Citrix Virtual Apps and Desktops

Panoramica tecnica

Citrix Virtual Apps and Desktops è un insieme di soluzioni di virtualizzazione che offrono all’IT il controllo di macchine virtuali, applicazioni, licenze e sicurezza, fornendo al tempo stesso l’accesso ovunque per qualsiasi dispositivo.

Citrix Virtual Apps and Desktops consente:

  • Agli utenti finali di eseguire applicazioni e desktop indipendentemente dal sistema operativo e dall’interfaccia del dispositivo.
  • Agli amministratori di gestire la rete e controllare l’accesso da dispositivi selezionati o da tutti i dispositivi.
  • Agli amministratori di gestire un’intera rete da un unico centro dati.

Citrix Virtual Apps and Desktops condivide un’architettura unificata denominata FlexCast Management Architecture (FMA). Le caratteristiche principali di FMA sono la possibilità di eseguire più versioni di Citrix Virtual Apps o Citrix Virtual Desktops da un unico sito e il provisioning integrato.

Ulteriori informazioni sulle modifiche del nome del prodotto.

Componenti chiave

Questo articolo è molto utile se si utilizza Citrix Virtual Apps and Desktops da poco. Se al momento si dispone di una farm XenApp 6.x o precedente o di un sito XenDesktop 5.6 o precedente, vedere anche Modifiche di 7.x.

In questa illustrazione sono visualizzati i componenti chiave di una distribuzione tipica, denominata sito.

Componenti chiave di una distribuzione tipica

Delivery Controller

Il Delivery Controller è la componente centrale di gestione di un sito. Ogni sito ha uno o più Delivery Controller. Viene installato su almeno un server del centro dati. Per garantire l’affidabilità e la disponibilità del sito, installare i Controller su più server. Se la distribuzione include un hypervisor o un altro servizio, i servizi Controller comunicano con esso per:

  • Distribuire applicazioni e desktop
  • Autenticare e gestire l’accesso degli utenti
  • Gestire le connessioni tra gli utenti e i loro desktop e applicazioni
  • Ottimizzare le connessioni utente
  • Bilanciare il carico di queste connessioni.

Il servizio Broker del controller tiene traccia di quali utenti sono connessi e dove, di quali risorse di sessione dispongono gli utenti e se gli utenti hanno bisogno di riconnettersi alle applicazioni esistenti. Il servizio Broker esegue i cmdlet di PowerShell e comunica con un agente broker sui VDA tramite la porta TCP 80. Non ha la possibilità di utilizzare la porta TCP 443.

Il servizio di monitoraggio raccoglie i dati storici e li inserisce nel database di monitoraggio. Questo servizio utilizza la porta TCP 80 o 443.

I dati provenienti dai servizi del Controller sono memorizzati nel database del sito.

Il Controller gestisce lo stato dei desktop, avviandoli e arrestandoli in base alla richiesta e alla configurazione amministrativa. In alcune edizioni, il Controller consente di installare Gestione profili per gestire le impostazioni di personalizzazione degli utenti in ambienti Windows virtualizzati o fisici.

Database

È necessario almeno un database di Microsoft SQL Server per ogni sito per archiviare le informazioni di configurazione e sessione. Questo database memorizza i dati raccolti e gestiti dai servizi che compongono il Controller. Installare il database all’interno del centro dati e assicurarsi che disponga di una connessione permanente al Controller.

Il sito utilizza anche un database di registrazione della configurazione e un database di monitoraggio. Per impostazione predefinita, tali database vengono installati nella stessa posizione del database del sito, ma questa impostazione può essere modificata.

Virtual Delivery Agent (VDA)

Il VDA viene installato in ogni macchina fisica o virtuale del sito che viene messa a disposizione degli utenti. Queste macchine forniscono applicazioni o desktop. Il VDA consente alla macchina di registrarsi con il Controller, che a sua volta consente di mettere a disposizione degli utenti la macchina e le risorse che ospita. I VDA stabiliscono e gestiscono la connessione tra la macchina e il dispositivo utente. I VDA verificano inoltre che sia disponibile una licenza Citrix per l’utente o la sessione e applicano i criteri configurati per la sessione.

