die Klarheit bei der Arbeit in einer Umgebung mit vielen Abonnements verbessern.

Ein empfohlenes Muster für die Benennung von Abonnements ist:

Variable Beispiel Beschreibung
[System] CTX (Citrix), CORE (Azure) Bezeichner aus drei Buchstaben für das Produkt, die Anwendung oder den Dienst, den die Ressource unterstützt.
[Rolle] XAW (XenApp Workers), VDA (Virtual Delivery Agent), CC (Cloud Connector), CVA (Citrix Virtual Apps) Drei Buchstaben Bezeichner für ein Teilsystem des Dienstes.
[Umgebung] D, T, P (Entwicklung, Test oder Prod) Identifiziert die Umgebung für die Ressource
## 01, 02 Für Ressourcen mit mehr als einer benannten Instanz (Webserver usw.).
[Standort] WU (West US), EU (Ost US), SCU (South Central US) Identifiziert die Azure-Region, in der die Ressource bereitgestellt wird

Verwenden Sie beim Benennen von Ressourcen in Azure allgemeine Präfixe oder Suffixe, um den Typ und den Kontext der Ressource zu identifizieren. Während alle Informationen über Typ, Metadaten und Kontext programmgesteuert verfügbar sind, vereinfacht das Anwenden allgemeiner Affixe die visuelle Identifizierung. Wenn Sie Affixes in Ihre Namenskonvention einbinden, ist es wichtig, klar anzugeben, ob sich der Affix am Anfang des Namens (Präfix) oder am Ende (Suffix) befindet.

Ein klar definiertes Benennungsschema identifiziert System, Rolle, Umgebung, Instanzanzahl und Speicherort einer Azure-Ressource. Die Benennung kann mithilfe einer Azure-Richtlinie durchgesetzt werden.

Service Bereich Vorgeschlagenes Muster Beispiel
Abonnements Global [System][Environment]##[Location]-sub WSCD01scu-sub
Ressourcengruppen Global [System]-[Role]-[Environment]##-[Location]-rg CTX-Apps-P01-CUS-rg
Virtuelles Netzwerk Ressourcengruppe [System][Environment]##[Location]-vnet CTXP01cus-vnet
Subnetz Übergeordnetes VNet [Descriptive Context] DMZ - 10.0.1.0/24 Infrastructure - 10.0.2.0/24
Speicherkonto Ressourcengruppe [System][Role][Environment]##[Location] Hinweis: Muss in Kleinbuchstaben alphanumerisch sein ctxinfd01scu
Container Speicherkonto [Descriptive Context] vhds
Virtuelle Maschine Ressourcengruppe [System][Role][Environment]##[Location] Hinweis: Muss mindestens 15 Zeichen lang sein. CTXSTFD01scu
Netzwerkschnittstelle Ressourcengruppe [vmname]-nic# CTXSTFD01scu-nic1
Öffentliche IPs Ressourcengruppe [vmname]-pip CTXSTFD01scu-pip
Virtuelles Netzwerk-Gateway Virtuelles Netzwerk [System][Environment]##[Location]-vng WSCD01scu-vng
Lokales Netzwerk-Gateway Ressourcengruppe [System][Environment]##[Location]-lng WSCD01scu-lng
Verfügbarkeitssets Ressourcengruppe [System][Role]-as CTXSTF-as
Load Balancer Ressourcengruppe [System][Role]-lb CTXNSG-lb
Arbeitsbereiche Abonnement [System][Environment]-analytics CTXP-analytics
Tags Ressource [Descriptive Context] Finance
Schlüssel-Tresor Abonnement [System][Environment]-vault CTXP-vault

Abonnements

Die Auswahl eines Abonnementmodells ist eine komplexe Entscheidung, die das Verständnis des Wachstums des Azure-Footprints des Kunden innerhalb und außerhalb der Citrix-Bereitstellung beinhaltet. Selbst wenn die Citrix Bereitstellung klein ist, verfügt der Kunde möglicherweise noch über eine große Menge anderer Ressourcen, die stark gegen die Azure-API lesen/schreiben, was negative Auswirkungen auf die Citrix Umgebung haben kann. Das Gegenteil gilt auch, wenn viele Citrix Ressourcen eine übermäßige Anzahl der verfügbaren API-Aufrufe verbrauchen können, wodurch die Verfügbarkeit für andere Ressourcen innerhalb des Abonnements verringert wird.

Workspace smodell für einzelne Abonnements

In einem einzelnen Abonnementmodell befinden sich die gesamte Kerninfrastruktur und die Citrix Infrastruktur im selben Abonnement. Dies ist die Konfiguration, die für Bereitstellungen empfohlen wird, die bis zu 1.200 Citrix VDAs erfordern (kann Session, gepoolte VDI oder persistente VDI sein). Die Limits können sich ändern, überprüfen Sie die folgenden für die meisten aktuelle VDA-Grenzwerte. Im Folgenden Blog finden Sie die neuesten Start-Shutdown-Skalennummern innerhalb eines einzelnen Abonnements.

Diagram-2: Arbeitsbereichsmodell für Azure Einzelabonnements Azure-RA-Image-2

Workspace Modell für mehrere Abonnements

In diesem Modell befinden sich die Kerninfrastruktur und die Citrix Infrastruktur in separaten Abonnements, um die Skalierbarkeit in großen Bereitstellungen zu verwalten. Häufig werden Enterprise-Bereitstellungen mit Multi-Regionen-Infrastrukturentwurf in mehrere Abonnements unterteilt, um das Erreichen von Azure-Abonnementlimits zu verhindern.

Azure-RA-Image-3

Diagramm 3: Azure-Workspace smodell für mehrere Abonnements

Die folgenden Fragen enthalten Anleitungen, um Kunden dabei zu helfen, die Azure-Abonnementoptionen zu verstehen und ihre Ressourcen zu planen.

Komponente Voraussetzung
Enthält das Azure-Abonnement nur Citrix Ressourcen? Stellen Sie fest, ob das Azure-Abonnement für dedizierte Citrix Ressourcen verwendet wird oder ob die Citrix Ressourcen für andere Systeme freigegeben werden.
Bereitstellung von Einzel- oder Mehrfachabonnements? In der Regel sind mehrere Abonnementbereitstellungen für größere Bereitstellungen, bei denen einzelne Abonnementbeschränkungen ein Problem sind und genauere Sicherheitskontrollen erforderlich sind.
Welche Azure-Grenzwerte werden wahrscheinlich erreicht? Wie viele Ressourcen befinden sich in einer Ressourcengruppe? Ressourcengruppen sind begrenzt, und Maschinenerstellungsdienste (MCS) erfordern entweder 2 oder 3 Datenträger pro VM-Ressource. Überprüfen SieAzure-Abonnementbeschränkungenwährend der Planung der Lösung.
Welche Berechtigungen sind für das CVAD-Dienstprinzip für das Azure-Abonnement erforderlich? Citrix Virtual Apps and Desktops müssen innerhalb des Abonnements Ressourcengruppen und Ressourcen erstellen. Wenn dem Dienstprinzip beispielsweise kein vollständiger Zugriff auf ein Abonnement gewährt werden kann, muss ihm der Teilnehmerzugriff auf eine vordefinierte Ressourcengruppe gewährt werden.
Werden Entwicklungs- und Testumgebungen in separaten Abonnements von der Produktion erstellt? Das Isolieren von Entwicklungs- und Testabonnements von der Produktion ermöglicht die Anwendung und Änderung globaler Azure-Dienste in einer isolierten Umgebung und die Nutzung von Silosressourcen. Diese Vorgehensweise bietet Vorteile für Sicherheit, Compliance und Abonnementleistung. Das Erstellen separater Abonnements für diese Umgebungen erhöht die Komplexität der Imageverwaltung. Diese Kompromisse sollten auf der Grundlage der Kundenbedürfnisse berücksichtigt werden.

Azure-Regionen

Eine Azure-Region ist eine Gruppe von Rechenzentren, die innerhalb eines latenzdefinierten Umfangs bereitgestellt und über ein dediziertes regionales Netzwerk mit niedriger Latenz verbunden sind. Azure bietet Kunden die Flexibilität, Anwendungen dort bereitzustellen, wo sie es benötigen. Azure ist in 42 Regionen weltweit allgemein verfügbar. Ab November 2018 kündigte Pläne für weitere 12 Regionen an.

Eine Geographie ist ein diskreter Markt, der typischerweise zwei oder mehr Azure-Regionen enthält, die Datenresidenz- und Compliance-Grenzen beibehalten. Geographien ermöglichen es Kunden mit spezifischen Anforderungen an die Datenresidenz und Compliance, ihre Daten und Anwendungen in der Nähe zu halten.

Availability Zones sind physisch getrennte Standorte innerhalb einer Azure-Region. Jede Availability Zone besteht aus einem oder mehreren Rechenzentren, die mit unabhängiger Stromversorgung, Kühlung und Vernetzung ausgestattet sind. Availability Zones ermöglichen es Kunden, geschäftskritische Anwendungen mit hoher Verfügbarkeit und niedriger Latenz auszuführen. Um die Ausfallsicherheit zu gewährleisten, gibt es mindestens drei separate Zonen in allen aktivierten Regionen.

