リファレンスアーキテクチャ:Citrix Service Provider DaaS
オーディエンス
このドキュメントは、既存のマルチテナントCitrix Virtual Apps and Desktops環境をマルチテナントのCitrix Cloudに展開または移行しようとしているIT意思決定者、コンサルタント、ソリューションインテグレーター、Citrix Cloud エンジニア、およびCSPパートナーを対象としています。
エグゼクティブサマリー
Citrix Cloud上のCitrix Service Providerリファレンスアーキテクチャは、次世代のクラウドサービスデリバリーアプローチを使用して、拡大する顧客ベース向けにユーザー中心のモビリティを向上させながら、迅速に拡張する展開アーキテクチャをガイドします。
Citrix Cloudでは、Microsoft® Windows® およびLinux® ワークスペースを、人中心のセキュリティで保護されたアプリケーションおよびデスクトップとともに提供できます。オンプレミスのデータセンターからプライベートクラウドまたはパブリッククラウドまで、Service Provider が管理する環境でホストされます。 Citrix Service Provider は、柔軟なライセンスプログラムを利用して、加入者の使用状況に応じて費用対効果の高いサービスを提供できます。
リファレンス・アーキテクチャは、特定のプロバイダーおよび加入者の要件を満たすように簡単に適合できます。Service Providerは、管理とスケーラビリティを簡素化しながら、包括的なワークスペース製品と価格ポイントを提供できます。 クラウド対応サービスモデルにより、インフラストラクチャと管理コストの削減、市場投入までのスピードと拡張性、顧客満足度の向上、ビジネスの成功の向上を実現できます。
概要と範囲
このドキュメントは、Citrix Cloudテクノロジーを使用して顧客とサブスクライバーにサービスを提供するCitrix Service Provider(CSP)向けのアーキテクチャガイダンスを提供します。リファレンスアーキテクチャは、 Service Providerが小規模な加入者ベースから、複数のテナントや地域にまたがって共有される広範なユーザーベースにまで拡大するのを支援することを目的としています。
Citrix CSPリファレンスアーキテクチャは柔軟性があり、あらゆる実装フェーズで一連のインフラストラクチャ内にホスティング環境を実装するために使用できます。
このドキュメントでは、ベンダーに依存しないCitrix Cloud ソリューションインフラストラクチャの設計と実装について説明し、使用されている特定のテクノロジーについて標準的な表現を使用しています。
Citrix Service Provider によって管理されるマルチテナントリソースの場所は、拡張性と可用性が高いです。追加サービスの管理と組み込みを含む、卓越したパフォーマンスとエンドユーザーエクスペリエンスに加えて。
このバージョンのリファレンスアーキテクチャは、Citrix Service Provider向け Citrix DaaS に焦点を当てています。公開時点では、すべての Workspace Services がマルチテナンシーをサポートしているわけではありません。リファレンスアーキテクチャの範囲を拡大し、将来のバージョンでCSPのワークスペースサービス全体をカバーする予定です。
概要
Citrix Cloud
Citrix Cloudは、Citrix WorkspaceやCitrix Virtual Apps and DesktopsなどのCitrixサービスをホストおよび管理するプラットフォームです。クラウドまたはインフラストラクチャ上のCitrix Cloud Connectorを介してホストされたリソースに接続します。
Citrix Cloud を使用すると、Citrix Service Providerは、リソースの場所として複数のワークスペースホスティング環境(オンプレミス、パブリッククラウド、プライベートクラウド、ハイブリッドクラウドなど)を作成できます。
Citrix Workspace
Citrix Workspace は、Citrix が管理する統合された安全なクラウドプラットフォームです。ホスティングプロバイダーは、ますますモバイル化するワークスタイルでエンドユーザーエクスペリエンスと生産性を維持しながら、アプリケーションとデータを安全に配信できます。
Citrix DaaS
Citrix Service Providerの約 80% が、顧客にアプリケーションおよびデスクトップソリューションを提供しています。従来、これらのサービスはオンプレミスでホストおよび管理されています。Citrix DaaSは、Citrix Cloud でアクセスレイヤーと制御レイヤーをホストすることで柔軟性を高め、 Service Providerの柔軟性を提供し、選択したパブリッククラウドまたはオンプレミスで維持される顧客のワークロードに集中できるようにします。
Citrix Cloud Connector
Cloud Connectorは、Citrix CloudとService Providerが管理するリソースの場所との間のすべての通信を認証および暗号化するCitrix Cloudコンポーネントです。Citrix Cloudとリソースロケーション環境との間のすべての通信は暗号化されるため、入口ファイアウォールルールの必要性がなくなります。
Citrix Service Providerのアーキテクチャモデル
Citrix Cloud for Citrix Service Provider(CSP)は、Citrix テクノロジーを提供および管理するためのプラットフォームであり、 Service Providerが既存のホスティング展開を拡張したり、顧客をホストされたクラウドソリューションに移行したりするのに役立ちます。CSPは、オンプレミスまたは選択したクラウドでホストされている機密データやリソースの制御を維持しながら、Citrix Cloudを使用して安全なデジタルワークスペースを迅速に作成および展開できます。
