Resumen técnico: Workspace Environment Management de

Introducción

Workspace Environment Management (WEM) utiliza tecnologías de administración inteligente de recursos y Profile Management para ofrecer el mejor rendimiento posible, inicio de sesión de escritorio y tiempos de respuesta de aplicaciones para implementaciones de Citrix Virtual Apps and Desktops (CVAD).
WEM tiene varias funciones de seguridad que refuerzan la postura de seguridad de la implementación. Es una solución de solo software, sin controladores.

Arquitectura

La Workspace Environment Management se puede instalar en las instalaciones o acceder como un servicio desde Citrix Cloud.

WEM inserta la configuración del perfil a los usuarios y máquinas que ejecutan la sesión, obtiene los datos de Active Directoryde la organización.

Agente WEM: El agente WEM es común a las opciones de implementación local y de servicio.
Se instala en hosts de sesión de Windows o máquinas físicas que WEM administra. El agente WEM supervisa el host en tiempo real e informa del estado de la máquina.
Recibe instrucciones de los servicios de infraestructura WEM para aplicar la configuración de directiva en el equipo y configurarla. Los agentes mantienen una caché local de la configuración para que sea resistente a situaciones en las que el servidor/servicio WEM no es accesible.

Implementación local

La arquitectura de implementación de WEM local:

Arquitectura local de Workspace Environment Management

Los demás componentes de la arquitectura local son:

Consola de administración de WEM: Se implementa en un sistema operativo Windows de una sola sesión o de varias sesiones la consola que se utiliza para administrar WEM. Interactúa con el servidor de infraestructura y permite a los administradores controlar las diversas funciones.

Servidor WEM Infrastructure: Instalados en una máquina de SO Windows de varias sesiones, los servicios facilitan la comunicación y la sincronización entre los diversos componentes de la implementación de WEM.

Base de datos de SQL Server: WEM requiere una base de datos de SQL Server para almacenar su configuración. La base de datos se puede alojar en un grupo de disponibilidad Siempre disponible de SQL Server si es necesario.

Servicio WEM

La arquitectura de implementación de servicios WEM:

Arquitectura del servicio Workspace Environment Management

Cuando se utiliza el servicio WEM alojado en Citrix Cloud, los componentes de control y base de datos se alojan en la nube y se gestionan por Citrix.
La consola de administración, los servicios de infraestructura y la base de datos (alojada en Azure SQL) forman parte del servicio. Se accede a la consola de administración desde la ficha Administrar al acceder al servicio WEM desde la consola web de Citrix Cloud.

Cloud Connectors: un Citrix Cloud Connector es el conducto para la comunicación entre las entidades de una ubicación de recursos y los servicios de Citrix Cloud.
Para garantizar la resiliencia, sugerimos instalar al menos un par de Cloud Connectors en cada ubicación de recursos. El servicio WEM usa los Cloud Connectors para acceder al Active Directory del cliente y autenticar los agentes WEM en la ubicación de recursos.

Agente WEM: Interactúa con los servicios WEM a través de HTTPS mediante el servicio de mensajería de Citrix Cloud.
Los agentes mantienen una caché local de la configuración para que sea resistente a las interrupciones de la red y las interrupciones del servicio. Al escribir este artículo, una única instancia de servicio puede admitir 100.000 agentes WEM. Consulte la página de límites para obtener el número actual de agentes de WEM admitidos por instancia de servicio de WEM.

Migración de WEM local al servicio WEM

La migración implica exportar el contenido local de SQL Server y cargarlos en el servicio. Se ejecuta un kit de herramientas para migrar la base de datos WEM local existente al servicio WEM. El kit de herramientas incluye un asistente para generar un archivo SQL que contenga el contenido de la base de datos WEM local. A continuación, un administrador puede cargar el archivo SQL a la base de datos Azure del servicio WEM. Para obtener más información, consulte Migrar al servicio WEM.

Funciones de WEM

Habiendo comprendido la arquitectura tanto de las ofertas locales como de servicios de WEM, permite ver las funciones que WEM pone a disposición de las organizaciones. Hay tres conjuntos de funciones principales:

  1. Administración de recursos

  2. Profile Management

  3. Funciones de seguridad

Administración de recursos

Para proporcionar la mejor experiencia a los usuarios, el agente WEM supervisa y analiza el comportamiento de los usuarios y de las aplicaciones dentro de la sesión, en tiempo real. A continuación, ajusta de forma inteligente RAM, CPU y E/S en el entorno de espacio de trabajo del usuario.

optimización de RAM

Cuando se inicia un nuevo proceso, ocupa más RAM de la que necesita para su funcionamiento normal. Pero en general, el proceso no cede estos recursos una vez que se le asignan.
WEM detecta en tiempo real qué procesos están en el foco del usuario. Una parte del conjunto de trabajo de RAM de aplicaciones que no están enfocadas puede ser recuperada.
Se observa que incluso si estas aplicaciones vuelven a centrarse, generalmente necesitan un subconjunto más pequeño de la cantidad de RAM que se recuperó de ellas.
Estas acciones optimizan el consumo de RAM en la nube y aumentan la escalabilidad de un solo servidor.

