Arquitectura de referencia: Citrix Virtual Apps and Desktops Service - Arquitectura de GCP con Managed Service for Microsoft Active Directory for CSP

Introducción

El propósito de este documento es proporcionar orientación de diseño y arquitectura a los proveedores de servicios de Citrix (CSP) que deseen utilizar Google Cloud Platform (GCP) como ubicación de recursos del servicio Citrix Virtual Apps and Desktops Service con el Servicio administrado para Microsoft Active Directory.

Este documento no pretende proporcionar instrucciones paso a paso acerca de cómo implementar el servicio Citrix Virtual Apps and Desktops for CSP. Se supone la comprensión de la arquitectura de referencia de aplicaciones y escritorios virtuales de CSP, que proporciona consideraciones detalladas de diseño e implementación para un entorno de servicio de Citrix Virtual Apps and Desktops para CSP.

Para obtener instrucciones detalladas sobre el servicio Citrix Virtual Apps and Desktops en GCP, consulte el Centro de soluciones para Citrix DaaS en Google Cloud.

Comenzamos este documento revisando los elementos de GCP más comunes que necesita comprender para utilizar este documento cómodamente. Google ha creado sus propias formas de nombrar y organizar componentes en GCP, por lo que entenderlos es vital para un diseño e implementación correctos.

A continuación, revisamos los detalles del servicio AD administrado, sus similitudes y diferencias con el Active Directory tradicional de Microsoft, y los modelos de implementación que puede utilizar como CSP para aprovisionar las ubicaciones de recursos administrados de GCP.

Por último, cubrimos los pasos necesarios para implementar un dominio de servicio AD administrado en GCP.

Terminología

Aunque varios servicios proporcionan una funcionalidad similar en los diferentes proveedores de nube pública, la terminología puede ser diferente. Los siguientes son los elementos GCP más comunes que debe comprender a medida que se sigue a través de esta arquitectura de referencia, tal como se describe en la documentación de GCP.

  • Red de VPC: objeto de red virtual de GCP. Las redes de nube privada virtual (VPC) en GCP son globales, lo que significa que puede implementar subredes en una VPC desde cada región de GCP. Puede implementar VPC en modo automático, lo que crea todas las subredes y rangos CIDR automáticamente, o en modo personalizado, lo que le permite crear subredes y rangos CIDR manualmente. Las VPC no superpuestas de diferentes proyectos se pueden conectar a través del emparejamiento de VPC.
  • Emparejamiento de VPC: Un emparejamiento de VPC le permite conectar VPC que de otro modo se desconectarían. En este caso, el servicio AD administrado de GCP crea automáticamente un emparejamiento de VPC para conectar nuestra VPC a la VPC del servicio de AD administrado.
  • VPC compartida: Una VPC compartida se puede abarcar en varios proyectos, lo que elimina el requisito de crear VPC independientes para cada proyecto o la utilización del emparejamiento de VPC.
  • Organización de GCP: una organización representa el nodo raíz en la jerarquía de recursos de GCP. Para crear una organización, se requiere GCP Cloud Identity o Google Workspace (anteriormente G-Suite). No se requiere una organización, pero se recomienda encarecidamente implementar una para que sus entornos de producción organicen y administren mejor sus recursos.
  • Carpetas: Una carpeta se utiliza para organizar recursos dentro de GCP y pueden contener más carpetas o proyectos. Por ejemplo, puede crear carpetas para separar proyectos por departamento, tipo de entorno o cualquier otro criterio. No siempre se requiere una carpeta, pero al igual que con las organizaciones, se recomienda para una mejor organización de recursos.
  • Proyecto: Un proyecto proporciona una agrupación abstracta de recursos dentro de GCP, y todos los recursos de GCP deben pertenecer a un proyecto. En circunstancias normales, las instancias de VM de un proyecto no pueden comunicarse con instancias de VM de otro proyecto, a menos que se utilice un emparejamiento de VPC o una VPC compartida.
  • Cuenta de Facturación: Una cuenta de facturación representa el perfil de pago que se utilizará para pagar el consumo de GCP. Una cuenta de facturación se puede vincular a varios proyectos, pero un proyecto solo se puede vincular a una sola cuenta de facturación.
  • IAM: La plataforma de administración de acceso e identidad de GCP se utiliza para conceder a los usuarios permisos para realizar acciones en los recursos de GCP. Esta plataforma también se utiliza para implementar y administrar cuentas de servicio.
  • Cuenta de servicio: Una cuenta de servicio es una cuenta GCP que no está conectada a un usuario real, sino que representa una instancia de VM o una aplicación. A las cuentas de servicio se les pueden conceder permisos para realizar diferentes acciones en las distintas API de GCP. Se requiere una cuenta de servicio para conectar Citrix Virtual Apps and Desktops Service a GCP y habilitar Machine Creation Services.
  • GCE: Google Compute Engine es la plataforma GCP en la que se implementan recursos informáticos, incluidas instancias de VM, discos, plantillas de instancias, grupos de instancias y mucho más.
  • Instancia GCE: Una instancia de GCE es cualquier máquina virtual implementada en la plataforma GCE. Cloud Connectors, imágenes doradas, la máquina virtual de administración de AD y cualquier otra máquina virtual del entorno se consideran instancias de GCE.
  • Plantilla de instancias: un recurso “básico” que puede utilizar para implementar máquinas virtuales y grupos de instancias en GCP. El proceso de Citrix MCS copia la imagen dorada en una plantilla de instancia, que luego se utiliza para implementar máquinas de catálogo.
  • DNS en la nube: el servicio GCP utilizado para administrar zonas y registros DNS. Con la creación del servicio AD administrado, DNS en la nube se configura automáticamente para reenviar consultas DNS a los controladores de dominio administrados.