Berücksichtigen Sie diese Faktoren bei der Auswahl Ihrer Region.

Komponente Voraussetzung
Compliance und Datensicherheit Haben Kunden spezifische Compliance- oder Daten-Residency-Anforderungen? Microsoft kann Kundendaten zwischen Regionen innerhalb eines bestimmten Geo für Datenredundanz oder andere betriebliche Zwecke kopieren. Beispielsweise repliziert Azure Globally Redundant Storage (GRS) Blob- und Tabellendaten zwischen zwei Regionen innerhalb desselben Geo, um eine verbesserte Datenbeständigkeit zu gewährleisten, wenn es zu einem größeren Datencenter-Ausfall kommt. Bestimmte Azure-Dienste ermöglichen es dem Kunden nicht, die Region anzugeben, in der der Dienst bereitgestellt wird. Diese Dienste können Kundendaten in jedem der Rechenzentren von Microsoft speichern, sofern nicht anders angegeben. Überprüfen Sie dieAzure-Regionen KarteWebsite für die neuesten Updates.
Serviceverfügbarkeit Überprüfen Sie die Service-Verfügbarkeit in den vorläufigen Regionen. Die Serviceverfügbarkeit nach Regionen hilft dem Kunden festzustellen, welche Dienste in einer Region verfügbar sind. Während ein Azure-Dienst in einer bestimmten Region unterstützt werden kann, sind nicht alle Servicefunktionen in Sovereign Clouds wie Azure Government, Deutschland und China verfügbar.
Bestimmen Sie die Azure-Zielregionen für die Citrix Bereitstellung. Überprüfen Sie die Nähe der Azure-Region zu Benutzern und Kundenrechenzentren.
Sind mehrere Azure-Regionen erforderlich? Mehrere Azure-Regionen werden in der Regel aus folgenden Gründen auf hoher Ebene berücksichtigt: - Nähe zu Anwendungsdaten oder Endbenutzern - Geographische Redundanz für Business Continuity und Disaster Recovery - Azure-Feature- oder Service-Verfügbarkeit

Verfügbarkeitssets

Ein Verfügbarkeitssatz ist eine logische Gruppierungsfunktion, die in Azure verwendet werden kann, um sicherzustellen, dass die in einem Verfügbarkeitssatz platzierten VM-Ressourcen voneinander isoliert werden, wenn sie in einem Azure-Rechenzentrum bereitgestellt werden. Azure stellt sicher, dass die innerhalb eines Verfügbarkeitssatzes platzierten VMs auf mehreren physischen Servern, Rechen-Racks, Speichereinheiten und Netzwerk-Switches ausgeführt werden. Wenn ein Hardware- oder Azure-Softwarefehler auftritt, ist nur eine Teilmenge Ihrer VMs betroffen, und die Gesamtanwendung bleibt weiterhin bestehen und bleibt den Kunden zur Verfügung. Verfügbarkeitssets sind eine wesentliche Funktion, wenn Kunden zuverlässige Cloud-Lösungen entwickeln möchten.

Jede Komponente einer Citrix Bereitstellung sollte sich in einem eigenen Verfügbarkeitssatz befinden, um die Gesamtverfügbarkeit für Citrix zu maximieren. Beispielsweise sollte ein separater Verfügbarkeitssatz für Cloud Connectors, ein weiterer für Citrix Application Delivery Controller (ADC), StoreFront usw. verwendet werden.

Nach der Optimierung der Verfügbarkeitssätze besteht der nächste Schritt darin, die Ausfallzeiten von virtuellen Rechnern innerhalb der Verfügbarkeitssätze zu gewährleisten. Dadurch werden Dienstausfallzeiten minimiert/eliminiert, wenn VMs von Microsoft neu gestartet oder neu bereitgestellt werden. Dies kann auch auf geplante Wartungsereignisse erweitert werden. Es gibt zwei Funktionen, die Sie verwenden können, um die Zuverlässigkeit des Gesamtdienstes zu erhöhen.

Diese beiden Funktionen schützen nicht vor ungeplanten Wartungen/Abstürzen.

  • Azure Planned Maintenance
  • Azure Scheduled Events

Azure Planned Maintenance

Azure führt regelmäßig Updates durch, um die Zuverlässigkeit, Leistung und Sicherheit der Hostinfrastruktur in Azure zu verbessern. Wenn die Wartung einen Neustart erfordert, sendet Microsoft eine Benachrichtigung. Mit Azure Planned Maintenance ist es möglich, diese Hinweise zu erfassen und proaktiv nach dem Zeitplan des Kunden Maßnahmen zu ergreifen, anstatt nach dem Zeitplan von Microsoft.

Nutzen Sie die geplante Wartungsfunktion, indem Sie E-Mail-Benachrichtigungen an den Servicebesitzer jeder Stufe senden (für manuelle Eingriffe) und Runbooks erstellen, um den Serviceschutz zu automatisieren.

Azure Scheduled Events

Azure Geplante Ereignisse ist ein Azure-Metadatendienst, der Anwendungen programmgesteuert benachrichtigt, um eine sofortige Wartung zu erhalten. Sie enthält Informationen über bevorstehende Wartungsereignisse (z. B. Neustart), damit sich der Anwendungsadministrator auf Unterbrechungen vorbereiten und einschränken kann. Obwohl es wie geplante Wartung klingt, ist es nicht. Der wesentliche Unterschied besteht darin, dass diese Ereignisse für geplante und manchmal nicht geplante Wartungsarbeiten ausgelöst werden. Wenn Azure beispielsweise Hostheilungsaktivitäten ausführt und VMs kurzfristig verschieben muss.

Diese Ereignisse werden programmgesteuert verwendet und geben folgende Vorankündigung:

  • Einfrieren — 15 Minuten
  • Neustart — 15 Minuten
  • Redeploy — 10 Minuten

Disaster Recovery (DR)

Azure kann eine äußerst kostengünstige DR-Lösung für Citrix Kunden bereitstellen, die von der Cloud-Einführung heute sofort profitieren möchten. Die Deployment-Modell-Topologie bestimmt die Implementierung der DR-Lösung.

Erweiterung der Architektur

Unter dieser Topologie bleibt die Verwaltungsinfrastruktur lokal, aber Workloads werden in Azure bereitgestellt. Wenn das lokale Rechenzentrum nicht erreichbar ist, bleiben vorhandene verbundene Benutzer verbunden, aber neue Verbindungen sind nicht möglich, da die Verwaltungsinfrastruktur nicht verfügbar ist.

Um die Verwaltungsinfrastruktur zu schützen, konfigurieren Sie Azure Site Recovery vor, um die Verwaltungsinfrastruktur in Azure wiederherzustellen. Dies ist ein manueller Prozess und nach der Wiederherstellung kann Ihre Umgebung betriebsbereit gemacht werden. Diese Option ist nicht nahtlos und kann keine Komponenten wie ADC VPX wiederherstellen. Für Unternehmen mit einem flexibleren Recovery Time Objective (RTO) kann sie jedoch die Betriebskosten senken.

Hosting-Architektur

Bei der Bereitstellung dieser Topologie wird die Citrix Management-Infrastruktur in Azure bereitgestellt und als separater Standort behandelt. Dies ermöglicht eine funktionale Isolation von der lokalen Bereitstellung im Falle eines Standortausfalls. Verwenden Sie Citrix ADC und StoreFront, um Ressourcen zu aggregieren und Benutzern ein nahezu sofortiges Failover zwischen Production und Disaster Recovery-Ressourcen zu ermöglichen.

Das Vorhandensein der Citrix Infrastruktur in Azure bedeutet, dass keine manuellen Prozesse aufgerufen werden müssen und dass keine Systeme wiederhergestellt werden müssen, bevor Benutzer auf ihren zentralen Workspace zugreifen können.

Clouddienste-Architektur

Wenn Sie Citrix Cloud verwenden, wird Azure zu einem anderen Ressourcenstandort. Diese Topologie bietet die einfachste Bereitstellung, da die Verwaltungskomponenten von Citrix as a Service gehostet werden, und Disaster Recovery-Workloads können ohne Bereitstellung einer doppelten Infrastruktur zur Unterstützung erreicht werden. Die Benutzererfahrung während des Failovers im Katastrophenfall kann nahtlos sein.