CSP向けCitrix DaaS
CSPの場合、従来の展開では、Citrix Virtual Apps and Desktops環境をオンプレミスでホストし、可用性の高いコンポーネントを使用して Service Providerのデータセンターに展開します。CSP向けのCitrix Cloud モデルでは、高可用性が管理および制御プレーンに組み込まれています。オプションのアクセスレイヤーにより、Citrix Service Providerは顧客のアプリケーションデータと重要なサービスに集中できます。また、このモデルにより、 Service Providerは、Citrix がホストするサービスをクラウドですばやく追加できます。
セキュリティと隔離
Citrix DaaSアーキテクチャは、 Service Provider向けの完全なエンドツーエンドソリューションを作成するために接続するレイヤーで構成されています。一般的な概念アーキテクチャと、すべてのレイヤーがどのように連携するかを理解するには、 Citrix Tech Zoneを参照してください。
外部アクセスセキュリティ
マルチテナント環境は、混合アプローチを使用してインターネットから隔離されます。ファイアウォール、アプリケーションデリバリーコントローラ、パケットフィルタリング、侵入検知および防止システムなどの補完的なテクノロジを使用する。Citrix Cloudからマルチテナントネットワークにアクセスするには、Citrix Cloud Connector、またはCitrix CloudアプリケーションDelivery Controller とCitrix StoreFrontの組み合わせを使用します。
管理の分離
Service Provider のコアネットワークサービスは、共有サービスのホスティングを可能にする別のパーティションに配置されています。提供されるサービスによっては、このパーティションのコンポーネントに Active Directory ドメインコントローラ、バックアップ、自動化サービス、DNS などを含めることができます。
ストレージセキュリティ
各テナントのファイルリポジトリへのアクセスは、他のテナントから分離する必要があります。分離は、セキュリティパーティションまたは権限を使用して保護されている専用の共有サーバーを使用することで実現できます。
テナント分離
テナントの分割は、顧客によって要求される分離のレベルによって定義されます。Citrix では、各テナントを専用のワークロードと補完サービス用にソフトウェア定義ネットワーク(SDN)を使用して分離されたネットワークに配置し、管理対象ネットワークとIP管理およびルーティングによる適切なセキュリティ分離境界を確保することをお勧めします。
マルチテナントアーキテクチャモデル
Citrix Cloud マルチテナントDaaSにより、 Service Providerは複数の顧客を管理できます。共有マルチテナントのCitrix Web StudioおよびDirectorコンソールでCitrix DaaSの単一インスタンスを使用し、パートナークラウドアカウントで役割ベースのアクセス制御を使用する。Citrixライセンス管理も一元化され、簡単に割り当てられます。
マルチテナント機能は、必要な分離とデータ保護を提供しながら、単一の共有インフラストラクチャでスケールメリットのメリットを提供します。Service Providerは、個々のテナントの要件を満たすために、価格と機能についてトレードオフを行うことができます。
マルチテナント展開におけるテナント分離には、管理コンソールとコントロールプレーン内で共有または専用のオブジェクトを明確に定義するために、適切な命名法を含める必要があります。たとえば、{テナント}-{場所}-{グループ} などです。 マルチテナント DaaS は、次の 2 つのアーキテクチャモデルをサポートします。
- 複数のテナントの共有リソースの場所。
- テナントごとの専用リソースの場所。
共有リソースの場所
[共有リソースの場所。Citrix Service Providerのクラウドアカウントでテナント間で共有できるコンポーネントの概要が表示されます]
このマルチテナントアーキテクチャモデルでは、 Service Providerの顧客またはテナントは、パートナーのCitrix DaaS展開、同じリソースの場所、およびホストされたActive Directory を共有します。各お客様には、認証、ブランディング、Workspace URLなどのワークスペース構成をカスタマイズして、お客様のビジネス名やブランドと密接に一致させることができる、専用のWorkspaceエクスペリエンスがあります。
このモデルの利点は、共有インフラストラクチャと管理コンポーネントを使用して、幅広い共有顧客をホスティングするのに最適な経済性を提供することです。Service Providerは、弾力的に迅速に拡張し、小規模の顧客を迅速に組み込むことができます。共有リソースの場所は、オンプレミスにすることも、パブリッククラウドまたはプライベートクラウドでホストすることもできます。このオプションでは、お客様のデータセンターでのホスティングは許可されません。
共有リソースの場所で管理されるマシンカタログは、テナントごとに専用し、特定のカスタマースコープに割り当てることをお勧めします。ただし、 Service Providerの裁量に基づいて、小規模テナント向けの一般的なアプリケーションのマシンカタログを共有することは可能です。テナント間でマシンカタログを共有する場合は、Workspace認証に関する追加の考慮事項を考慮する必要があります。これらのトピックは、以下の「 共有リソースの場所を使用する場合の考慮事項 」セクションで説明されています。命名規則は、インフラストラクチャ内のService Providerによって管理されるオブジェクトにも適用されます。共有リソースロケーションのデリバリーグループを管理する場合は、クラウドコントロールプレーンの[サブスクライバーの管理]ページから、対応する名前のActive Directory セキュリティグループに割り当てられたテナントごとに専用にすることを強くお勧めします。管理オーバーヘッドが大きく、スケーラビリティが低いため、デリバリーグループに個々のユーザーを追加することはお勧めしません。
