Citrix Cloud Virtual Apps and Desktopsサービスリファレンスアーキテクチャと展開方法

寄稿者

著者:

Vivekananthan Devaraj

謝辞:

Martin Zugec Allen Furmanski James Hsu

オーディエンス

このドキュメントは、既存のCitrix AppsおよびDesktops展開ソリューションをCitrix Cloudで展開または拡張しようとしているIT意思決定者、コンサルタント、ソリューションインテグレーター、パートナーを対象としています。

このドキュメントの目的

Citrix Cloudを使用して仮想アプリケーションとデスクトップソリューションを設計する場合、必要なデスクトップとアプリケーションの種類、ユーザーがデータを使用してデスクトップとアプリケーションにアクセスする方法、組織の成長に合わせて拡張できる環境の構築方法など、いくつかの考慮事項があります。の拡大、およびビジネスニーズを満たすためにソリューションの可用性を高める方法を説明します。

このリファレンスアーキテクチャでは、Citrix Cloudとは何か、およびCitrix Virtual Apps and Desktops サービスの展開モデルなど、ソリューションの概念的なビューを提供することに重点を置いています。目標は、ハイブリッドクラウドワークロードと統合しながら、良好なユーザーエクスペリエンスを確保し、サービスの可用性を最大化することです。

Citrix Cloudとは何ですか?

Citrix Cloudは、さまざまなサービスで構成されるクラウドベースのプラットフォームです。これらのサービスの多くは、Citrix が最新状態に保たれる管理プレーンとして機能し、お客様が選択したデータセンターまたはクラウドにワークロードとデータが常駐します。このアプローチにより、お客様は、ビジネスが必要とするセキュリティ、可用性、機能性を備え、ITおよびリソース提供の最も戦略的な部分に集中できます。 現時点では、Citrix Cloudは以下のサービスを提供しています。

  • Virtual Apps and Desktops
  • Endpoint Management
  • ゲートウェイ
  • Citrix Application Delivery Management
  • ウェブAppFirewall
  • ADC VPX
  • Content Collaboration
  • Access Control
  • Analytics
  • App Layering
  • ITSM アダプター
  • インテリジェントなトラフィック管理
  • Secure Browser
  • Workspace Environment Management

これらのサービスは、統合された「Workspace」としてまとめてアクセスすることも、独立してアクセスすることもできます。

CVAD-Image-1

Citrix Cloudを選ぶ理由

Citrix のサービスでは、毎月少なくとも 99.5% のアップタイムを維持することを約束しています。プラットフォームとそのサービスのステータスは、https://status.cloud.comでアクセスできます。Citrix Cloud-Hosted サービスは、Citrix のエキスパートによって管理され、常に更新されるため、IT部門は大規模なプラットフォームのアップグレードについて心配する必要がなく、安全な最新環境を実現し、時間を節約し、コストを削減します。Citrix Cloudを使用すると、予測不可能で高価な資本モデルではなく、より予測可能なOpExサブスクリプションコストに移行できます。Citrix Workspace Service は、時間と場所を問わず、あらゆるデバイスからアプリケーションやコンテンツにアクセスするための統合されたエクスペリエンスを提供します。ユーザーは、接続元のアプリ、デバイス、ネットワーク、場所の種類に関係なく、シームレスで魅力的な作業エクスペリエンスを享受できます。

Citrix Cloud Virtual Apps and Desktopsサービス(CVADS)

アプリケーションやデスクトップ向けの従来のCitrix展開環境は、Delivery Controller、StoreFront サーバー、高可用性SQLデータベース、StudioおよびDirectorコンソール、ライセンスサーバー、およびCitrix Gatewayで構成されています。これらのコンポーネントは、環境の管理プレーンまたは制御プレーンの一部であり、顧客またはパートナーが管理するデータセンターまたはクラウドに導入されます。サーバーおよびデスクトップのVirtual Delivery Agents(VDA)から利用できるエンドユーザー向けリソースは、データセンター内の専用ハイパーバイザーや、プライベートクラウドまたはパブリッククラウドでもホストされます。これらのコンポーネントは、Citrix ワークロードと呼ばれます。管理コンポーネントとワークロードの両方が、お客様またはおそらくパートナーによって完全に管理されます。

Citrix Cloud Virtual Apps and Desktopsサービスでは、お客様の展開の管理プレーンまたはコントロールプレーンがCitrix Cloud上でCitrixによってプロビジョニングおよび管理されます。お客様は、管理プレーンのコア製品のインストール、セットアップ、構成、アップグレード、監視、スケーリングを処理しません。管理プレーンの管理は、すべてCitrix に任されています。