Die Artikel in der folgenden Tabelle helfen dem Kunden bei der Notfallplanung:

Komponente Voraussetzung
Was sind die RTO- und RPO-Anforderungen der Citrix Umgebung? RTO - Gezielte Dauer der Zeit und ein Service-Level, innerhalb dessen ein Geschäftsprozess nach einer Katastrophe wiederhergestellt werden muss. RPO - Das Zeitintervall, das während einer Unterbrechung vergehen kann, bevor die in diesem Zeitraum verlorene Datenmenge den maximal zulässigen Schwellenwert oder die “Toleranz” des Business Continuity-Plans überschreitet.
Was ist das gewünschte Ergebnis, wenn eine Dienstunterbrechung in der gesamten Region auftritt, in der Ihre Azure-Virtual Machine-Anwendung bereitgestellt wird? Diese Optionen sollten in Übereinstimmung mit der RTO und RPO des Kunden für DR. überprüft werden. Disaster Recovery einer Citrix Umgebung in Azure kann mit Azure Site Recover, passivem Secondary Site und aktiver Site Azure Site behoben werden. Die Wiederherstellung unterstützt nur Serverbetriebssysteme (Citrix Infrastruktur und Server-VDAs). Clientbetriebssysteme werden nicht unterstützt (z. B. persistente Desktops, die mit ARM-Vorlagen erstellt wurden). Außerdem müssen Maschinenkataloge, die von MCS (Server oder Client VDA) erstellt wurden, mit einem Recovery-Task neu erstellt werden.

Ressourcengruppen

Resource Groups (RG) in Azure ist eine Sammlung von Assets in logischen Gruppen für einfache oder sogar automatische Provisioning, Überwachung und Zugriffskontrolle sowie für eine effizientere Verwaltung ihrer Kosten. Der Vorteil der Verwendung von RGs in Azure besteht in der Gruppierung zugehöriger Ressourcen, die zu einer Anwendung gehören, da sie einen einheitlichen Lebenszyklus von der Erstellung bis zur Verwendung und schließlich der Aufhebung der Bereitstellung gemeinsam nutzen.

Der Schlüssel zu einem erfolgreichen Entwurf von Ressourcengruppen ist das Verständnis des Lebenszyklus der Ressourcen, die in ihnen enthalten sind.

Ressourcengruppen sind zum Zeitpunkt der Erstellung an Maschinenkataloge gebunden und können nicht später hinzugefügt oder geändert werden. Um zusätzliche Ressourcengruppen zu einem Maschinenkatalog hinzuzufügen, muss der Maschinenkatalog entfernt und neu erstellt werden.

Imageverwaltung

Image-Management ist der Prozess zum Erstellen, Aktualisieren und Zuweisen eines Images, das konsistent in Entwicklungs-, Test- und Produktionsumgebungen angewendet wird. Bei der Entwicklung eines Image-Management-Prozesses sollte Folgendes berücksichtigt werden:

Bedarfsgesteuertes Provisioning

Der Kunde muss ermitteln, ob MCS zum Verwalten der nicht persistenten Azure-Computer oder zum Erstellen eigener ARM-Vorlagen (Azure Resource Manager) verwendet wird. Wenn ein Kunde MCS zum Erstellen von Maschinenkatalogen verwendet, senkt die Azure On-Demand-Provisioning funktion die Speicherkosten, sorgt für schnellere Katalogerstellung und schnellere Energievorgänge der virtuellen Maschine. Beim bedarfsgesteuerten Provisioning in Azure werden VMs nur erstellt, wenn Citrix Virtual Apps and Desktops nach Abschluss des Provisionings eine Einschaltaktion initiiert. Eine VM ist im Azure-Portal nur sichtbar, wenn sie ausgeführt wird, während in Citrix Studio alle VMs unabhängig vom Energiestatus sichtbar sind. Computer, die über ARM-Vorlagen oder MCS erstellt wurden, können von Citrix über eine Azure-Hostverbindung in Citrix Studio mit Strom verwaltet werden.

Container für Speicherkonten

Der Kunde muss die Organisationsstruktur für die Speicherung von Quellimages (oder goldenen Images) entscheiden, aus denen die virtuellen Maschinen mit Citrix Maschinenerstellungsdienste (MCS) erstellt werden sollen. Citrix MCS-Images können aus Snapshots, verwalteten oder nicht verwalteten Datenträgern stammen und sich auf Standard- oder Premium-Speicher befinden. Auf nicht verwaltete Datenträger wird über allgemeine Speicherkonten zugegriffen und als VHDs in Azure Blob-Speichercontainern gespeichert. Container sind Ordner, die zum Trennen von Produktions-, Test- und Entwicklungsimages verwendet werden können.

Image-Replikation

Der Kunde muss den geeigneten Prozess für die Replizierung von Images über Regionen hinweg bestimmen und wie die Citrix App Layering Technologie im Rahmen der gesamten Imageverwaltungsstrategie eingesetzt werden kann. PowerShell-Skripte werden mit Azure Automation verwendet, um die Image-Replikation zu planen. Weitere Informationen zum Citrix App Layering finden Sie hier, beachten Sie jedoch, dass Elastic Layering eine SMB-Dateifreigabe erfordert, die sich nicht in Azure-Dateien befindet. Im Abschnitt Dateiserver finden Sie unterstützte SMB-Share-Technologien, die Elastic Layering unterstützen.

Dateiserver-Technologien

Azure bietet mehrere Dateiservertechnologien, die zum Speichern von Citrix Benutzerdaten, Roamingprofilinformationen oder als Ziele für Citrix Layering-Freigaben verwendet werden können. Zu diesen Optionen gehören die folgenden:

  • Standalone-Dateiserver
  • Dateiserver mit Speicherreplikat
  • Scale-Out-Dateiserver (SOFS) mit Storage Spaces Direct (S2D)
  • Verteiltes Dateisystem — Replikation (DFS-R)
  • Speicher-Appliances von Drittanbietern von Azure Marketplace (z. B. NetApp und andere)

Der Kunde sollte Dateiserver-Technologien auswählen, die seinen geschäftlichen Anforderungen am besten entsprechen. In der folgenden Tabelle werden einige Vorteile und Überlegungen für jede der verschiedenen Dateisergebungstechnologien beschrieben.

Optionen Vorteile Überlegungen
Standalone-Dateiserver Bekannt und getestet. Kompatibel mit vorhandenen Backup/Restore Produkten Single Point of Failure. Keine Datenredundanz. Ausfall für monatliches Patching, gemessen in Minuten.
Dateiserver mit Speicherreplikat Replikation auf Blockebene. SMB 3.0. Speicheragnostic (SAN, Cloud, Lokal usw.). Bietet synchrone und asynchrone Replikation. Empfohlen, wenn Zugriff über mehrere Regionen erforderlich ist Manuelles Failover erforderlich. Verwendet 2 x Speicherplatz. Manuelles Failover hat immer noch Ausfallzeiten, gemessen in Minuten. DNS-Abhängigkeit.
SOFS auf Lagerplätzen direkt Hohe Verfügbarkeit. Multi-Node- und Multi-Disk-HA. Skalieren oder verkleinern. SMB 3.0 und 3.1. Transparentes Failover bei geplanten und ungeplanten Wartungsaktivitäten. Empfohlen für die Speicherung von Benutzerprofilen in Azure Verwendet 2-3 x Speicherplatz. Der Support für Backup-Software von Drittanbietern kann vom Anbieter eingeschränkt werden. Unterstützt keine Bereitstellung in mehreren Regionen
Verteiltes Dateisystem — Replikation Bewährte Technologie für dateibasierte Replikation. Unterstützt PowerShell Domänenbasiert. Kann nicht in einer aktiven Konfiguration bereitgestellt werden.
Speicheranwendungen von Drittanbietern Deduplizierungstechnologien. Bessere Nutzung von Stauraum. Zusätzliche Kosten. Proprietäre Management-Tools.

Die empfohlenen Typen virtueller Dateiserver sind in der Regel DS1, DS2, DS3, DS4 oder DS5, wobei die entsprechende Auswahl je nach Kundennutzungsanforderungen erfolgt. Um eine optimale Leistung zu erzielen, stellen Sie sicher, dass die Premium-Datenträgerunterstützung ausgewählt ist. Zusätzliche Anleitungen finden Sie in Microsoft Azure Dokumentation.

Infrastrukturkostenmanagement

Es stehen zwei Technologien zur Verfügung, mit denen die Kosten für die Citrix Umgebung in Azure reduziert werden können, reservierte Instanzen und Citrix Autoscale.

Reservierte Instanzen

Azure Reserved VM-Instanzen (RIs) senken die Kosten erheblich — bis zu 72 Prozent im Vergleich zu den kostenpflichtigen Preisen — mit ein- oder dreijährigen Bedingungen auf virtuellen Windows- und Linux-Computern (VMs). Wenn Kunden die durch Azure-RIs erzielten Kosteneinsparungen mit dem Mehrwert des Azure-Hybridvorteils kombinieren, können sie bis zu 80 Prozent sparen. Die 80% werden auf der Grundlage einer dreijährigen Azure Reserved Instanz-Verpflichtung eines Windows Servers im Vergleich zum normalen Auszahlungssatz berechnet.

Azure Reserved Instanzen erfordern zwar Vorabverpflichtungen zur Rechenkapazität , bieten aber auch Flexibilität, reservierte Instanzen jederzeit auszutauschen oder zu stornieren. Eine Reservierung deckt nur die Rechenkosten der virtuellen Maschine ab. Dadurch werden keine zusätzlichen Software-, Netzwerk- oder Speichergebühren gesenkt. Dies ist gut für die Citrix Infrastruktur und die Mindestkapazität, die für einen Anwendungsfall (ein- und ausgeschaltet) benötigt wird.