Servicio de AD administrado en GCP

El servicio gestionado de GCP para Microsoft Active Directory es un servicio de Active Directory totalmente administrado en Google Cloud Platform. Este servicio le proporciona un bosque o dominio de Active Directory completamente funcional sin la sobrecarga de crear y mantener instancias de VM de Windows Server.

El servicio de AD administrado se basa en una infraestructura administrada por Google de alta disponibilidad y se entrega como un servicio administrado. Cada directorio se implementa en varias zonas GCP y la supervisión detecta y reemplaza automáticamente los controladores de dominio que fallan. No es necesario instalar software, y Google se encarga de todos los parches y actualizaciones de software.

El servicio de AD administrado implementa y administra automáticamente controladores de dominio de Active Directory de alta disponibilidad en un proyecto GCP aislado y una red VPC. Un emparejamiento de VPC se implementa automáticamente con el servicio para que las cargas de trabajo dependientes de AD lleguen a Active Directory. Además, Google Cloud DNS se configura automáticamente para reenviar todas las consultas DNS al servicio de AD administrado.

Consideraciones del servicio de AD administrado

Si bien hay muchas similitudes entre un entorno de Microsoft Active Directory tradicional y el servicio de AD administrado de GCP, se deben tener en cuenta algunas consideraciones al implementar el servicio de AD administrado de GCP.