Il VDA comunica le informazioni di sessione al servizio Broker nel Controller tramite l’agente broker nel VDA. L’agente broker ospita più plug-in e raccoglie dati in tempo reale. Esso comunica con il Controller tramite la porta TCP 80.

La parola “VDA” viene spesso utilizzata per fare riferimento all’agente e alla macchina su cui è installato.

I VDA sono disponibili per i sistemi operativi Windows a sessione singola e multisessione. I VDA per sistemi operativi Windows multisessione consentono a più utenti di connettersi al server contemporaneamente. I VDA per i sistemi operativi Windows a sessione singola consentono a un solo utente di connettersi al desktop alla volta. Sono disponibili anche VDA Linux.

Citrix StoreFront

StoreFront autentica gli utenti e gestisce gli archivi dei desktop e delle applicazioni a cui gli utenti accedono. Può ospitare lo store delle applicazioni aziendali, che offre agli utenti l’accesso self-service ai desktop e alle applicazioni che vengono messi a loro disposizione. Inoltre tiene traccia delle sottoscrizioni delle applicazioni, dei nomi di collegamenti e di altri dati degli utenti. Ciò consente di garantire che gli utenti dispongano di un’esperienza coerente su più dispositivi.

App Citrix Workspace

Installata sui dispositivi utente e su altri endpoint (ad esempio desktop virtuali), l’app Citrix Workspace offre agli utenti un accesso rapido, sicuro e self-service a documenti, applicazioni e desktop. L’app Citrix Workspace consente l’accesso on-demand alle applicazioni Windows, Web e SaaS (Software as a Service). Per i dispositivi che non possono installare il software dell’app Citrix Workspace specifico del dispositivo, l’app Citrix Workspace per HTML5 fornisce una connessione tramite un browser Web compatibile con HTML5.

Citrix Studio

Studio è la console di gestione in cui è possibile configurare e gestire la distribuzione di Citrix Virtual Apps and Desktops. Studio elimina la necessità di console di gestione separate per gestire la distribuzione di applicazioni e desktop. Studio fornisce procedure guidate che guidano l’utente attraverso la configurazione dell’ambiente, la creazione di carichi di lavoro per ospitare applicazioni e desktop e l’assegnazione di applicazioni e desktop agli utenti. È inoltre possibile utilizzare Studio per allocare e tenere traccia delle licenze Citrix per il proprio sito.

Studio ottiene le informazioni visualizzate dal servizio Broker nel Controller, comunicando tramite la porta TCP 80.

Citrix Director

Director è uno strumento basato sul Web che consente ai team di supporto IT e dell’helpdesk di monitorare un ambiente, risolvere i problemi prima che diventino critici per il sistema ed eseguire attività di supporto per gli utenti finali. È possibile utilizzare una distribuzione Director per connettersi a più siti Citrix Virtual Apps o Citrix Virtual Desktops e monitorarli.

Director visualizza:

  • Dati di sessione in tempo reale provenienti dal Servizio Broker all’interno del Controller, inclusi i dati che il Servizio Broker ottiene dall’agente broker nel VDA.

  • Dati storici del sito provenienti dal servizio di monitoraggio all’interno del Controller.

Director utilizza i dati relativi alle prestazioni e all’euristica ICA acquisiti dal dispositivo Citrix Gateway per creare analisi a partire dai dati e quindi presentarle agli amministratori.

È inoltre possibile visualizzare e interagire con le sessioni di un utente tramite Director, utilizzando Assistenza remota di Windows.

Citrix License Server

License Server gestisce le licenze dei prodotti Citrix. Comunica con il Controller per gestire le licenze per ogni sessione utente e con Studio per allocare i file di licenza. Un sito deve disporre di almeno un server licenze per archiviare e gestire i file delle licenze.

Hypervisor o altro servizio

L’hypervisor o altro servizio effettua l’hosting delle macchine virtuali nel sito. Queste possono essere le VM utilizzate per ospitare applicazioni e desktop e le VM utilizzate per ospitare i componenti di Citrix Virtual Apps and Desktops. Un hypervisor viene installato su un computer host interamente dedicato all’esecuzione dell’hypervisor e all’hosting di macchine virtuali.