CVAD-Image-2

すべてのコントロールプレーンコンポーネント(StoreFront、Delivery Controllerなど)は、SQLデータベースも高可用性を実現し、クラウドサービスの一部です。お客様は、Hypervisor またはクラウド上でホストされるサーバーおよびデスクトップVDAのワークロードリソースに集中できます。特定のリソースを持つHypervisor またはクラウドに定義された各ワークロードの場所は、Citrix Cloudではリソースの場所と呼ばれます。

Cloud Connector は、Citrix Cloudにリソースを接続するためにリソースの場所にインストールされる新しいコンポーネントです。これは、Hypervisor またはパブリッククラウド、およびActive Directory 環境内のVDAの隣に配置されます。Citrix Cloud Connectorは、シームレスな統合を実現し、ネットワーク条件を問わず、あらゆるデバイスで最高のユーザーエクスペリエンスを提供するように設計されています。

Citrix Workspace エクスペリエンスは、Citrix CloudのStoreFront の拡張バージョンおよび後継製品であり、Windows、Linux、Web、SaaSおよびモバイルアプリケーションを統合し、使いやすく統一されたインターフェイスで提供する業界初のソリューションです。Citrix Workspace、オンプレミス環境とクラウド環境の両方からのアプリとデータを完全に集約し、必要なリソースを適切なユーザーに適切なタイミングで提供します。この拡張アーキテクチャにより、お客様は、Citrix Cloud Portalを使用して、デスクトップ、アプリケーション、ポリシー、ユーザーなどのプロビジョニングされたリソースを完全に管理し、維持することができます。

汎用および概念アーキテクチャ

Citrix Virtual Apps and Desktops のアーキテクチャは、レイヤーに分かれています。すべてのレイヤーが連携して、組織向けの完全なエンド・ツー・エンドのソリューションを構築します。

CVAD-Image-3

  • ユーザー層 -この層は、リソースへの接続に使用されるエンドユーザー環境とエンドポイントデバイスを記述します。このセクションでは、Citrix WorkspaceとCitrix Workspaceアプリのユースケースについても説明します。

  • アクセスレイヤー -このレイヤーは、Citrix 環境への外部および内部アクセスの詳細について説明します。このセクションでは、仮想ネットワーク、リソースロケーションの接続、Citrix Gateway およびStoreFront の配置と構成の設計の詳細について説明します。

  • リソースレイヤー -このレイヤーは、Citrix 環境のユーザーのパーソナライゼーション、アプリケーション、およびイメージに関する情報をキャプチャします。

  • 制御レイヤー -このレイヤーは、Citrix Cloudサービス、Cloud Connector、およびActive Directory 統合のためのサイト設計など、残りの環境をサポートするために使用されるコンポーネントの詳細について説明します。

  • プラットフォームレイヤー -このレイヤーは、Citrix 環境で使用されるハードウェアコンポーネント、プライベート、パブリック、ハイブリッドクラウドについて説明します。ハードウェア、ストレージ、仮想化の詳細。

  • 運用レイヤー :このレイヤーでは、コア製品とソリューションをサポートする手順とツールについて説明します。

Citrix Cloudの準備

Citrix Cloudへのサインアップ

Citrix Cloudにサインアップするには、Citrix Cloudサービスのライセンスを管理、アクセス、割り当てるためにCitrix.comアカウントまたはMyCitrixアカウントが必要です。このアカウントは、Citrix Cloudアカウントと呼ばれます。アカウントは、各顧客の一意の識別子として組織 ID (OrgID) を使用し、物理的なサイトのアドレス (通常は顧客の組織の住所) に関連付けられます。Citrix Cloudを使用するには、https://citrix.cloud.comに移動してアカウントをするか、Citrixアカウントでサインインして、クラウドサービスの証跡をアクティブにします。

Citrix Cloudアカウントを使用すると、管理者はサービスに対する幅広い管理アクセス権を持つことができます。したがって、Citrix Cloudアカウントを作成した最初の管理者は、他の管理者が既存のMyCitrixアカウントのメンバーである場合でも、必要に応じて明示的に他の管理者にアクセスできるようにする必要があります。

Citrix Cloudリージョン

Citrix Cloudリージョンは、CitrixがCitrix Cloudサービスの配信のためにサービスとデータを運用、保存、複製する地理的な境界です。お客様がCitrix Cloudに初めてサインインすると、以下の地域のいずれかを選択するよう求められます。