El siguiente gráfico muestra la cantidad de memoria consumida por un conjunto de sesiones, con y sin WEM.

Optimización de WEM RAM

Mira el vídeo de Tech Insight sobre la optimización de la RAM aquí.

Optimización de CPU

Si se detecta que un proceso está acaparando recursos de la CPU, no solo afecta negativamente a la sesión en la que se está ejecutando, sino que también ralentiza otras sesiones que se ejecutan en la misma máquina e incluso afecta a los tiempos de inicio de sesión de otros usuarios.

La optimización de la CPU con WEM implica la supervisión en tiempo real de los procesos que se ejecutan en cada máquina virtual. Cuando se detecta que un proceso está acaparando recursos de CPU (durante un tiempo definido), WEM reduce automáticamente la prioridad del proceso.
Esta acción permite que otros procesos usen la CPU y facilita la carga del servidor. Cuando se ve que el proceso ha vuelto a horas extra de bajo consumo de CPU, su prioridad se restablece de nuevo a la normalidad.

Optimización de CPU WEM

Vea el vídeo de Tech Insight sobre la optimización de la CPU aquí.

Para validar el efecto de la optimización de CPU por WEM, en un caso vecino ruidoso, se realizaron pruebas de escala basadas en Login VSI.
Para simular un vecino ruidoso, un usuario que no forma parte de la ejecución de prueba del trabajador de conocimiento de LogInVsi, se agrega a la configuración de prueba.
La sesión de este usuario está configurada para iniciar un proceso que consume 3 núcleos de CPU para un promedio del 50 al 70% de la CPU total, según la cantidad de núcleos de la máquina virtual de Azure.

Las máquinas virtuales multisesión de Windows 10 2004 se probaron con CVAD 2006 instalado y el Citrix Optimizer aplicado y el agente WEM a través de HDX. Para basar los resultados de la prueba, se ejecutó la misma prueba con Microsoft RDP que el protocolo de conexión y las máquinas virtuales tenían optimizaciones Out of the Box de Microsoft.

Como se puede ver en la siguiente tabla, la inclusión de WEM suprime el efecto de que la CPU consuma a un vecino ruidoso. La inclusión de WEM aumenta el VSImax (no de usuarios que pueden ser admitidos en la máquina) del 20% al 43%. El resultado es un mayor número de usuarios que pueden ejecutarse en una sola máquina virtual, incluso en el caso de estrés.

Desglose de escala con caso de vecino ruidoso:

Tamaño de Azure Línea base Citrix HDX % de mejora de la escalabilidad de WEM
D4V3 7.3 11.3 43.0%
D3V2 12 16 28.6%
D4V2 28 34.5 20.8%

A medida que WEM reduce los picos de CPU, otra deducción importante de los resultados es que el tiempo de respuesta para el usuario es mucho mejor. Las sesiones de Citrix Virtual Apps and Desktops tienen un tiempo de respuesta casi 1000 ms menor en comparación con la línea base (en el momento en que se alcanza VSImax) para el mismo número de usuarios.

Del mismo modo, la latencia observada en la sesión es entre un 25% y un 50% menor en ambas máquinas con 4 VCPU. Ambos resultados apuntan a una experiencia de usuario mucho más fluida y rápida cuando WEM está en la imagen.

Gráfico de mejora de latencia de WEM

Optimización de inicios de sesión

Para ofrecer el mejor rendimiento de inicio de sesión posible, el servicio WEM reemplaza los objetos de directiva de grupo de Windows, scripts de inicio de sesión y preferencias de uso común por un agente, que se implementa en cada máquina virtual o servidor.
El agente tiene subprocesos múltiples y aplica cambios a los entornos de usuario solo cuando sea necesario, lo que garantiza que los usuarios siempre tengan acceso a su escritorio lo más rápido posible. Los procesos que consumen mucho tiempo se gestionan de forma desincronizada con el proceso de inicio de sesión inicial.

Optimización del proceso de inicio de sesión WEM

Vea el vídeo de Tech Insight sobre la optimización del inicio de sesión aquí.