Citrix Virtual Apps and Desktops supporta vari hypervisor e altri servizi.

Sebbene molte distribuzioni richiedano un hypervisor, non è necessario un hypervisor per fornire la funzionalità di accesso remoto a PC. Non è necessario un hypervisor neanche quando si utilizza Provisioning Services (PVS) per eseguire il provisioning delle macchine virtuali.

Componenti aggiuntivi

Anche i seguenti componenti possono essere inclusi nelle distribuzioni di Citrix Virtual Apps and Desktops. Per ulteriori informazioni, vedere la relativa documentazione.

Citrix Provisioning

Citrix Provisioning (in precedenza Provisioning Services) è un componente opzionale disponibile con alcune edizioni. Fornisce un’alternativa a MCS per il provisioning delle macchine virtuali. MCS crea copie di un’immagine master, mentre PVS trasmette l’immagine master ai dispositivi utente. PVS non richiede un hypervisor per farlo, quindi è possibile utilizzarlo per ospitare macchine fisiche. PVS comunica con il Controller per fornire risorse agli utenti.

Citrix Gateway

Quando gli utenti si connettono dall’esterno del firewall aziendale, Citrix Virtual Apps and Desktops può utilizzare la tecnologia Citrix Gateway (precedentemente Access Gateway e NetScaler Gateway) per proteggere queste connessioni con TLS. L’appliance virtuale Citrix Gateway o VPX è un’appliance VPN SSL distribuita nella zona demilitarizzata (DMZ). Fornisce un unico punto di accesso sicuro attraverso il firewall aziendale.

Citrix SD-WAN

Nelle distribuzioni in cui i desktop virtuali vengono distribuiti agli utenti in sedi remote quali le filiali, la tecnologia Citrix SD-WAN può essere utilizzata per ottimizzare le prestazioni. I ripetitori accelerano le prestazioni nelle reti WAN. Con i ripetitori nella rete, gli utenti delle filiali sperimentano prestazioni simili alla LAN sulla WAN. Citrix SD-WAN può dare priorità a diverse parti dell’esperienza utente in modo che, ad esempio, l’esperienza utente non peggiori nella posizione della filiale quando un file di grandi dimensioni o un processo di stampa viene inviato attraverso la rete. L’ottimizzazione HDX WAN fornisce compressione in formato token e deduplicazione dei dati, riducendo drasticamente i requisiti di larghezza di banda e migliorando le prestazioni.

Come funzionano le distribuzioni tipiche

Un sito è costituito da macchine con ruoli dedicati che consentono scalabilità, elevata disponibilità e failover e offrono una soluzione progettata per essere sicura. Un sito è costituito da server e computer desktop installati dal VDA e dal Delivery Controller, che gestisce l’accesso.

Comunicazioni dei componenti in una distribuzione

Il VDA consente agli utenti di connettersi a desktop e applicazioni. Viene installato su macchine virtuali del centro dati per la maggior parte dei metodi di distribuzione, ma può anche essere installato su PC fisici per l’accesso remoto ai PC.

Il Controller è costituito da servizi Windows indipendenti che gestiscono risorse, applicazioni e desktop e ottimizzano e bilanciano le connessioni degli utenti. Ogni sito ha uno o più Controller. Poiché le sessioni sono influenzate da latenza, larghezza di banda e affidabilità di rete, se possibile è bene posizionare tutti i controller sulla stessa LAN.

Gli utenti non accedono mai direttamente al Controller. Il VDA funge da intermediario tra gli utenti e il Controller. Quando gli utenti accedono utilizzando StoreFront, le loro credenziali passano attraverso il servizio Broker sul Controller. Il servizio Broker ottiene quindi i profili e le risorse disponibili in base ai criteri impostati per essi.

Come vengono gestite le connessioni utente

Per avviare una sessione, l’utente si connette tramite l’app Citrix Workspace installata sul dispositivo dell’utente o tramite un sito Web StoreFront.

L’utente seleziona il desktop fisico o virtuale o l’applicazione virtuale necessaria.