  • 米国
  • 欧州連合
  • 南アジア太平洋

お客様は、大半のユーザーとリソースが配置される地域を選択する必要があります。Citrix Cloudサービスは、グローバルでの使用を前提に設計されています。顧客が組織に選択した地域に関係なく、すべてのサービスはグローバルに利用できます。Virtual Apps and Desktopsサービスなどの一部のサービスには専用のリージョンインスタンスがありますが、一部のサービスには米国ベースのインスタンスのみがあります。

注意すべき重要な点は、管理者がリージョンを 1 回だけ選択でき、後で変更できないことです。ただし、オーストラリアでCloud Connectorを使用する米国リージョンを選んだお客様は、レイテンシーによる影響を最小限に抑えることができます。

リソースの場所

リソースの場所とは、パブリッククラウド、プライベートクラウド、ブランチオフィス、データセンターなど、お客様のCitrix ワークロードやその他の運用ツールが存在する場所です。リソースの場所には、顧客が使用しているCitrix Cloudサービスと、ユーザーが加入者に提供するサービスに応じて異なるリソースが含まれます。通常、以下のようなリソースが含まれます:

  • Active Directory ドメイン
  • Citrix ADCアプライアンス
  • Hypervisors
  • Virtual Delivery Agent(VDA)
  • StoreFrontサーバー
  • Citrix Cloud Connector

プライマリリソースの場所とは、お客様のドメインとCitrix Cloud間の通信において、お客様が最も優先されるリソースの場所です。「プライマリ」として選択されたリソースの場所には、最高のパフォーマンスと顧客のADドメイン、Citrix ワークロード、およびリソースへの接続性を備えた適切なCloud Connectorが必要です。プライマリリソースの場所を指定すると、ユーザーはすばやくログオンしてCitrix Cloud環境にアクセスできます。顧客が持つことができるリソースの場所の数に制限はありません。

リソースの場所の設定は、以下から始まります。

  • Active Directory をセットアップまたは構成する
  • ホスト(ハイパーバイザー/クラウド)環境のセットアップ

CVAD-Image-4

各リソースの場所の Active Directory は、Cloud Connector を介して認証要求にアクセスして検証する必要があります。プライマリリソースの場所が使用できない場合、認証要求は、Cloud Connector が Active Directory ドメインに接続されている他のリソースの場所から処理されます。

参考資料:Citrix ドキュメント:リソースの場所

Citrix Cloudのアイデンティティとアクセス管理

Citrix CloudのIDとアクセス管理では、Citrix Cloudとそのサービスの管理者と加入者(エンドユーザー)に使用されるIDプロバイダーとアカウントを定義します。

ID プロバイダ

Citrix Cloudは、Citrix が所有するアイデンティティプロバイダーを使用して、Citrix Cloudアカウント内のすべてのユーザーのアイデンティティ情報を管理します。お客様は、Azure Active Directory またはオンプレミスの Active Directory を使用するようにこれを変更できます。

利用者

加入者(エンドユーザー)のアイデンティティは、Citrix Cloudでアクセスできるサービスを定義します。このIDは、リソースの場所内のドメインから指定されたActive Directoryドメインアカウントによって提供されます。ライブラリオファリングにサブスクライバを割り当てると(デスクトップやアプリなどのリソース)、サブスクライバがそのオファリングにアクセスできるようになります。

管理者は、これらのアイデンティティを提供するために使用するドメインを [ドメイン] パネルで制御できます。お客様が複数のフォレストのドメインを使用する予定の場合、高可用性環境を維持するために、各フォレストに少なくとも 2 つの Cloud Connector をインストールする必要があります。

参照:Citrix ドキュメント:アイデンティティとアクセス管理 参照:Citrix ドキュメント:ライブラリ提供とユーザー割り当て

Active Directory

Active Directory は、Citrix Cloudでの認証と承認のための重要な役割です。Active Directory の Kerberos インフラストラクチャは、クラウドベースのDelivery Controllerとの通信の信頼性と機密性を保証するために使用されます。お客様のActive Directory ドメインをCitrix Cloudに接続するには、次の2つの方法があります。

Azure AD をCitrix Cloudに接続する

Active Directory をAzureのADと統合したお客様は、AzureのADとCitrix Cloudを簡単に接続できるようになりました。Azure ADがCitrix Cloudに接続されると、ユーザーはシームレスにログインできます。Citrix Cloudには、ユーザーが新しいAzure ADセッションのためにログインしなくても、AzureのADに接続できるようにするAzureのADアプリが含まれています。