  1. El acceso al controlador de dominio está restringido y solo puede administrar el dominio implementando instancias de administración e instalando las herramientas de administración remota del servidor.
  2. Se debe implementar una VPC compartida antes de agregar nuevos clientes/proyectos en la ubicación de recursos compartidos de GCP. Los proyectos deben pertenecer a una VPC compartida para poder llegar al dominio de AD administrado. Los recursos implementados en un proyecto con una VPC que está emparejado con una VPC compartida no pueden alcanzar el dominio del Servicio de AD administrado. Para obtener más información, consulte la página Requisitos de emparejamiento de VPC de GCP y la guía de PoC de la zona técnica de compatibilidad de VPC compartida de Google Cloud Platform (GCP) con Citrix Virtual Apps and Desktops .
  3. Los permisos de cuenta Administrador de dominio/Administrador de empresa no están disponibles, estas cuentas solo las utiliza GCP para administrar el dominio por usted.
  4. Los objetos AD no se pueden crear en ninguno de los contenedores predeterminados (como /Computers), son de solo lectura. Esta limitación produce un error común al usar la tecnología de aprovisionamiento MCS de Citrix, debe crear las cuentas de máquina para los VDA administrados de MCS en un contenedor/unidad organizativa que pueda escribirse. Si no elige una ubicación de este tipo, MCS no podrá crear las cuentas de máquina.
  5. Algunas funciones integradas de AD, como Servicios de Certificate Server, no se pueden instalar. Como tal, esta limitación afecta a los CSP que necesitan utilizar la tecnología Federated Authentication Services (FAS) de Citrix (que requiere Servicios de Certificate Services integrados de AD). Estos clientes deben crear y administrar su propio Active Directory en Google Cloud mediante instancias de VM de Windows Server.
  6. El servicio crea dos unidades organizativas principales (OU). La unidad organizativa “Cloud”, que aloja todos los recursos de AD administrados. Usted tiene control total en esta unidad organizativa y en cualquiera de sus secundarios. Y la unidad organizativa “Cloud Services Object”, que GCP utiliza para administrar el dominio. Los recursos y la unidad organizativa en sí son de solo lectura, a excepción de algunos atributos que se pueden escribir.
  7. El servicio crea automáticamente varios grupos de usuarios de AD para permitir diferentes funciones administrativas de AD. Puede administrar la pertenencia a estos grupos de usuarios.
  8. Se crea una cuenta en la creación del servicio con el nombre predeterminado de “setupadmin”. Esta cuenta se utiliza para administrar el dominio. Consulte esta página para ver la lista completa de permisos para la cuenta “setupadmin” .
  9. Las confianzas se pueden configurar como confianzas unidireccionales salientes en un entorno de Active Directory local. Con esta configuración, el dominio Servicio de AD administrado es el dominio de “confianza” que aloja las cuentas de equipo, y el dominio local es el dominio “de confianza” que aloja las cuentas de usuario. Este modelo se utiliza comúnmente con la implementación de Bosque de recursos, que se explica en la siguiente sección.

Consideraciones sobre el diseño del bosque de servicios de AD

En el contexto de un proveedor de servicios Citrix, el servicio de AD administrado se puede implementar en dos modelos de diseño de bosque de Active Directory diferentes.

La primera forma y más sencilla de implementar el servicio de AD administrado es mediante el modelo de diseño de bosque organizativo. En este modelo, el servicio AD administrado por GCP aloja tanto las cuentas de usuario como los recursos (cuentas de equipo), además de las cuentas administrativas.

En circunstancias normales, un bosque de organización permite configurar una confianza para establecer una relación con otro bosque organizativo. Sin embargo, tenga en cuenta que el servicio AD administrado por GCP solo admite confianzas de salida unidireccionales.

CSP-image-001

El segundo tipo de modelo de diseño de bosque es el bosque de recursos. En este modelo, se configura una confianza de salida unidireccional para establecer una relación con un entorno de Active Directory local.

Como se explicó anteriormente, en este modelo de implementación, el Servicio de AD administrado es el bosque de “confianza” que aloja los recursos, y el AD local es el bosque “de confianza” en el que residen las identidades de usuario. En otras palabras, el dominio Servicio de AD administrado permite que los usuarios del dominio local tengan acceso a sus recursos.

NOTA:
Tenga en cuenta los detalles técnicos de Citrix Cloud Connector al diseñar sus modelos de bosque de Active Directory. Cloud Connectors no puede atravesar confianzas de bosque, las cuentas de usuario de un Active Directory local no son visibles en Citrix Cloud a menos que se implemente un conjunto de Cloud Connectors en ese bosque.