要約すると、共有リソースの場所モデルでは、各顧客は専用のワークスペースエクスペリエンスとデリバリーグループを持っていますが、以下を共有します。 • Active Directory • パートナーがホストするリソースロケーションとクラウドコネクタ • Citrix DaaS
このモデルの利点は、最高の経済性、既存のオンプレミスのマルチテナントAD環境に対する簡単で迅速なクラウド移行、および優れた弾力性とスケーラビリティです。ただし、カスタム環境と複雑なアプリケーションと高いコンプライアンス要件を統合する場合は、制限があります。
専用リソースの場所
[専用リソースの場所。Citrix Service Provider のクラウドアカウントのテナント間の専用コンポーネントと共有コンポーネントを表示]
共有リソースロケーションモデルと比較して、ホスティングプロバイダーからさらに分離する必要があるお客様は、専用のリソースロケーションモデルを使用できます。Service Providerの DaaS インスタンスを共有しますが、分離された Active Directory、Cloud Connector、およびインフラストラクチャリソースを維持します。
専用のActive Directory とインフラストラクチャリソースにより、お客様の分離とセキュリティが強化されます。クラウドサービスインスタンスを共有すると、パートナーのコントロールプレーン、Studio、および Monitor コンソールを介したライセンスの割り当てと集中管理が簡単になります。このモデルは、 Service Providerのデータセンター、パブリックまたはプライベートクラウドの場所、または顧客のデータセンターを使用してホストできます。
Citrixでは、マシンカタログのワークロードに関する情報を示すCitrix Studioの命名法の背後にある理論的根拠を推奨しています。各カタログとデリバリーグループを特定のテナントスコープに割り当てます。パートナークラウドポータル上の対応するライブラリに割り当てられるサブスクライバーとして個々のユーザーを追加する代わりに、同様の名前の Active Directory セキュリティグループが使用されます。
この命名規則は、ホスト接続、Active Directory オブジェクト、ネットワークサブネットなど、テナントに割り当てられた、または管理されるすべてのオブジェクトに拡張されます。
専用のリソースの場所は、通常、中小規模の顧客の採用に重点を置いています。 要約すると、顧客は専用のリソースロケーションモデルでCSPのCitrix DaaSを共有しますが、各顧客は以下を専門としています。 • ワークスペースエクスペリエンス、パートナーがホストするリソースの場所、アクティブディレクトリ • マシンカタログ、デリバリーグループ • ほとんどの場合、専用のサブネット/VNet • 可能なホスティング接続と異なるクラウドの場所 • 小規模のお客様にとっては、最も経済的なモデルではありませんが、このアーキテクチャモデルには多くの利点があります。 • 完全なプライベート分離に比べて、管理コストを削減 • 一元管理および容易なライセンス割り当て • ハイブリッドとマルチクラウドの採用をサポート • 優れた柔軟性と拡張性 • バランスの取れたアプローチと最も一般的なユースケースに適している
プライベートワークスペース (非マルチテナント)
[プライベートワークスペース、テナントが完全に分離されたワークスペースを持ち、 Service Providerのクラウドアカウントからサービスインスタンスが共有されていないことを示す]
大企業のお客様は、Citrix Service Provider がプライベートワークスペースを管理できる機能を必要とする場合があります。複雑なアプリケーション用。厳格なセキュリティとコンプライアンスの要件により、プライベートワークスペースには、同じ Service Providerの他の顧客と共有コンポーネントがありません。お客様は、Service Providerにクラウド環境の管理を依頼します。この分離により、顧客と Service Providerの柔軟性と制御が可能になります。Citrix Service Providerの観点からの管理と制御は重複しており、完全なサービスインスタンスはお客様専用です。
このモードの設計と展開は、Citrix Cloud のスタンドアロンエンタープライズアカウントと同じです。これらのアカウントの接続と管理にService Provider が招待されている場合を除き、2019 年の終わりにマルチテナントサポートが利用可能になる前の展開モデル。シングルテナント/プライベートワークスペースモデルの詳細な設計、展開、およびベストプラクティスは、 Citrix Tech Zoneにあります。
異なるアーキテクチャモデルの組み合わせ
異なるアーキテクチャモデルは相互に排他的ではありません。Service Providerは、各モデルまたはハイブリッドアーキテクチャをパートナークラウドアカウントに適用したり、大規模な顧客向けに個別のクラウドアカウントを管理したりできます。Service Providerモデルは、顧客のニーズを満たすように柔軟に開発されており、共有インフラストラクチャへの投資回収やデータ主権の課題を解決するための分離を提供するソリューションを提供します
[単一のCitrix Service Provider アカウントで管理されるお客様のユースケースのための複合アーキテクチャモデル]
ワークスペースエクスペリエンスと認証