Die Citrix Autoscale-Funktion unterstützt auch reservierte Instanzen, um Ihre Kosten weiter zu senken - Sie können jetzt Autoscale für Bursting in der Cloud verwenden. In einer Bereitstellungsgruppe können Sie Maschinen kennzeichnen, die automatisch skaliert werden müssen und Ihre reservierten Instanzen (oder lokalen Arbeitslasten) ausschließen. Weitere Informationen finden Sie hier:Beschränken der automatischen Skalierung auf bestimmte Maschinen in einer Bereitstellungsgruppe.

Citrix Autoscale

Autoscale ist eine exklusive Funktion des Citrix Virtual Apps and Desktops Service, die eine konsistente, leistungsstarke Lösung für die proaktive Stromversorgung Ihrer Maschinen bietet. Es zielt auf eine Balance zwischen Kosten und Benutzererfahrung ab. Autoscale integriert die veraltete Smart Scale Technologie in die Studio-Energieverwaltungslösung.

Maschinentyp Zeitplanbasiert Lastbasiert Laden und zeitplanbasiert
Serverbetriebssystemmaschinen , auf denen veröffentlichte Anwendungen oder gehostete freigegebene Desktops gehostet werden (Server-VDI) Unterstützt Unterstützt Unterstützt
Desktopbetriebssystemmaschinen mit statischen persistenten (dedizierten) VDI-Desktops Unterstützt In Zeiten, in denen Computer ausgeschaltet sind (z. B. nach Arbeitszeiten), können Benutzer das Einschalten von Maschinen über den Citrix Receiver auslösen. Sie können die Ausschaltverzögerung von Autoscale so einstellen, dass Autoscale Maschinen nicht automatisch ausschaltet, bevor der Benutzer eine Sitzung einrichten kann. Wird nur für nicht zugewiesene Maschinen unterstützt. Wird nur für nicht zugewiesene Maschinen unterstützt.
Desktopbetriebssysteme — Hosting von Rechnern — zufällige nicht persistente VDI-Desktops (gepoolte VDI-Desktops) Unterstützt Unterstützt Verwenden Sie die Skalierungsmetrik “Sitzungsanzahl”, und legen Sie die maximale Anzahl von Sitzungen auf 1 fest. Unterstützt Verwenden Sie die Skalierungsmetrik “Sitzungsanzahl”, und legen Sie die Mindestanzahl von Maschinen auf 1 fest.

Azure-RA-Image-4

Diagramm 4: Citrix Autoskalierungsfluss

Sie können mehr über Citrix Autoscale lesenhier.

Optimieren der Benutzererfahrung

Die Optimierung der Endbenutzererfahrung beinhaltet den Ausgleich der Wahrnehmung des Endbenutzers von Reaktionsfähigkeit mit den Geschäftsanforderungen, innerhalb eines Budgets zu bleiben. In diesem Abschnitt werden die Entwurfskonzepte und -entscheidungen zur Bereitstellung einer Umgebung erläutert, die für das Unternehmen und den Endbenutzer richtig dimensioniert ist.

Benutzerarbeitsbereich definieren

Bei der Planung einer Benutzerbewertung bietet dieCitrix VDI Handbook and Best PracticesDokumentation wertvolle Anleitungen. Lesen Sie die folgenden Fragen auf hoher Ebene, um bestehende Anwendungsfälle und die Ressourcen, die für ihre Endbenutzer benötigt werden, besser zu verstehen.

Thema Frage
Anzahl der Benutzer Wie viele Benutzer werden in der Umgebung erwartet? Wurde in der Bewertungsphase das entsprechende VDI-Modell ermittelt? (Virtual Apps oder Virtual Desktops)
Anwendungsfälle Welche Arten von Anwendungen werden von den Endbenutzern verbraucht? Was sind die VDA-Anforderungen für die Anwendungen? Wie werden die Anwendungen am besten bereitgestellt? (Virtual Apps im Vergleich zu Virtual Desktops)
Arbeitszeiten der Benutzergruppe Wann greifen Benutzer auf die Umgebung zu? Was sind die Spitzenzeiten? Was ist der erwartete Verbrauch während des Tages? (Der Verbrauch von Benutzern während bestimmter Stunden hilft dabei, Workspace sanforderungen für die Skalierungsautomatisierung und den Kauf von Azure Reserved Instanz zu identifizieren.)
Standort Wo befinden sich die Endbenutzer? Sollen Arbeitsbereiche in mehreren Regionen oder nur in einer Region bereitgestellt werden?
Benutzer- und Anwendungsdaten Wo werden die Benutzer- und Anwendungsdaten gespeichert? Werden Daten ausschließlich in Azure, nur lokal oder in einer Mischung aus beidem enthalten? Was ist die maximal tolerierbare Latenz für den Zugriff auf die Benutzerdaten?

Azure-VM-Instanztypen

Jede Citrix Komponente verwendet einen zugehörigen virtuellen Maschinentyp in Azure. Jede verfügbare VM-Serie wird einer bestimmten Kategorie von Arbeitslasten zugeordnet (allgemein verwendbar, computeroptimiert usw.) mit verschiedenen Größen, die die der VM zugewiesenen Ressourcen steuern (CPU, Arbeitsspeicher, IOPS, Netzwerk usw.).

Die meisten Citrix Bereitstellungen verwenden die Instanztypen der D-Serie und der F-Serie. Die D-Serie wird häufig für die Citrix Infrastrukturkomponenten und manchmal für die Benutzerarbeitslasten verwendet, wenn sie zusätzlichen Arbeitsspeicher benötigen, der über die Instanz-Typen der F-Serie hinausgeht. Die Instanztypen der F-Serie sind bei Benutzerworkloads am häufigsten wegen ihrer schnelleren Prozessoren, die die Wahrnehmung der Reaktionsfähigkeit mit sich bringen.

Warum D-Serie oder F-Serie? Aus Citrix-Perspektive verwenden die meisten Infrastrukturkomponenten (Cloud Connectors, StoreFront, ADC usw.) CPU, um Kernprozesse auszuführen. Diese VM-Typen haben ein ausgewogenes CPU-Speicher-Verhältnis, werden auf einheitlicher Hardware gehostet (im Gegensatz zur A-Serie) für eine konsistentere Leistung und Unterstützung von Premium-Speicher. Sicherlich können und sollten Kunden ihre Instanztypen an ihre Anforderungen und ihr Budget anpassen.

Die Größe und Anzahl der Komponenten innerhalb der Infrastruktur eines Kunden hängt immer von den Anforderungen, dem Umfang und den Arbeitslasten des Kunden ab. Mit Azure haben wir jedoch die Möglichkeit, dynamisch und bedarfsgerecht zu skalieren! Für kostenbewusste Kunden ist der Start kleiner und die Skalierung der beste Ansatz. Azure-VMs erfordern einen Neustart, wenn die Größe geändert wird. Planen Sie diese Ereignisse also nur innerhalb von geplanten Wartungsfenstern und unter festgelegten Änderungssteuerungsrichtlinien.

Wie wäre es mit Scale-up oder Scale-Out?

Die folgenden allgemeinen Fragen sollten überprüft werden, um den Anwendungsfall eines Kunden und die für seine Endbenutzer benötigten Ressourcen besser zu verstehen. Dies hilft ihnen auch, ihre Arbeitsbelastung im Voraus zu planen.

Die Skalierung ist am besten, wenn die Kosten pro Benutzer und Stunde am niedrigsten sein müssen und eine größere Auswirkung toleriert werden kann, wenn die Instanz fehlschlägt. Eine Skalierung wird bevorzugt, wenn die Auswirkungen eines Ausfalls einer einzelnen Instanz minimiert werden müssen. Die folgende Tabelle enthält einige Beispielinstanztypen für verschiedene Citrix Komponenten.

Komponente Empfohlener Instanztyp
Delivery Controller, Cloud Connectors Standard DS2_v2 oder DS2_v3 mit Premium-SSD-Speicher
Skalieren von Serverbetriebssystem-Benutzerworkloads Standard_F16S_v2 VMs mit Virtual App wurden ermittelt, dass sie im Vergleich zu anderen Instanzen die niedrigsten $/Benutzer/Std. aufweisen. Standard_DS5_v2 VMs waren ebenfalls kostengünstig im Vergleich zu anderen Instanzen
Ausskalieren von Serverbetriebssystem-Benutzerworkloads Standard_F4_v2 und Standard_F8_v2 Instanzen unterstützen eine geringere Benutzeranzahl, bieten jedoch mehr Flexibilität bei Energieverwaltungsvorgängen aufgrund kleinerer Benutzercontainergrößen. Auf diese Weise können Maschinen effektiver freigegeben werden, um Kosten für nutzungsbasierte Instanzen zu sparen. Außerdem sind die Fehlerdomänen beim Skalieren kleiner.
Desktopbetriebssystem-Benutzerworkloads Standard_F2_v2 weist die niedrigsten Dualcore-Kosten auf und funktioniert gut mit Windows 10.