CSP-image-002

Arquitectura

Entendemos que no todos los CSP se encuentran en la misma etapa en su proceso de adopción de la nube. Para obtener una explicación detallada de los distintos patrones de diseño de Citrix en GCP, consulte esta sección de la arquitectura de referencia de Citrix Virtualization on Google Cloud.

Además, suponemos un conocimiento completo de las funciones de administración de clientes y multiarrendamiento de Citrix Cloud disponibles para los CSP. Estas funciones se tratan en profundidad en la arquitectura de referencia de Virtual Apps and Desktops del CSP.

Patrón de diseño de servicio administrado para Microsoft Active Directory para CSP

El patrón de diseño Managed Service for Microsoft Active Directory for CSP se centra en la combinación de los diferentes modelos de arquitectura disponibles para los CSP que utilizan ubicaciones de recursos administrados de GCP, mientras se utiliza el Servicio de AD administrado.

Los partners que implementan sus ofertas de DaaS administradas con Citrix Cloud pueden utilizar las funciones exclusivas de gestión de clientes y multiarrendamiento disponibles para los CSP. Estas funciones de multiarrendamiento permiten a los CSP implementar varios clientes en un plano de control/arrendatario compartido de Citrix Cloud, o proporcionarles su plano de control/arrendatario dedicado.

Citrix Cloud se puede implementar con ubicaciones de recursos compartidos o dedicados en GCP. Diferentes métricas pueden ayudar a un CSP a determinar qué modelo se alinea mejor con los requisitos específicos de cada cliente, y pueden basarse en el tamaño del cliente final, los requisitos de seguridad y cumplimiento normativo, el ahorro de costes, etc.

CSP-image-003

Aunque es un componente opcional, las organizaciones de GCP (1) se pueden utilizar para administrar la jerarquía de los diferentes proyectos y carpetas en la suscripción a GCP de CSP. Además, tenga en cuenta que la suscripción de GCP y los recursos utilizados para un cliente final específico pueden pertenecer potencialmente al cliente final y no al CSP.

Una red VPC compartida (2) se implementa en una ubicación de recursos donde varios clientes comparten componentes como el dominio del servicio de AD administrado, imágenes doradas y Citrix Cloud Connectors. Otros clientes pueden hospedarse en VPC dedicadas y ubicaciones de recursos (3) bajo la misma organización de GCP. Estos clientes tienen su propio dominio de servicio AD administrado, imágenes doradas y Citrix Cloud Connectors.

El servicio de AD administrado se puede implementar en la ubicación de recursos compartidos (4) o en una ubicación de recursos dedicada (5). Este proceso crea un proyecto (al que no se puede acceder) y un emparejamiento de red desde la VPC a la VPC que aloja el servicio de AD administrado.

Como se explicó anteriormente, cada vez que implemente nuevos clientes o proyectos en la ubicación de recursos compartidos, deben pertenecer a la VPC compartida para poder llegar al dominio del Servicio de AD administrado. Los recursos implementados en un proyecto con una VPC que está emparejado con la VPC compartida no pueden acceder al dominio del servicio de AD administrado. Esta limitación tiene que ver con que las VPC no son transitivas. El dominio Servicio de AD administrado en la ubicación de recursos compartidos es diferente del dominio de ubicaciones de recursos dedicados.

Se recomienda un proyecto GCP independiente para alojar los recursos de cada cliente (VDA) en una ubicación de recursos compartidos (6). Esta consideración facilita la administración de recursos y la aplicación de permisos de IAM para los administradores encargados de admitir los diferentes entornos.

Además, según las prácticas principales, el proyecto de host de VPC compartido no alojará ningún recurso (7). Este proyecto solo se utiliza para implementar la VPC compartida y el dominio del servicio de AD administrado.