各顧客またはテナントにはそれぞれワークスペースがあります。使用される認証方法は、必要に応じてテナントごとに異なる場合があります。 Citrix Service Provider の顧客が利用できるIDプロバイダはいくつかあります。
Active Directory
CSP のデフォルトプロバイダー。共有または専用の Active Directory に対して Citrix DaaS を提供し、Kerberos を使用して認証します。これにより、複数のカスタマードメインで異なる UPN サフィックスを使用できるようになります。
パートナーアカウントの下に専用のリソースの場所があるマルチテナントセットアップのお客様は、AD 資格情報が Azure AD に同期されると、Active Directory 資格情報を使用して Office 365 アクセスのユーザーを認証できます。
時間ベースのワンタイムパスワード
トークンの有無にかかわらず、シングルテナントまたはマルチテナントは、Citrix シングルサインオン(SSO)、Google、またはMicrosoft Authenticatorなどのタイムズベースのワンタイムパスワード標準をサポートする二次認証要素です。
Azure Active Directory
プライベートワークスペース(シングルテナント)を持つお客様の場合、CSPはお客様のAzure AD をCitrix Cloud アカウントに接続し、ワークスペースに対してユーザーを認証できます。
Citrix Gateway
Citrix DaaSは、複数の認証および承認機能を有効にするオンプレミスのNetScaler ADC GatewayおよびStoreFrontのテナントごとの使用をサポートします。
OKTA
OKTAなどのクラウドベースのIDプロバイダーを使用すると、CSPは標準のサインイン手順を提供して顧客を認証し、CSPの複数の認証ポイントの管理を簡素化できます。
SAML
Citrix Cloudでは、ワークスペースにサインインする利用者を認証するためのIDプロバイダーとして使用して、SAML(セキュリティアサーションマークアップランゲージ)を使用できます。SAML 2.0 インターフェイスを使用すると、CSP は選択したプロバイダーをオンプレミスの Active Directory に接続できます。
共有リソースの場所を使用する場合の考慮事項
テナント間で共有リソースロケーションを使用する場合 、テナントは単一の Active Directory (AD) 環境を共有します。AD が Workspace の ID プロバイダとして使用されているとします。その場合、Citrix CloudはCSPのCitrix Cloud Connectorを介してこの共有ADに直接接続し、ユーザーの資格情報を検証し、ユーザーのIDを確立します。Azure Active Directory(AAD)、NetScaler Gateway、Okta、またはSAMLをIDプロバイダーとして使用すると、Citrix Cloud はIDプロバイダーを信頼してユーザーの資格情報を検証し、ユーザーのIDを確立します。
フェデレーションIDプロバイダーを使用する場合、Citrix Cloud は、テナントがアクセスできないADドメインのIDをアサートすることを許可しません。このため、テナントが Workspace の ID プロバイダ統合を所有している場合でも、別のテナントの ID をアサートすることはできません。Service Providerは、以下の「 新規顧客のフェデレーションドメインの設定」セクションに示すように、特定のドメインへのアクセス権をテナントに付与することでこれを制御します 。Service Providerが、コストまたは管理を容易にするために、テナント間で AD ドメインを共有するとします。その場合、Citrix Cloud によって提供される保護はドメインレベルであるため、これらのテナントはフェデレーションIDプロバイダーを構成できません。Service Providerが、これらのテナントにフェデレーション ID プロバイダを使用するとします。その場合、ID プロバイダーは、テナントではなく、 Service Providerによって完全に管理されている必要があります。そうしないと、悪意のあるテナントが別のテナントのユーザーの ID をアサートする可能性があります。
クラウドフェデレーション認証サービス
FASサービスを使用すると、お客様はオンプレミスのFAS展開をCitrix CloudのService Provider アカウントに接続できます。これにより、エンドユーザーは、Azure Active Directory yやOKTAなどのWorkspaceのフェデレーションIDプロバイダーを使用して、Citrix DaaSリソースへのシングルサインオン(SSO)を実現できます。
フェデレーション認証サービス (FAS) は現在、 Service Providerのクラウドアカウントでのみサポートされています。現在、CSP の Federated Domain オプションではサポートされていません。これにより、顧客はワークスペース構成を使用できます。
障害回復についての注意事項
Citrix Service Providers Cloudモデルでは、さまざまなパブリッククラウドおよびハイパーバイザーに対する Service Providerの顧客のニーズに適したさまざまな展開オプションを使用できます。Service Providerとその顧客は、これらの展開オプションを組み合わせて、ハイブリッドクラウド移行またはマルチクラウドの採用を提供できます。
[単一のCitrix Service Provider アカウントで管理されるテナントの組み合わせ展開オプション]