Die neueste Instanztypstudie wurde durchgeführt, um einen großen Einblick in diesen Bereich zu bieten, und wir empfehlen dieLesezugriff. In allen Fällen sollten Kunden die Instanztypen mit ihren Arbeitslasten bewerten.

Berücksichtigen Sie bei grafikintensiven Workloads die NVv4-series virtuellen Maschinen. Sie werden von AMD EPYC 7002-Prozessoren und virtualisiertem Radeon MI25-GPU unterstützt. Diese virtuellen Maschinen sind optimiert und für VDI und Remote-Visualisierung konzipiert. Mit partitionierten GPUs bietet NvV4 die richtige Größe für Workloads, die kleinere GPU-Ressourcen zum optimalen Preis erfordern. Alternativ ist die NvV3-Serie optimiert und für Remote-Visualisierung, Streaming, Gaming, Codierung und VDI-Szenarien mit Frameworks wie OpenGL und DirectX konzipiert. Diese VMs werden von der NVIDIA Tesla M60 GPU unterstützt. Weitere GPU-Optionen finden Sie auf der anderen Seite Angebote von Azure.

Während die Skalierung in der Regel ein bevorzugtes Modell ist, um die Kosten zu senken, kann Autoscale von kleineren Instanzen profitieren (15-20 Sitzungen pro Host). Kleinere Instanzen hosten weniger Benutzersitzungen als größere Instanzen. Daher versetzt Autoscale bei kleineren Instanzen Maschinen viel schneller in den Drainingzustand , da die Abmeldung der letzten Benutzersitzung schneller erfolgt. Infolgedessen schaltet Autoscale kleinere Instanzen früher aus, wodurch die Kosten gesenkt werden. Weitere Informationen zu Überlegungen zur Instanzgröße für Autoscale finden Sie inamtliche Dokumentation.

Speicher

Wie jeder andere Computer verwenden virtuelle Maschinen in Azure Datenträger als Speicherort für ein Betriebssystem, Anwendungen und Daten. Alle virtuellen Azure-Computer verfügen über mindestens zwei Laufwerke — einen Windows-Betriebssystemdatenträger und einen temporären Datenträger. Der Betriebssystemdatenträger wird aus einem Image erstellt, und sowohl der Betriebssystemdatenträger als auch das Image werden in Azure als virtuelle Festplatten (VHDs) gespeichert. Virtuelle Maschinen können auch zusätzliche Datenträger haben, die als Datenträger angeschlossen sind und auch als VHDs gespeichert sind.

Azure Disks wurden entwickelt, um Langlebigkeit auf Enterprise-Klasse zu gewährleisten. Es gibt drei Leistungsstufen für den Speicher, die beim Erstellen von Datenträgern ausgewählt werden können: Premium SSD-Festplatten, Standard SSD und Standard HDD-Speicher, und die Datenträger können entweder verwaltet oder nicht verwaltet werden. Verwaltete Datenträger sind standardmäßig und unterliegen nicht den Speicherkontenbeschränkungen wie die nicht verwalteten Datenträger.

Verwaltete Datenträger werden von Microsoft über die nicht verwaltete Datenträger empfohlen. Nicht verwaltete Datenträger sollten nur ausnahmsweise berücksichtigt werden. Standardspeicher (HDD und SSD) umfasst Transaktionskosten (Speicher-E/A), die berücksichtigt werden müssen, jedoch niedrigere Kosten pro Datenträger aufweisen. Premium Storage hat keine Transaktionskosten, aber höhere Kosten pro Datenträger und bietet eine verbesserte Benutzererfahrung.

Die Datenträger bieten keine SLA, es sei denn, ein Verfügbarkeitsset wird verwendet. Availability Sets werden von Citrix MCS nicht unterstützt, sollten jedoch in Citrix Cloud Connector, ADC und StoreFront enthalten sein.

Identität

Der Abschnitt konzentriert sich auf Identitäts-Steuerelemente, Workspace -Benutzerplanung und die Endbenutzererfahrung. Die primäre Entwurfsüberlegung ist die Verwaltung von Identitäten innerhalb von Azure und Citrix Cloud-Mandanten.

Microsoft Azure Active Directory (Azure AD) ist eine Cloud-Lösung zur Identitäts- und Zugriffsverwaltung, die Verzeichnisdienste, Identitätsverwaltung und Anwendungszugriffsverwaltung bereitstellt. Ein einzelnes Azure AD-Verzeichnis wird automatisch einem Azure-Abonnement zugeordnet, wenn es erstellt wird.

Jedes Azure-Abonnement verfügt über eine Vertrauensstellung mit einem Azure AD-Verzeichnis, um Benutzer, Dienste und Geräte zu authentifizieren. Mehrere Abonnements können demselben Azure AD-Verzeichnis vertrauen, aber ein Abonnement wird nur einem einzelnen Azure AD-Verzeichnis vertrauen.

Die Identitätslösungen von Microsoft umfassen on-premises und Cloud-basierte Funktionen und schaffen so eine einheitliche Benutzeridentität für die Authentifizierung und Autorisierung für alle Ressourcen, unabhängig vom Standort. Dieses Konzept wird als Hybrid Identity bezeichnet. Es gibt verschiedene Design- und Konfigurationsoptionen für die Hybrid-Identität mit Microsoft-Lösungen. In einigen Fällen kann es schwierig sein, festzustellen, welche Kombination den Anforderungen einer Organisation am besten entspricht.

Allgemeine Überlegungen zum Identitätsentwurf

Bei der Erweiterung des Active Directory Standorts auf Azure wird in der Regel die Active Directory-Replikation verwendet, um Identität und Authentifizierung mit Citrix Workspace bereitzustellen. Ein häufiger Schritt besteht darin, AD Connect zu verwenden, um Benutzer in Azure Active Directory zu replizieren, das Ihnen die für Windows 10 erforderliche Abonnementaktivierung bereitstellt.

Es wird empfohlen, lokale Active Directory Domänendienste auf das Azure Virtual Network Subnetz zu erweitern, um vollständige Funktionen und Erweiterbarkeit zu erhalten. Azure rollenbasierte Zugriffssteuerung (RBAC) unterstützt die Bereitstellung einer fein abgestimmten Zugriffsverwaltung für Azure-Ressourcen. Zu viele Berechtigungen können Angreifer aussetzen und ihnen Rechnung tragen. Zu wenige Berechtigungen bedeuten, dass Mitarbeiter ihre Arbeit nicht effizient erledigen können. Mithilfe von RBAC kann der Administrator Mitarbeitern die genauen Berechtigungen erteilen, die sie benötigen.

Authentifizierung

Domänendienste (AD DS oder Azure AD DS) sind für die zentrale Citrix Funktionalität erforderlich. RBAC ist ein auf Azure Resource Manager basierendes Autorisierungssystem, das eine feinkörnige Zugriffsverwaltung von Ressourcen in Azure ermöglicht. Mit RBAC können Sie die Zugriffsebene, die Benutzer haben, detailliert steuern. Beispielsweise können Sie einen Benutzer auf die Verwaltung virtueller Netzwerke beschränken und einen anderen Benutzer auf die Verwaltung aller Ressourcen in einer Ressourcengruppe beschränken. Azure enthält mehrere integrierte Rollen, die Sie verwenden können.

Die Azure AD-Authentifizierung wird für den Workspace Experience Service und die Citrix ADC/StoreFront-Authentifizierung unterstützt. Für vollständige SSON mit Azure AD muss der Citrix Federated Authentication Service (FAS) oder Azure AD DS (für Kern-Domänendienste) verwendet werden.

Citrix FAS wird für den Workspace Experience Service noch nicht unterstützt, daher ist StoreFront als Teil der Bereitstellungsarchitektur erforderlich. Azure MFA Server (Cloud Service, Azure MFA Server, Azure MFA NPS Extension) kann die Verwendung von Azure MFA ohne eine SAML-Richtlinie und die Verwendung von Citrix FAS für die vollständige SSON ermöglichen. Dies ist jedoch eine IaaS-VM und muss vom Kunden verwaltet werden.

Active Directory - und Azure Active Directory Ergebnisse

  • Mandant mit Azure Active Directory-Provisioning
  • Liste der gewünschten Organisationsrollen für Azure RBAC mit Zuordnung zu integrierten oder benutzerdefinierten Azure-Rollen
  • Liste der gewünschten Admin-Zugriffsebenen (Konto, Abonnement, Ressourcengruppe usw.)
  • Verfahren zur Gewährung von Zugriff/Rolle für Azure
  • Verfahren zum Zuweisen von JIT-Höhen (just in time) für Benutzer für bestimmte Aufgaben

Im Folgenden finden Sie eine Beispielarchitektur für das Namespace-Layout und den Authentifizierungsfluss.