Le credenziali dell’utente si spostano attraverso questo percorso per accedere al Controller, che determina quali risorse sono necessarie comunicando con un servizio Broker. Citrix consiglia agli amministratori di inserire un certificato SSL su StoreFront per crittografare le credenziali provenienti dall’app Citrix Workspace.

Flusso di connessione utente

Il servizio Broker determina a quali desktop e applicazioni l’utente può accedere.

Dopo la verifica delle credenziali, le informazioni sulle applicazioni o sui desktop disponibili vengono inviate all’utente tramite il percorso dell’app StoreFront-Citrix Workspace. Quando l’utente seleziona applicazioni o desktop da questo elenco, tali informazioni seguono di nuovo il percorso verso il controller. Il Controller determina quindi il VDA appropriato per ospitare le applicazioni specifiche o il desktop.

Il Controller invia un messaggio al VDA con le credenziali dell’utente, quindi invia tutti i dati sull’utente e sulla connessione al VDA. Il VDA accetta la connessione e invia le informazioni attraverso gli stessi percorsi all’app Citrix Workspace. Una serie di parametri richiesti viene raccolta su StoreFront. Questi parametri vengono quindi inviati all’app Citrix Workspace o come parte della conversazione del protocollo Citrix-Workspace-App-StoreFront o convertiti in un file ICA (Independent Computing Architecture) e scaricati. Se il sito è stato configurato correttamente, le credenziali rimangono crittografate durante tutto il processo.

Il file ICA viene copiato sul dispositivo dell’utente e stabilisce una connessione diretta tra il dispositivo e lo stack ICA in esecuzione sul VDA. Questa connessione ignora l’infrastruttura di gestione (app Citrix Workspace, StoreFront e Controller).

La connessione tra l’app Citrix Workspace e il VDA utilizza il protocollo CGP (Citrix Gateway Protocol). In caso di perdita di una connessione, la funzionalità Affidabilità sessione consente all’utente di riconnettersi al VDA invece di dover riavviare l’infrastruttura di gestione. L’affidabilità delle sessioni può essere attivata o disattivata nei criteri Citrix.

Dopo che il client si connette al VDA, questo notifica al controller che l’utente ha effettuato l’accesso. Il Controller invia quindi queste informazioni al database del sito e inizia a registrare i dati nel database di monitoraggio.

Come funziona l’accesso ai dati

Ogni sessione di Citrix Virtual Apps and Desktops produce dati a cui l’IT può accedere tramite Studio o Director. Utilizzando Studio, gli amministratori possono accedere ai dati in tempo reale provenienti dall’agente Broker per gestire i siti. Director accede agli stessi dati e ai dati storici memorizzati nel database di monitoraggio. Consente inoltre di accedere ai dati HDX provenienti da NetScaler Gateway per il supporto dell’helpdesk e la risoluzione dei problemi.

Accesso ai dati in una distribuzione

All’interno del Controller, il Servizio Broker riporta i dati di sessione per ogni sessione sulla macchina fornendo dati in tempo reale. Il servizio di monitoraggio tiene inoltre traccia dei dati in tempo reale e li memorizza come dati storici nel database di monitoraggio.

Studio comunica solo con il servizio Broker. Accede solo ai dati in tempo reale. Director comunica con il servizio Broker (tramite un plug-in dell’agente Broker) per accedere al database del sito.

Director può anche accedere a Citrix Gateway per ottenere informazioni sui dati HDX.

Distribuzione di desktop e applicazioni

È possibile configurare le macchine che forniscono applicazioni e desktop con cataloghi di macchine. Quindi, si creano gruppi di recapito che specificano le applicazioni e i desktop che saranno disponibili (utilizzando i computer presenti nei cataloghi) e quali utenti possono accedervi. Facoltativamente, è possibile creare gruppi di applicazioni per gestire raccolte di applicazioni.

Cataloghi di macchine

I cataloghi di macchine sono raccolte di macchine virtuali o fisiche gestite come singola entità. Queste macchine e l’applicazione o i desktop virtuali che contengono sono le risorse fornite agli utenti. Tutte le macchine di un catalogo hanno lo stesso sistema operativo e lo stesso VDA installato. Hanno anche le stesse applicazioni o gli stessi desktop virtuali.