選択したディストリビューターにCitrix DaaSを注文する際には、Citrix Cloud を介して Service Providerが管理する多様な顧客ベースを考慮することが不可欠です。お客様が既存のCitrix DaaS資格を持っている場合、Citrix Service Providerのサービスインスタンスの下でテナントとして参加するよう招待することはできません。ただし、その後は CSP によって管理される接続に招待できます。既存のサービスインスタンスを持たない他の顧客は、Citrix Service Providerのインスタンスに共有または専用のリソースの場所に招待または追加できます。
アーキテクチャモデルに関しては、CSPが利用できるSKUは2つあります。
シングルテナントSKU — Citrix Service Providerが顧客に注文する既存のSKU、および資格とサービスインスタンスがお客様のクラウドアカウントに割り当てられます。SKU は、シングルテナント/プライベートワークスペースモデルにマッピングされます。
マルチテナントSKU — 資格を持つ新しいSKUは、Citrix Service Providerパートナーアカウントにのみ配信されます。これにより、複数の顧客間でライセンスを管理および配布できます。
データセンター
一部の Service Providerは、サービスをホストしたり、厳しいコンプライアンス要件を満たすために、長期的なインフラストラクチャとコンピューティングに投資しています。これらの既存のリソースを使用するには、Citrix Service Provider Datacenterにリソースの場所を展開するのが適切なオプションです。
Citrix DaaSは、利用可能な主要なハイパーバイザーをサポートしています。マシン作成サービスおよびProvisioning Servicesとの統合、コンピューティングリソースの配信と運用を自動化します。
Service Providerは通常、顧客に階層型ストレージオプションを提供し、現在の提供と将来の拡張を可能にする分散パフォーマンスを確保します。
Microsoft Azure
当社のCitrix Service Provider の多くは、Microsoft Cloud Solution Providerでもあります。Azure は、柔軟かつ伸縮自在にワークロードをホストしたいと考えている Service Provider向けの Microsoft のパブリッククラウドオプションです。Citrix DaaSには、マシン作成サービスの統合を可能にするAzure機能のサポートが組み込まれています。Citrix Autoscale は、お客様が要求するコストとサービスレベルのバランスを取るために、ワークロードをプロアクティブに管理します。未使用のワークロードは、オフピーク時に減少し、ピーク時間前に増加します。
Service Providerは、自動プロビジョニング、監視、およびアクセス制御を容易にする論理割り当てのアセット (仮想ネットワーク、仮想マシン、およびストレージアカウントなど) のコレクションを使用して、Azure のリソースグループで顧客をホストします。専用リソースまたは共有リソースを個別のAzure仮想ネットワークに分割します。通常、アクセスは、AzureリソースをCitrix CloudにリンクするCloud Connectorによって制御されます。 Azure 上の Citrix DaaS に関するその他の推奨事項については、以下を参照してください。
AWS
AWS は、柔軟で制御可能な環境でワークロードをホストする Citrix Service Provider にとっての、もう 1 つのパブリックホスティングオプションです。運用コストモデルを使用して、顧客の要求に応じてビジネスを成長させます。Citrix DaaS には AWS の機能が組み込まれており、Citrix Autoscale を使用してオンデマンドプロビジョニングを行うためのMachine Creation Services Integration Services Integration(マシン作成サービス)を統合して、お客様のコスト未使用のワークロードは、オフピーク時に減少し、ピーク時間前に増加します。
可用性グループは、Amazon Elastic Compute Cloud のアセットのコレクションです。たとえば、(仮想ネットワーク、仮想マシン、およびストレージアカウント)を論理グループにまとめて、プロビジョニング、監視、アクセス制御を簡単または自動化します。EC2 のリソースグループは、統合されたリソースを共有するため、Citrix Virtual Apps and Desktops デプロイに属する関連リソースをグループ化するためのものです。
EC2 のCitrix Virtual Apps and Desktopsワークロードに使用される仮想マシンは、通常 T タイプのマシンです。これらの仮想マシンは、Citrix Service ProviderのCPUとメモリのバランスが最も優れています。Autoscaleを使用してバスをスケールアップおよびスケールダウンして、顧客の要件に対応し、コストを管理します。未使用のワークロードは、オフピーク時に減少し、ピーク時間前に増加します。
AWS 上のCitrix Virtual Apps and Desktopsの詳細については、以下を参照してください。
Google Cloud
Citrix DaaS向けのGoogleパブリッククラウドサービスにより、 Service Providerは、マシン作成サービス(MCS)を使用してワークロードをプロビジョニングし、ライフサイクルイメージ管理を有効にして、Google Cloud Platform(GCP)上のプロジェクト内のマシンをプロビジョニングおよび管理できます。
GCPの自動プロビジョニング。Citrix Autoscale と連携して、これらのワークロードをオンデマンドでスケールアップおよびスケールダウンします。Compute Engine API と「クラウドリソースマネージャー API」を使用して Citrix DaaS を実行するには、少なくとも 1 つのプロジェクトが必要です。GCP サービスアカウントを介して制御され、複数の CGP プロジェクト間で共有でき、MCS サービスはそのアカウントを使用して仮想マシンを管理します。