Azure-RA-Image-5

Diagram-5: Architektur des Namespace-Layouts und des Authentifizierungsflusses

Citrix Cloud-Administration + Azure AD

Standardmäßig verwendet Citrix Cloud den Citrix Identitätsanbieter, um die Identitätsinformationen für alle Benutzer zu verwalten, die auf die Citrix Cloud zugreifen. Kunden können dies ändern, um stattdessen Azure Active Directory (AD) zu verwenden. Durch die Verwendung von Azure AD mit Citrix Cloud können Kunden:

  • Verwenden Sie ihr eigenes Active Directory, damit sie Überwachung, Kennwortrichtlinien steuern und Konten bei Bedarf einfach deaktivieren können.
  • Konfigurieren Sie die Multi-Faktor-Authentifizierung für ein höheres Maß an Sicherheit gegen die Möglichkeit gestohlener Anmeldeinformationen.
  • Verwenden Sie eine Marken-Anmeldeseite, damit Ihre Benutzer wissen, dass sie sich am richtigen Ort anmelden.
  • Verbund mit einem Identitätsanbieter nach Wahl, z. B. ADFS, Okta oder Ping

Citrix Cloud enthält eine Azure AD-App, mit der Citrix Cloud sich mit Azure AD verbinden kann, ohne dass Sie bei einer aktiven Azure AD-Sitzung angemeldet sein müssen. Mit der Citrix Cloud-Administratoranmeldung können Azure AD-Identitäten im Citrix Cloud-Mandanten verwendet werden.

  • Bestimmen Sie, ob Citrix Cloud-Administratoren ihre Citrix Identity oder Azure AD für den Zugriff auf die Citrix Cloud verwenden. Die URL folgt dem Format https://citrix.cloud.com/go/{Customer Determined}
  • Identifizieren der Authentifizierungs-URL für die Azure AD-Authentifizierung in Citrix Cloud

Governance

Azure Governance ist eine Sammlung von Konzepten und Diensten, die die Verwaltung Ihrer verschiedenen Azure-Ressourcen in großem Umfang ermöglichen. Diese Dienste bieten die Möglichkeit, Ihre Abonnements auf logische Weise zu organisieren und zu strukturieren, um native Azure-Pakete mit Ressourcen zu erstellen, bereitzustellen und wiederverwendbar zu machen. Dieses Thema konzentriert sich auf die Festlegung der Richtlinien, Prozesse und Verfahren, die mit der Planung, Architektur, Akquisition, Bereitstellung, dem Betrieb und der Verwaltung von Azure-Ressourcen verbunden sind.

Citrix Cloud-Administratoranmeldung

Stellen Sie fest, ob Citrix Cloud-Administratoren ihre Citrix Identity, Active Directory Identität oder Azure AD verwenden, um auf Citrix Cloud zuzugreifen. Die Azure AD-Integration ermöglicht eine mehrstufige Authentifizierung in Citrix Cloud für Administratoren. Identifizieren Sie die Authentifizierungs-URL für die Azure AD-Authentifizierung in Citrix Cloud. URL folgt dem Formathttps://citrix.cloud.com/go/{Customer Determined}.

RBAC-Berechtigungen und Delegierung

Mit Azure AD-Kunden können ihre Governance-Richtlinien mithilfe der rollenbasierten Zugriffssteuerung (RBAC) von Azure-Ressourcen implementieren. Eines der wichtigsten Werkzeuge für die Anwendung dieser Berechtigungen ist das Konzept einer Ressourcengruppe. Stellen Sie sich eine Ressourcengruppe als ein Bündel von Azure-Ressourcen vor, die den Lebenszyklus und die Verwaltung gemeinsam nutzen.

Im Kontext einer Citrix Umgebung sollten diese so organisiert werden, dass eine ordnungsgemäße Delegation zwischen Teams möglich ist und das Konzept der geringsten Privilegien gefördert wird. Ein gutes Beispiel ist, wenn eine Citrix Cloud-Bereitstellung einen Citrix ADC VPX verwendet, der vom Azure Marketplace für externen Zugriff bereitgestellt wird. Obwohl es sich um ein Kernstück der Citrix Infrastruktur handelt, könnten die Citrix ADCs einen separaten Aktualisierungszyklus, eine Reihe von Administratoren usw. haben. Dies würde die Trennung der Citrix ADCs von den anderen Citrix Komponenten in separate Ressourcengruppen erfordern, damit die Azure RBAC-Berechtigungen über die Verwaltungszonen angewendet werden können von Mandanten, Abonnements und Ressourcen.

MCS-Dienstprinzipal

Um auf Ressourcen zuzugreifen, die durch einen Azure AD-Mandanten gesichert sind, muss die Entität, für die der Zugriff erforderlich ist, durch einen Sicherheitsprinzipal dargestellt werden. Dies gilt sowohl für Benutzer (Benutzerprinzipal) als auch für Anwendungen (Dienstprinzipal). Der Sicherheitsprinzipal definiert die Zugriffsrichtlinie und die Berechtigungen für den Benutzer/die Anwendung im Azure AD-Mandanten. Dies ermöglicht Kernfunktionen wie die Authentifizierung des Benutzers/der Anwendung während der Anmeldung und die Autorisierung während des Ressourcenzugriffs.

Bestimmen Sie die Berechtigungen, die dem Dienstprinzipal zugewiesen sind, der vom Citrix MCS-Dienst verwendet wird.

Abonnementbereichsdienstprinzipale verfügen über Teilnehmerrechte für das entsprechende Abonnement, das von der Citrix Umgebung verwendet wird. Für die Dienstprinzipale für den engen Bereich wird eine granulare RBAC auf die Ressourcengruppen angewendet, die das Netzwerk, die Masterimages und die VDAs enthalten. Dienstprinzipale für engen Bereich werden empfohlen, um die Berechtigungen nur auf die Berechtigungen zu beschränken, die vom Dienst benötigt werden. Dies entspricht dem Sicherheitskonzept des “geringsten Privilegien”.

Markierung

Der Kunde wendet Tags auf seine Azure-Ressourcen an, um Metadaten logisch in einer Taxonomie zu organisieren. Jedes Tag besteht aus einem Namen und einem Wertepaar. Sie können beispielsweise den Namen “Umgebung” und den Wert “Produktion” auf alle Ressourcen in der Produktion anwenden.

Der Kunde kann alle Ressourcen in Ihrem Abonnement mit diesem Tag-Namen und -Wert abrufen. Tags ermöglichen es ihnen, verwandte Ressourcen aus verschiedenen Ressourcengruppen abzurufen. Dieser Ansatz ist hilfreich, wenn Administratoren Ressourcen für die Abrechnung oder Verwaltung organisieren müssen.

Es gibt ein Limit von 15 Tags pro Ressource. Citrix MCS erstellt 2 Tags pro VM, daher ist ein Kunde auf 13 Tags für MCS-Maschinen beschränkt. MCS nicht persistente Maschinen werden beim Neustart gelöscht. Dadurch werden Azure VM-spezifische Merkmale wie Tags und Bootdiagnosen entfernt Wenn Tags erforderlich sind, wird empfohlen, eine Azure Append-Richtlinie zu erstellen und sie auf die entsprechenden MCS-Ressourcengruppen anzuwenden.

Azure-Richtlinie

Azure-Richtlinien können Aspekte wie Tagging, zulässige SKUs, Verschlüsselung, Azure-Region und Namenskonvention steuern. Es sind Standardrichtlinien verfügbar und die Möglichkeit, benutzerdefinierte Richtlinien zu erzwingen. Azure-Richtlinien können auf Abonnement- oder Ressourcengruppenebene angewendet werden. Es können mehrere Richtlinien definiert werden. Richtlinien, die auf Ressourcengruppenebene angewendet werden, haben Vorrang vor der Richtlinie auf Abonnementebene.

Identifizieren Sie Aspekte von Azure, die in der Citrix Umgebung gesteuert und standardisiert werden sollen. Eine harte Quote erzwingt die Richtlinie und lässt keine Ausnahmen zu. Soft Quota Audits für die Durchsetzung von Richtlinien und benachrichtigen, wenn die Richtlinie nicht erfüllt wird. Ausführlichere Informationen zum Definieren der Richtlinien finden Sie in der Azure-Dokumentation.

Azure-RA-Image-6

Diagramm 6: Zugriffsrichtlinie für Azure Governance und RBAC

Sicherheit

Sicherheit ist in alle Aspekte von Azure integriert. Azure bietet einzigartige Sicherheitsvorteile, die sich aus globalen Sicherheitsintensien, anspruchsvollen, kundenorientierten Steuerelementen und einer sicheren, gehärteten Infrastruktur ergeben. Diese leistungsstarke Kombination schützt Anwendungen und Daten, unterstützt Compliance-Bemühungen und bietet kostengünstige Sicherheit für Unternehmen jeder Größe.