NOTA:
Mientras el dominio Servicio de AD administrado se implementa desde el proyecto host, los recursos reales (controladores de dominio y red VPC) pertenecen a un proyecto administrado por Google. No tiene acceso a este proyecto.

Se aprovisiona un arrendatario compartido de Citrix Cloud (8) para implementar y administrar los recursos de varios clientes. Estos clientes comparten los componentes de Citrix Virtual Apps and Desktop Service (como Delivery Controllers, Bases de datos, Director, Studio, Licencias y API).

Se implementa una experiencia Citrix Workspace (9) dedicada para cada cliente. La experiencia de espacio de trabajo dedicada permite a los CSP marcar la página de inicio de sesión, junto con la personalización de la URL de acceso para cada cliente. Cada cliente utiliza Citrix Gateway Service para autenticación y conexiones HDX a sus recursos.

Se puede aprovisionar un arrendatario dedicado de Citrix Cloud (10) para los clientes más grandes y complejos. Este entorno dedicado proporciona un servicio aislado de Citrix Virtual Apps and Desktop, junto con todos sus componentes, y una experiencia dedicada Citrix Workspace. No hay costes adicionales de licencias de Citrix para implementar un arrendatario de Citrix Cloud dedicado

Implementación del servicio administrado para Microsoft Active Directory

En esta sección, tratamos los pasos necesarios para implementar el dominio del servicio de AD administrado. En esta sección se supone que hay disponible una suscripción GCP y que ya se han implementado recursos como proyectos, redes VPC, configuraciones de firewall y otros componentes de GCP.

1- En el menú de navegación, vaya a IDENTIDAD Y SEGURIDAD > Identidad > Microsoft AD administrado.

CSP-image-004

2- En la pantalla Servicio administrado para Microsoft Active Directory, haga clic en CREAR NUEVO DOMINIO.

CSP-image-005

NOTAS:
* Los controladores de dominio administrados se implementan con las funciones ADDS y DNS.
* Las máquinas virtuales de administración deben crearse por separado.

3- En la pantalla Crear un nuevo dominio, introduzca la siguiente información:

  • Nombre de dominio completo: dominio FQDN, por ejemplo, customer.com
  • NetBIOS: esto se rellena automáticamente
  • Seleccionar redes: redes que tendrán acceso al servicio,
  • Rango CIDR: un rango de /24 CIDR para la VPC donde se implementan los controladores de dominio

CSP-image-006

NOTAS:
* La VPC que se implementa como parte del servicio no se puede administrar desde la consola GCP.
* El rango CIDR no debe superponerse con sus subredes actuales.

4- Desplácese hacia abajo e introduzca la siguiente información:

  • Región: regiones de GCP en las que implementar el dominio de servicio de AD administrado
  • Administrador delegado: nombre de la cuenta de administrador delegado
  • Haga clic en CREAR DOMINIO

CSP-image-007

NOTAS:
* La cuenta de administrador delegado reside en el contenedor Usuarios. Aunque puede restablecer su contraseña directamente en la consola de ADUC, no puede mover el objeto a una unidad organizativa diferente.
* Al unir un equipo al dominio, su cuenta de AD se crea en la unidad organizativa Cloud > Computers, no en el contenedor Computers predeterminado.
* La creación del servicio puede tardar hasta 60 minutos.

5- Una vez finalizada la creación, seleccione su dominio y haga clic en ESTABLECER CONTRASEÑA.

CSP-image-008

6- En la ventana Establecer contraseña, haga clic en CONFIRMAR.

CSP-image-009

7- En la ventana Nueva contraseña, copie la contraseña y haga clic en DONE.

CSP-image-010

Una vez creado el servicio y listo para su uso, puede comenzar a implementar otras instancias y unirlas al dominio. También puede completar la configuración del sitio de Citrix Virtual Apps and Desktops Service.

Arquitectura de referencia: Citrix Virtual Apps and Desktops Service - Arquitectura de GCP con Managed Service for Microsoft Active Directory for CSP