GCPでのCitrix DaaSリソースの場所の設定の詳細については、以下を参照してください。
展開手順
お客様のオンボード
顧客ダッシュボード
新しい顧客を追加したり、既存の顧客をCitrix Service Providerの管理対象に招待したりする場合、オンボーディングプロセスはマルチテナント顧客とシングルテナント顧客の両方で同じです。
アカウントのスプロール化を簡素化し、顧客管理を一元化するために、CSP チームは、サービスアカウントを使用して Service Provider内で [顧客の追加] オプションを使用することを推奨しています。このオプションにより、個別のカスタマークラウドアカウントを設定するときに使用される管理者アカウントの数が減り、管理者が CSP 組織を離れたときに継続的なサービス管理が可能になります。
新しい顧客を追加する
Citrix Cloud ダッシュボードページで、「 顧客」を選択します。
顧客ダッシュボードには、Citrix Service Providerの管理対象テナントの一覧が表示されます。新しい顧客を追加するには、[ 招待] または [追加] を選択します。
[ 追加して続行] を選択します
お客様のオンボーディング情報を入力します。ここで使用されているメールアドレスが一意であり、他のCitrix Cloud アカウントで使用されていないことを確認します。
これにより、一意の組織 ID (組織 ID) を持つ新しい顧客が作成されます。
お客様を招待する
Citrix Service Provider によって管理されている既存のCitrix Cloudカスタマーを招待するには、[招待]オプションを選択します。
[ 招待して続行] を選択します。
招待リンクをコピーして、招待したい顧客の管理者にメールで送信します。
新規顧客に対してCitrix DaaSを有効にする
新しい顧客をオンボーディングするか、既存の顧客が招待を承諾すると、Citrix Service Providerはその顧客(テナント)へのサービスを有効にすることができます。
シングルテナント (プライベート) Citrix DaaS を有効にする
プライベートワークスペースの新規顧客がシングルテナントサービスを持つ場合。たとえば、お客様がCitrix DaaSのインスタンスを所有しているとします。CSPは、ディストリビューターを通じて0ドルの注文を行い、お客様のCitrix Cloud アカウントに「発送」する必要があります。
顧客に対してシングルテナントサービスインスタンスが有効になると(在庫注文が履行済み)、 Citrix DaaSタイル内に [管理] オプションが表示されます。「管理」オプションを選択すると、お客様のStudioインスタンスが読み込まれます。
マルチテナント Citrix DaaS を有効にする
CSPパートナーがすでにマルチテナントのCitrix DaaSエンタイトルメントを履行していると仮定します(それ以外の場合は、ディストリビューターからの0ドルの在庫注文によって有効になります)。
CSP のマルチテナントサービスの下で管理される新しい顧客を追加するには、次の手順に従います。
1-[Citrix Cloud Dashboard]ページで[Customers 2]を選択します。[Customer Dashboard]で、サービスを追加する顧客を探し、3つのドットのボタンを選択し、[ サービスの追加]を選択します。
3-Citrix DaaS の横にある [続行] を選択します
「サービスの追加」プロセスが完了すると(数分かかる場合があります)、テナントのクラウドアカウント内の DaaS タイル内に [管理] オプションが表示されます。ただし、[管理] オプションを選択すると、「このCitrix DaaSのインスタンスはCitrix Service Providerによって管理されています」というメッセージが表示されます。
新規顧客向けにマルチテナントCitrix DaaSを構成する
このドキュメントでは、マルチテナントアーキテクチャモデルの展開構成に焦点を当てています。シングルテナントの Citrix DaaS については、以下を参照してください。
マルチテナント展開の次のセクションでは、ハイブリッドクラウドソリューションを例として使用し、オンプレミスのデータセンターでワークロードを実行します。
新しいリソースの場所をデプロイする
リソースの場所とドメインは 1:1 の関係です。
専用リソースの場所
新しいテナントをオンボーディングするときは、新しいActive Directory、リソースの場所、および一対のクラウドコネクタをテナント用に構成する必要があります。
共有リソースの場所
リソースの場所、Active Directory、およびクラウドコネクタは、リソースの場所の最初のテナントがオンボードされたときにのみセットアップする必要があります。後続のテナントは、AD OU、VDAなど、実際に使用されるリソースを除き、セットアップを共有します。Service Providerは、各テナントのActive Directoryとリソースを安全に分離してパーティション化する責任があります。
プロセス
Citrix Cloud Consoleに接続したら、[リソースの場所]([編集]または[新規追加])を選択します
[リソースの場所を追加] を選択し、マルチテナントの命名法にリソースの場所の名前を付けます。Cloud Connector を追加する。Cloud Connectorを少なくとも2つの専用サーバーにダウンロードしてインストールします。詳細な手順については、
Citrix Cloud Connectorのインストール方法
展開後に、Active Directory ドメインとクラウドコネクタを表示できます。
ホスティング接続の定義