Sichern der Provisioning von Speicherkonten durch CVAD-Dienst

Wie bereits erwähnt, ist MCS der Dienst (innerhalb von CVAD), der für das Drehen von Maschinen im Kundenabonnement verantwortlich ist. MCS Utilities verwendet einen AAD Identity — Application Service Principal für den Zugriff auf Azure-Ressourcengruppen, um verschiedene Aktionen auszuführen. Für Ressourcen vom Speicherkontotyp benötigt MCS die listkeys Berechtigung, den Schlüssel zu erwerben, wenn dies für verschiedene Aktionen erforderlich ist (Schreiben/Lesen/Löschen). Gemäß unserer aktuellen Implementierung ist eine MCS-Anforderung für:

  • Das Speicherkontennetzwerk ist Zugriff aus dem öffentlichen Internet.
  • Speicherkonto RBAC ist listkeys Erlaubnis

Für einige Unternehmen ist es ein Problem, den Speicherkontoendpunkt öffentlich zu halten. Im Folgenden finden Sie eine Analyse der Assets, die bei der Bereitstellung von VMs mit verwaltetem Datenträger erstellt und gespeichert wurden (das Standardverhalten).

  • Tabellenspeicher: Wir pflegen die Maschinenkonfiguration und Statusdaten im Tabellenspeicher im primären Speicherkonto (oder einem sekundären, wenn der primäre für Premium-Datenträger verwendet wird) für den Katalog. Es gibt keine sensiblen Informationen in den Tabellen.
  • Sperren: Für bestimmte Vorgänge (Zuweisen von Maschinen an Speicherkonten, replizierende Datenträger) verwenden wir ein Sperrobjekt, um Vorgänge aus mehreren Plug-in-Instanzen zu synchronisieren. Diese Dateien sind leere Blobs und enthalten keine sensiblen Daten.

Für Maschinenkataloge, die vor dem 15. Oktober 2020 erstellt wurden, erstellt MCS ein zusätzliches Speicherkonto für Identitätsdatenträger:

  • Disk-Import: Beim Importieren von Datenträger (Identität, Anleitung) laden wir die Datenträger als Seitenblob hoch. Wir erstellen dann eine verwaltete Datenträger aus dem Seitenblob und löschen den Seitenblob. Die vorübergehenden Daten enthalten sensible Daten für Computerobjektnamen und Kennwörter. Dies gilt nicht für alle Maschinenkataloge, die nach dem 15. Oktober 2020 erstellt wurden.

Es wird empfohlen, einen engen Scope Service Principal zu verwenden, der auf die spezifischen Ressourcengruppen angewendet wird, um die Berechtigungen nur auf die vom Service erforderlichen Berechtigungen zu beschränken. Dies entspricht dem Sicherheitskonzept des “geringsten Privilegien”. Weitere CTX224110 Einzelheiten finden Sie unter CTX219243 und.

IaaS - Überwachung des Azure Security Centers

Azure Security Center analysiert den Sicherheitsstatus von Azure-Ressourcen. Wenn das Security Center potenzielle Sicherheitslücken identifiziert, erstellt es Empfehlungen, die den Kunden durch den Prozess der Konfiguration der erforderlichen Kontrollen führen. Empfehlungen gelten für Azure-Ressourcentypen: virtuelle Maschinen (VMs) und Computer, Anwendungen, Netzwerke, SQL sowie Identity and Access. Es gibt nur wenige Best Practices, die Sie befolgen müssen:

  • Steuern des VM-Zugriffs und des sicheren privilegierten Zugriffs.
  • Provisioning von Antischadsoftware, um bösartige Software zu identifizieren und zu entfernen.
  • Integrieren Sie Ihre Antimalware-Lösung in das Security Center, um den Status Ihres Schutzes zu überwachen.
  • Halten Sie Ihre VMs auf dem neuesten Stand und stellen Sie bei der Bereitstellung sicher, dass die von Ihnen erstellten Images die letzte Runde von Windows- und Sicherheitsupdates enthalten.
  • Stellen Sie Ihre VMs regelmäßig erneut bereit, um eine neue Version des Betriebssystems zu erzwingen.
  • Konfigurieren von Netzwerksicherheitsgruppen und -regeln zur Steuerung des Datenverkehrs zu virtuellen Maschinen.
  • Provisioning von Webanwendungsfirewalls zur Abwehr von Angriffen, die auf Ihre Webanwendungen abzielen.
  • Adressieren von Betriebssystemkonfigurationen, die nicht mit den empfohlenen Baselines übereinstimmen.

Netzwerkentwurf

Die Netzwerksicherheit kann als Prozess definiert werden, um Ressourcen vor unbefugtem Zugriff oder Angriffen zu schützen, indem Steuerelemente auf den Netzwerkverkehr angewendet werden. Ziel ist es, sicherzustellen, dass nur legitime Datenverkehr erlaubt ist. Azure verfügt über eine robuste Netzwerkinfrastruktur zur Unterstützung Ihrer Anwendungs- und Dienstkonnektivitätsanforderungen. Netzwerkkonnektivität ist zwischen Ressourcen in Azure, zwischen lokalen und Azure gehosteten Ressourcen sowie mit und aus dem Internet und Azure möglich.

Virtual Network (VNet) Segmentierung

Virtuelle Azure-Netzwerke ähneln einem LAN in Ihrem lokalen Netzwerk. Die Idee hinter einem virtuellen Azure-Netzwerk besteht darin, dass Sie ein einzelnes privates IP-Adressbereich-basiertes Netzwerk erstellen, in dem Kunden alle ihre virtuellen Azure-Computer ablegen können. Die bewährte Vorgehensweise besteht darin, den größeren Adressraum in Subnetze zu segmentieren und Netzwerkzugriffskontrollen zwischen Subnetzen zu erstellen. Das Routing zwischen Subnetzen erfolgt automatisch, und Sie müssen keine Routingtabellen manuell konfigurieren.

Verwenden Sie eine Netzwerksicherheitsgruppe (NSG). NSGs sind einfache, statusbehaftete Paketinspektionsgeräte, die den 5-Tupel-Ansatz (Quell-IP, Quell-Port, Ziel-IP, Ziel-Port und Layer-4-Protokoll) verwenden, um Zulassungsregeln für den Netzwerkverkehr zu erstellen. Regeln erlauben oder verweigern Verkehr zu und von einer einzelnen IP-Adresse, zu und von mehreren IP-Adressen oder zu und von ganzen Subnetzen.

Kunden können benutzerdefinierte oder benutzerdefinierte Routen erstellen, die in Azure als benutzerdefinierte Routen (UDRs) bezeichnet werden, um die Standardsystemrouten von Azure zu überschreiben oder der Routing-Tabelle eines Subnetzes zusätzliche Routen hinzuzufügen. In Azure können Administratoren eine Routentabelle erstellen und dann die Routentabelle mit null oder mehr virtuellen Netzwerksubnetzen verknüpfen. Jedem Subnetz kann Null oder eine Routentabelle zugeordnet sein.

NSGs und UDRs werden auf Subnetzebene innerhalb eines virtuellen Netzwerks angewendet. Wenn Sie ein virtuelles Citrix Netzwerk in Azure entwerfen, wird empfohlen, das virtuelle Netzwerk unter Berücksichtigung dieser Anforderungen zu entwerfen und Subnetze für ähnliche Komponenten zu erstellen, so dass bei Bedarf eine detaillierte Anwendung von NSGs und UDRs möglich ist. Ein Beispiel hierfür wäre die Segmentierung der Citrix Infrastruktur in ein eigenes Subnetz mit einem entsprechenden Subnetz für jeden Anwendungsfall.

Identifizieren Sie die Ports und Protokolle, die für Citrix und die unterstützenden Technologien erforderlich sind. Überprüfen Sie, ob diese Ports innerhalb der in der Umgebung verwendeten Netzwerksicherheitsgruppen zulässig sind. Netzwerksicherheitsgruppen können eingehende und ausgehende Kommunikation auf einen definierten Satz von IP, virtuellen Netzwerken, Service-Tags oder Anwendungssicherheitsgruppen beschränken.

Azure-RA-Image-7

Diagramm 7: Azure Security Center und Netzwerksicherheit mit NSG und ASG

Konnektivität

Das Verbinden virtueller Azure Netzwerke mit dem lokalen oder Cloud-Netzwerk des Kunden wird als Hybridnetzwerk bezeichnet. In diesem Abschnitt werden die Optionen für die Netzwerkkonnektivität und das Routing von Netzwerkdiensten erläutert. Kunden können ihre lokalen Computer und Netzwerke über eine beliebige Kombination der folgenden Optionen mit einem virtuellen Netzwerk verbinden:

  • VPN (Point-to-site-virtuelles privates Netzwerk): Es wurde zwischen einem virtuellen Netzwerk und einem einzelnen Computer im Kundennetzwerk eingerichtet. Jeder Computer, der eine Verbindung mit einem virtuellen Netzwerk herstellen möchte, muss seine Verbindung konfigurieren. Dieser Verbindungstyp eignet sich hervorragend für den Einstieg in Azure oder für Entwickler, da er nur wenige oder keine Änderungen am bestehenden Kundennetzwerk erfordert. Die Kommunikation zwischen Ihrem Computer und einem virtuellen Netzwerk wird über einen verschlüsselten Tunnel über das Internet gesendet.
  • Standort-zu-Standort-VPN: Es wurde zwischen lokalem VPN-Gerät und einem Azure VPN-Gateway eingerichtet, das in einem virtuellen Netzwerk bereitgestellt wird. Dieser Verbindungstyp ermöglicht jede on-premises Ressource, die der Kunde für den Zugriff auf ein virtuelles Netzwerk autorisiert. Die Kommunikation zwischen lokalem VPN-Gerät und einem Azure-VPN-Gateway wird über einen verschlüsselten Tunnel über das Internet gesendet.
  • Azure ExpressRoute: Durch einen ExpressRoute-Partner zwischen dem Netzwerk des Kunden und Azure eingerichtet. Diese Verbindung ist privat. Der Verkehr geht nicht über das Internet.