Profile Management

Proporciona una interfaz de administración para Citrix Profile Management. En Configuración de Citrix Profile Management (en Directivas y perfiles), la consola admite la configuración de todas las opciones de la versión actual de Citrix Profile Management.

Funciones de seguridad

WEM incluye varias funciones que refuerzan la postura de seguridad y reducen la superficie de amenaza de la implementación.

Seguridad de las aplicaciones

El componente Seguridad de aplicaciones de WEM es un front-end para Microsoft AppLocker.

Consola de seguridad de aplicaciones WEM

La configuración de directivas de seguridad de aplicaciones (AppLocker) con Workspace Environment Management sigue el mismo proceso que hacerlo desde objetos de directiva de grupo. Los administradores crean reglas ejecutables, instalador de Windows, scripts, paquete y DLL. Para cada regla, las mismas opciones están disponibles para basar la regla en un editor, ruta de acceso o un hash de archivo. Sin embargo, a diferencia de AppLocker, WEM permite al administrador seleccionar varias reglas y cambiar los usuarios asignados, lo que facilita la compatibilidad con cientos de directivas de seguridad de aplicaciones.

El motor de políticas WEM garantiza que las políticas de AppLocker se apliquen de manera más uniforme a todas las sesiones administradas en comparación con el enfoque basado en GPO de AppLocker.

Elevación de privilegios

En muchas ocasiones, los usuarios necesitan privilegios de administrador para poder instalar o ejecutar aplicaciones. Dado que la mayoría de las organizaciones adoptan el principio de privilegios mínimos, los usuarios finales generalmente no reciben derechos de administrador.

Cuando sea necesario, el administrador debe iniciar sesión en el sistema (físicamente o mediante acceso remoto) o proporcionar al usuario una contraseña de administrador temporal. Esta práctica es tediosa para el administrador o termina en la creación de soluciones alternativas a la política de seguridad.

Consola de elevación de privilegios WEM

La función permite al administrador elevar temporalmente los privilegios del usuario a los privilegios de administrador local y, por lo tanto, puede instalar o ejecutar la aplicación requerida.
Las aplicaciones que están en la lista de aplicaciones aprobadas se pueden instalar con esta función, mientras que las aplicaciones de la lista de bloqueadas no se pueden instalar. Se registran todas las operaciones.
Cada regla se basa en la ruta de acceso, el publicador o el hash del ejecutable.

Cuando se agrega una nueva regla están disponibles tres opciones: Aplicar a procesos secundarios, si desea que los procesos secundarios hereden la elevación de privilegios o no.

Las opciones Hora de inicio y finalización permiten restringir la elevación a un período determinado.

Opciones de implementación

Existen tres tipos de configuraciones para implementar WEM. Utilice el tipo que mejor se adapte al entorno real.

Dominio único en un solo bosque

Esta configuración se puede utilizar en un entorno que tiene un único dominio en un solo bosque.
Normalmente, este único dominio contiene todos los recursos y objetos de usuario. Por lo tanto, el administrador solo necesita implementar un conjunto de Cloud Connectors para permitir que todos sus dispositivos se conecten al servicio WEM Service.

Múltiples dominios en un solo bosque

Esta configuración se puede utilizar en entornos donde existen varios dominios en un solo bosque.
Como los dominios del bosque pueden comunicarse entre sí, el administrador solo necesita implementar un conjunto de Cloud Connectors para permitir que todos sus dispositivos se conecten al servicio WEM Service.

Usuarios y recursos en bosques separados (con confianza)

En esta configuración, los usuarios y recursos residen en diferentes bosques de dominio para fines de administración. Existe una confianza entre los dos bosques que permite a los usuarios iniciar sesión en recursos de otro bosque.
En esta implementación, el administrador debe implementar Cloud Connectors en cada bosque de dominio para completar la implementación de WEM.

Consideraciones sobre la configuración

El servicio WEM está diseñado para implementaciones empresariales a gran escala. En el lado del servidor, el servicio WEM supervisa el flujo de comunicación entre los componentes front- y back-end y escala hacia arriba o hacia abajo dinámicamente en función de los datos en tránsito. Al evaluar el tamaño y la escalabilidad del servicio WEM, son importantes el tamaño de la máquina y la cantidad de conectores de nube.
Para garantizar una alta disponibilidad, recomendamos al menos dos Cloud Connectors en cada ubicación de recursos y en función de las opciones de implementación descritas anteriormente.

Para obtener información sobre el tamaño de Cloud Connectors, consulte Citrix Cloud Connector.

Para obtener más información, consulte la documentación del producto WEM.

Para obtener las últimas actualizaciones sobre WEM, consulte Novedades.