In genere, si crea un’immagine master e la si utilizza per creare macchine virtuali identiche nel catalogo. Per le macchine virtuali è possibile specificare il metodo di provisioning per le macchine di quel catalogo: strumenti Citrix (Citrix Provisioning o MCS) o altri strumenti. In alternativa, è possibile utilizzare le proprie immagini esistenti. In tal caso, è necessario gestire i dispositivi di destinazione individualmente o collettivamente utilizzando strumenti di distribuzione elettronica di software (ESD) di terze parti.

I tipi di macchine validi sono:

  • Sistema operativo multisessione: macchine virtuali o fisiche con sistema operativo multisessione. È utilizzato per la distribuzione di app pubblicate Citrix Virtual Apps (note anche come applicazioni ospitate basate su server) e di desktop pubblicati Citrix Virtual Apps (noti anche come desktop ospitati su server). Queste macchine consentono a più utenti di connettersi a loro allo stesso tempo.
  • Sistema operativo a sessione singola: macchine virtuali o fisiche con un sistema operativo a sessione singola. Utilizzato per la distribuzione di desktop VDI (desktop che eseguono sistemi operativi a sessione singola che possono essere personalizzati), app ospitate nella VM (applicazioni da sistemi operativi a sessione singola) e desktop fisici ospitati. A ciascuno di questi desktop può connettersi solo un utente alla volta.
  • Accesso remoto PC: consente agli utenti remoti di accedere ai PC dell’ufficio fisico da qualsiasi dispositivo in cui sia in esecuzione l’app Citrix Workspace. I PC dell’ufficio vengono gestiti tramite la distribuzione di Citrix Virtual Desktops e richiedono che i dispositivi utente siano specificati in un elenco di autorizzazioni.

Per ulteriori informazioni, vedere Gestione delle immagini di Citrix Virtual Apps and Desktops e Creare cataloghi di macchine.

Gruppi di consegna

I gruppi di recapito specificano gli utenti che possono accedere alle varie applicazioni, ai desktop o entrambi e su quali computer. I gruppi di recapito contengono le macchine dei cataloghi di macchine e gli utenti di Active Directory che hanno accesso al sito. È possibile assegnare utenti ai gruppi di recapito in base al gruppo Active Directory, poiché i gruppi di recapito e i gruppi di Active Directory sono modi di raggruppare gli utenti con requisiti simili.

Ciascun gruppo di recapito può contenere macchine provenienti da più di un catalogo e ogni catalogo di macchine può contribuire a più di un gruppo di recapito. Tuttavia, ogni singola macchina può appartenere a un solo gruppo di recapito alla volta.

È possibile definire a quali risorse possono accedere gli utenti del gruppo di recapito. Ad esempio, per distribuire applicazioni diverse a utenti diversi, è possibile installare tutte le applicazioni nell’immagine master di un catalogo e creare in tale catalogo un numero sufficiente di macchine da distribuire tra diversi gruppi di recapito. È quindi possibile configurare ogni gruppo di recapito in modo da distribuire un sottoinsieme diverso di applicazioni installate sui computer.

Per ulteriori informazioni, vedere Creare gruppi di consegna.

Gruppi di applicazioni

I gruppi di applicazioni offrono vantaggi in termini di gestione delle applicazioni e di controllo delle risorse rispetto all’uso di più gruppi di recapito. Utilizzando la funzione di restrizione tag, è possibile utilizzare i computer esistenti per più di un’attività di pubblicazione, risparmiando i costi associati alla distribuzione e gestendo più macchine. Una restrizione tag può essere spiegata come una suddivisione (o la creazione di partizioni) delle macchine che fanno parte di un gruppo di consegna. I gruppi di applicazioni possono essere utili anche per isolare e risolvere i problemi di un sottoinsieme di macchine che fanno parte di un gruppo di recapito.

Per ulteriori informazioni, vedere Creare gruppi di applicazioni.

Ulteriori informazioni

Panoramica tecnica