各リソースの場所を異なるクラウドインフラストラクチャ(Azure、GCP、AWS、オンプレミスのハイパーバイザーなど)にデプロイできる可能性があるため、リソースへの新しいホスティング接続を新しいリソースの場所に定義する必要があります。 ページの左上にあるハンバーガーメニューに移動し、[ Citrix Virtual Apps and Desktops]を選択します。
[ サービスの管理]を選択すると、Citrix Studioが読み込まれ、 左側の[Studio ]メニューから[ホスティング]を選択します。
[ 操作 ] ペインで [ 接続またはリソースの追加 ] を選択します。 [ 新しい接続の作成] を選択し、[ 接続タイプ] を選択し、接続の資格情報とアドレスを入力して、正しい命名法を使用して接続に名前を付けます。
リソースの保管場所を選択します。
新しい顧客に関連付けられたネットワークを選択します 。
最近オンボーディングしたお客様の範囲を選択し、ホスティング接続を確認して、[ 完了] を選択します。
新規顧客のマシンカタログの構成
CSPパートナーのCitrix Cloud ポータルページで、Citrix DaaSに移動し、 サービスの管理を選択します。
Citrix Studioの[ 操作]ペインで[マシンカタログ]を選択し、[ マシンカタログの作成 ]を選択します。
この例では、電源状態を制御できるデータセンターのハイパーバイザーでホストされている Machine Creation Services で作成されたマシンを使用しています。適切な [リソースの場所]、[共有]、[単一] などを選択します。対応するお客様に、マシンカタログを割り当て、[ 次へ]を選択します。
対応する Active Directory からマシンを追加し、お客様のゾーンを追加します。 マシンの名前を入力し、「 OK」を選択します。 追加するマシンにインストールされているVDAのゾーンと最小機能レベルを確認します。表示されているのはバージョン1811以降のVDAです。 次へを選択します。
新しいお客様の範囲を選択し、[ 次へ] を選択します。
マシンカタログは特定の顧客スコープ用に作成されるため、マルチテナント展開には定義済みの命名規則が必要です。 [マシンカタログ]リストにマシンが表示されます。
[マシン検索の表示]オプションを使用して、新しいマシンカタログの登録ステータスを確認します。
新規顧客のデリバリーグループの作成
Citrix Studioで[ デリバリーグループ]を選択し、[ 操作 ]ペインで[デリバリーグループの作成] 「はじめに」の情報を読み、「 次へ」を選択します。 お客様の範囲に割り当てられた関連するマシンカタログを選択し、[ 次へ]を選択します。
ユーザーの管理はCitrix Cloud に任せ、[ 次へ]を選択することをお勧めします。
[ ソースからアプリケーションを追加 ] を選択します。通常、対応するVDAにアプリケーションが表示されている場合は、[スタート]メニューです。選択したすべてのアプリケーションが同じデリバリーグループの下に表示され、後でCitrix Cloud ポータルを介して追加されるすべてのサブスクライバーがライブラリとして使用できます。アクセスを制限する必要があるアプリケーションとユーザーグループに対して、個別のデリバリーグループを作成できます。
マルチテナント展開では、一部のデリバリーグループに、異なるテナントの同じ名前のアプリケーションを含めることができます。混乱を避け、これらのアプリケーションの所有権を明確に定義する。推奨されるのは、以下の例に示すように、アプリケーションの名前をテナント固有に更新することです。ユーザーのアプリケーション名は変更されません。
お客様の範囲をデリバリーグループに割り当て、[ 次へ]を選択します
デリバリーグループは、マルチテナント設定で顧客を安全に分離するために、特定の顧客範囲にのみ割り当てられます。顧客範囲が異なると、デリバリーグループは共有されません。デリバリーグループの定義済みの命名規則は、マルチテナント展開にも必要です。
新規顧客のフェデレーションドメインの設定
命名法は似ていますが、CSPドメインフェデレーションはフェデレーション認証サービス(FAS)と同じではありません。
この手順は、シングルテナント (プライベートワークスペース) アーキテクチャモデルの大規模顧客には必要ありません。ドメインとリソースの場所は、お客様のクラウドアカウント内で直接設定されます。
新規顧客をパートナーのマルチテナントCitrix DaaS展開で管理し、独自のワークスペースエクスペリエンスを維持するため。たとえば、カスタマーのゲートウェイ URL を有効にするには、パートナーアカウントで構成されたドメインにカスタマーをフェデレートする必要があります。 パートナーのCitrix Cloud アカウント内で、[IDとアクセス管理]ページの[ ドメイン ]タブから[顧客]ドメインを選択し、[ フェデレーションドメインの管理]を選択します。
ドメインに追加する顧客を1人以上選択して、テナントがカスタマイズしたワークスペース構成を使用できるようにしてください。
注:マルチテナントCitrix DaaSのフェデレーションドメインは、ワークスペース構成専用です。ADFSまたはCitrix フェデレーション認証サービスとは統合されていません。
カスタマーユーザグループをオファリングに登録する
各顧客がサービスインスタンスを持つシングルテナントアーキテクチャモデルでは、ライブラリへの加入者の管理はお客様のクラウドアカウント内で直接行われます。詳細については、次のオンラインドキュメントを参照してください。
ライブラリを使用してサービスオファリングにユーザーとグループを割り当てる
マルチテナントアーキテクチャモデルでは、ユーザーグループのライブラリへのサブスクライブは、CSPパートナーのCitrix Cloud アカウント内で行われます。推奨される方法は、管理とスケーラビリティを容易にするために、適切な名前の Active Directory グループをライブラリリソースに割り当てることです。