Die wichtigsten Überlegungen für die Azure to Customer Konnektivität sind Bandbreite, Latenz, Sicherheit und Kosten. Standort-zu-Standort-VPNs haben geringere Bandbreitenbeschränkungen als Express Route und hängen von der Leistung des vom Kunden verwendeten Edge-Routers ab. SLAs sind auf den VPN-Gateway-SKUs verfügbar. Site to Site VPNs verwenden IPSEC über das Internet.

Express-Routen sind private Verbindungen und nicht über das Internet. Dies führt zu einer geringeren Latenz bei Verwendung von Express Route. Außerdem kann Express Route bis zu 10 Gbit/s skalieren. Express Route wird mit einem zertifizierten Partner konfiguriert. Die Konfigurationszeit dieser Anbieter sollte bei der Projektplanung berücksichtigt werden. Express-Route-Kosten verfügen über eine Microsoft-Komponente und eine Express-Route-Anbieter-Komponente.

In der Regel werden diese Verbindungen über mehrere Dienste geteilt (Datenbankreplikation, Domänenverkehr, Anwendungsdatenverkehr usw.) In einer Hybrid-Cloud-Bereitstellung kann es Szenarien geben, in denen interne Benutzer benötigen, dass ihr ICA-Datenverkehr diese Verbindung durchläuft, um zu ihren Citrix Apps in Azure zu gelangen Die Überwachung der Bandbreite ist entscheidend.

Mit ADC und traditionellem StoreFront kann das optimale Gateway-Routing auch verwendet werden, um die Verbindung eines Benutzers zu einem ADC unter Verwendung des Internetdienstanbieters eines Büros und nicht über die Express Route oder das VPN zu Azure zu leiten.

Benutzerdefinierte Routen (UDRs)

In der Regel verwenden Kunden einen UDR, um Azure-Datenverkehr an eine Firewall-Appliance in Azure oder einem bestimmten virtuellen Netzwerk zu leiten. Beispiel: Nord-/Südverkehr von einem VDA zum Internet. Wenn große Datenverkehrsmengen an Firewall-Appliances von Drittanbietern in Azure weitergeleitet werden, kann dies zu einem Ressourcenengpass oder Verfügbarkeitsrisiko führen, wenn diese Appliances nicht dimensioniert oder entsprechend konfiguriert sind. NSGs können verwendet werden, um Firewalls von Drittanbietern zu ergänzen und sollten so weit wie möglich genutzt werden. Berücksichtigen Sie Azure Network Watcher, wenn die Introspektion des Datenverkehrs erforderlich ist.

Virtuelles Netzwerk Peering

Virtuelles Netzwerk-Peering verbindet nahtlos zwei virtuelle Azure-Netzwerke. Nach dem Peered werden die virtuellen Netzwerke zu Konnektivitätszwecken als eins angezeigt. Der Datenverkehr zwischen virtuellen Maschinen in den virtuellen Peered-Netzwerken wird über die Microsoft-Backbone-Infrastruktur weitergeleitet, ähnlich wie der Datenverkehr zwischen virtuellen Maschinen im selben virtuellen Netzwerk nur über private IP-Adressen.

Azure unterstützt:

  • VNet-Peering - Verbinden von VNets innerhalb derselben Azure-Region
  • Globales vNet-Peering - Verbinden von VNet-Peering in Azure-Regionen

Kunden, die Workloads auf mehreren VNet-Netzwerken bereitstellen, sollten erwägen, das VNet-Peering zu verwenden, um die Kommunikation zwischen VMs zwischen VNet-Peering zu ermöglichen.

Azure-RA-Image-8

Diagram-8: Konnektivität und Routen im Rechenzentrum

SD-WAN

Die softwaredefinierte WAN-Technologie (SD-WAN) ermöglicht eine hervorragende Benutzererfahrung auch bei anspruchsvollen Verbindungen. Es eignet sich natürlich für die Bereitstellung virtueller Apps und Desktops.

  • Aggregieren Sie die gesamte verfügbare Bandbreite in eine aktive/aktive Verbindung, um mehr Bandbreite bereitzustellen.
  • Verwenden Sie die einzigartige HDX Quality of Experience Technologie, um die Leistung zu optimieren und Netzwerkrichtlinien zu optimieren.
  • Stellen Sie für virtuelle Apps und Desktopbenutzer stets eingehende Verbindungen mit höchster Qualität sicher — selbst bei Rich Media und High-Definition-Videos.

Kunden, die VPN verwenden, verwenden möglicherweise SD-WAN, um der Azure- und Kunden-Rechenzentrumskonnektivität Redundanz zu verleihen oder anwendungsspezifisches Routing bereitzustellen. Citrix SD-WAN leitet Datenverkehr automatisch über alle verfügbaren Verbindungen um. Tatsächlich ist die Erfahrung so nahtlos, dass die Benutzer nicht einmal erkennen werden, dass Änderungen stattgefunden haben. Ihre primäre Zugriffs-IP-Adresse bleibt unverändert, sodass Benutzer mit denselben Methoden und Geräten auf ihre Apps und Daten zugreifen können.

Citrix ADC

Citrix ADC unter Microsoft Azure stellt sicher, dass Unternehmen Zugriff auf sichere und optimierte Anwendungen und Assets haben, die in der Cloud bereitgestellt werden, und bietet die Flexibilität, eine Netzwerkbasis zu schaffen, die sich an die sich ändernden Anforderungen einer Umgebung anpasst. Im Falle eines Datencenterausfalls leitet Citrix ADC den Benutzerdatenverkehr automatisch an einen sekundären Standort um, ohne dass Benutzerunterbrechungen auftreten. Lastenausgleich und globaler Serverlastausgleich über mehrere Rechenzentren hinweg gewährleisten zudem optimale Serverintegrität, Kapazitäten und Auslastung.

Besprechen Sie mit dem Kunden und definieren Sie für jeden Ressourcenstandort den folgenden Anwendungsfall:

Access-Methode Überlegungen
Nur intern Ein Citrix ADC ist nicht erforderlich, wenn nur interner Zugriff erforderlich ist.
Externer Zugriff über Citrix ADC Gateway Service. Der Citrix Cloud ADC Gateway Service bietet ICA-Proxy (nur sichere Remote-Konnektivität).
Externer Zugriff über Citrix ADC VPX in Azure Resource Location bereitgestellt Ein Kunde muss eine Citrix ADC VPX Appliance in Azure in Betracht ziehen, wenn er Folgendes benötigt: 1. Multifaktor-Authentifizierung mit voller SSON 2. Endpunktscannen 3. Erweiterte Authentifizierungs- oder Vorauthentifizierungsrichtlinien 4. Citrix SmartAccess Richtlinien. Hinweis: Diese Anforderungen führen dazu, dass die Authentifizierung beim Citrix ADC statt beim Workspace Experience Service erfolgt. StoreFront ist erforderlich, wenn die Authentifizierung von einem virtuellen Citrix ADC Gateway-Server verwaltet wird.

Citrix ADC — Bereitstellungsmodell

Aktiv-Aktiv-Bereitstellungen verwenden eigenständige Citrix ADC-Knoten, die mit dem Azure Load Balancer skaliert werden können. Active-Passive Paare ermöglichen zustandsbehaftes Failover des ICA-Datenverkehrs im Falle eines Knotenausfalls, sind sie jedoch auf die Kapazität eines einzelnen VPX beschränkt. Active-Passive Knoten erfordern auch Azure Load Balancer.

Citrix ADC ist auf 500 Mbit/s pro Azure-Netzwerkkarte begrenzt. Zur Isolierung des SNIP-, NSIP- und VIP-Datenverkehrs werden mehrere Netzwerkkarten empfohlen, um den für Citrix ADC Gateway oder andere Dienste verfügbaren Durchsatz zu maximieren.

Quellen

Ziel dieser Referenzarchitektur ist es, Sie bei der Planung Ihrer eigenen Implementierung zu unterstützen. Um diese Arbeit zu erleichtern, möchten wir Ihnen Quelldiagramme zur Verfügung stellen, die Sie in Ihren eigenen detaillierten Entwürfen und Implementierungshandbüchern anpassen können: Quelldiagramme.

Referenzen

Vorgänge

Identität

Governance

Sicherheit

Azure-Monitor

Konnektivität

Citrix Virtual Apps and Desktops Service unter Azure