マルチテナントサービスの共有または専用リソースの場所から、公開アプリケーションまたはデスクトップオファリングにユーザーを追加します。ライブラリオファリングのCitrix Cloud ホームページから、ライブラリオファリングを見つけます。[ライブラリの表示] オプションを選択し、3 つのドットメニューを使用してユーザーを追加するリソースを検索または検索します。サブスクライバーを管理し、管理対象ドメインのリストから選択し、リソースグループを追加します。
テナントワークスペースの構成
CSPマルチテナントCitrix DaaSDaaSにより、各テナントは独自のワークスペースエクスペリエンスを維持できます。 Citrix Cloud Dashboard]ページで顧客のワークスペースを変更するには、[ 顧客]と[詳細の表示]を選択します。 顧客を選択し、矢印を使用して展開します。[ 顧客の詳細を表示] を選択します。
[カスタマーアカウントにアクセス] を選択します ([カスタマーの変更] からカスタマーのアカウントにアクセスする別の方法もあります)
Citrix Service Providerのアカウントを離れることを確認して顧客アカウントを入力し 、[ 続行]を選択します。
テナントのCitrix Cloud アカウントを入力したら、ハンバーガーメニューに移動して、[ワークスペース構成]を選択します。
URL にアクセスする
[ アクセス ] タブでは、カスタマーゲートウェイ URL をカスタマイズできます。URL を編集し、[ 保存] を選択します。
認証
[ 認証 ] タブで、顧客の認証方法を指定します。
Active Directory 認証が使用され、テナントが共有リソースの場所内で構成されている場合。たとえば、テナントのユーザーアカウントとグループは、ホストされているマルチテナント Active Directory の OU 内に存在します。ユーザーの UPN サフィックス (通常はお客様のドメイン) は、AD システムドメインとは異なります。たとえば、以下の例のカスタマードメイン selwfashion.nz と、ホスティング AD の cms.azr システムドメインを比較します。ユーザーの UPN ドメインは、カスタム Workspace URL を介して認識および認証されます。UPN サフィックスは、ホストしている Active Directory のルートレベルに追加する必要があります。
外観
カスタマイズされたブランディングと外観は、多くの場合、エンドユーザーエクスペリエンスに役立ちます。[ カスタマイズ ] タブから、お客様のロゴと基本設定を構成します。
ワークスペースへのユーザーのログイン
たとえば、顧客のユーザーがカスタマイズされた URL を使用して Workspace にログインする場合、 https://selwfashion.cloud.com, UPN とパスワードの同じ資格情報のセット (たとえば、Office 365 アカウントと一致する電子メールアドレスとパスワード) が使用されます。
ログオンすると、ユーザーのワークスペースは次のようになります。
パフォーマンスと監視
Citrix DaaSを使用すると、Citrix Service Providerはクラウドコンソールでワークロードを一元的に制御および監視できます。管理のコストと管理労力を削減することで、運用チームはアップタイムを向上させることができます。
Director
Citrix Service Providerの管理者は、単一の監視コンソールを使用して、マルチテナントの共有および専用リソースの場所の顧客を管理できます。CSP 管理者は、すべてのリソースの概要を表示するか、特定の顧客までドリルダウンするかを選択できます。Service Providerは、特定のカスタマースコープを管理したり、機能のサブセットを実行したりするために、チームにロールベースのアクセス制御権限を設定することもできます。
監視コンソールは、Citrix DaaSのインスタンスを持つプライベートワークスペース内の単一テナント専用です。管理者権限を持つCitrix Service Providerは、お客様のクラウドアカウントにログインし、このコンソールからアクセスして管理します。
Citrix Analytics サービス
Citrix Service Providerのワークスペースに含まれるAnalyticsサービスは、ホスティングネットワーク、ユーザー、ファイル、エンドポイントにわたってデータを収集します。Service Providerは、セキュリティ上の脅威を処理し、サービスパフォーマンスを監視し、提供を最適化し、改善するための洞察を集中管理できます。
ライセンス使用状況
Citrix Service Providerは、Citrix Cloudの「ライセンス」ページ内で、総契約額に対して割り当てられたユーザーライセンスの数に関する洞察を得ることができます。
Citrix Service Provider固有の資格をプロビジョニングすると、ページ上のライセンス規則がプログラム規則と一致します。Service Providerは、「割り当て済み」ライセンス数が毎月リセットされ、超過分が確定された金額とは別に強調表示されることを期待できます。エクスペリエンスの関連情報については、画像内の関連する番号を参照してください。
- すべてのテナントの「割り当て済み」ライセンス数と総契約額を提供します。この「割り当て済み」は毎月リセットされます。
- コミットメント金額に対して、すべてのテナントで月ごとに割り当てられたライセンスを、グラフィカルに表示。
- 項目 4 にリストされているユーザーの、今月の詳細リストをエクスポートする機能。
- 今月に割り当てられたライセンスを持つユーザーの詳細なリスト。このリストは、「割り当て済み」の合計数を構成します。ライセンスが初めて割り当てられるときには、より多くの情報が提供されます。
ソース
このリファレンスアーキテクチャの目的は、実装の計画を支援することです。この作業を簡単にするために、詳細な設計と実装ガイドに適応できるソース図を提供します。 ソース図