CVAD-Image-5

Azure AD をCitrix Cloudと共に使用することで、以下のことが可能になります。

  • 独自のActive Directory を活用して監査やパスワードポリシーを制御し、必要に応じてアカウントを容易に無効にする
  • 高レベルのセキュリティを実現するための多要素認証の構成
  • ブランドのサインインページを使用して、ユーザーが適切な場所にサインインしていることを知ることができます。
  • ADFS、Okta、Ping など、任意の ID プロバイダーに対してフェデレーションを使用する

オンプレミスのADドメインをCitrix Cloudに接続する

リソースの場所(オンプレミス)Active Directory をCitrix Cloudに接続するには、お客様のCitrixドメイン環境にCloud Connectorをインストールする必要があります。Citrix 可用性を実現するために、少なくとも2つのCloud Connectorをインストールすることを強くお勧めします。Cloud Connectorがインストールされると、Citrix Cloud上でリソースロケーションドメインが設定され、ユーザー/サブスクライバー認証が有効になります。

CVAD-Image-6

Cloud Connector とは何ですか?

Citrix Cloud Connector は、Citrix Cloudとリソースロケーション間の通信チャネルとして機能するリソースロケーションの重要なコンポーネントです。複雑なネットワークやインフラストラクチャ構成を必要とせずに、クラウド管理を可能にします。リソースの場所では、Cloud Connector は、Citrix Cloud上でプロビジョニングされたDelivery Controller プロキシとして機能します。これにより、お客様がデリバリインフラストラクチャを管理する手間が省けます。

Cloud Connector は、Windows Server 2016またはWindows Server 2012 R2を実行しているマシンにインストールすることをお勧めします。このコネクタマシンは、お客様のドメインに参加し、Citrix Cloudからお客様が管理するリソースと通信できる必要があります。各リソースの場所では、必要な負荷をサポートし、高可用性を確保するために、2 つ以上のCloud Connectorが推奨されます。

Cloud Connectorの負荷分散

Citrix Cloud Connector はステートレスで、使用可能なすべてのCloud Connectorに負荷を分散できます。適切な負荷を管理するには、各リソース場所に複数のCloud Connectorをインストールします。完全に自動化されているため、負荷分散機能を設定する必要はありません。Cloud Connectorの状態は、Citrix Cloudポータル経由で監視できます。

Cloud Connector 関数

Cloud Connector を使用すると、Citrix Cloud Virtual Apps and Desktopsサービスで次の機能が有効になります。

  • Active Directory: AD 管理を有効にし、リソースの場所内の AD フォレストおよびドメインを使用できます。これによって、さらにAD信頼関係を追加する必要はなくなります。
  • Virtual Apps and Desktopsの公開:すべてのリソースの場所からリソースを公開できます。
  • デリバリーグループのProvisioning:リソースの場所にマシンを直接プロビジョニングできるようにします。

CVAD-Image-7

Cloud Connector 通信

Cloud Connector は、リソースの場所で使用可能なインターネット接続を利用して、Citrix Cloudとリソースの場所間のすべての通信を認証および暗号化します。Cloud Connector は、Webプロキシサーバー経由のインターネット経由のCitrix Cloudへの接続もサポートします。Webプロキシは、接続トンネリングとWebSocket永続的な接続を理解する必要があります。インストール中は、インストーラーとインストールされるサービスの両方で、Citrix Cloudとの通信が必要です。この両方が、インターネットアクセスを利用できるようにする必要があります。

Cloud Connector とCitrix Cloud間の通信はすべて「送信」です。すべての接続は、標準のHTTPSポート(443)とWeb標準のTLS 1.2プロトコルを使用して、Cloud Connector からCitrix Cloudコントロールプレーンに確立されます。受信接続は受け入れられません。Cloud Connector はドメインレベルの信頼を横切ることができないため、ユーザーのドメインごとに追加のCloud Connectorをインストールする必要があります。Citrix Cloudはユーザー名、アプリケーション名、アイコンなどのメタデータのみを保存しますが、企業データとリソースは構成された各リソースの場所内に残ります。それにもかかわらず、Citrix CloudとCloud Connector間のすべてのデータは、転送中にTLSで暗号化されます。

一部のプロキシでSSL暗号化解除を有効にすると、Cloud ConnectorがCitrix Cloudに正常に接続できなくなる可能性があります。詳細については、CTX221535を参照してください。

利用可能なCloud Connector が1つ以上ある限り、リソースの場所からのCitrix Cloudとの通信は失われません。ただし、必要な負荷を処理するには、適切なコネクタがインストールされ、常に利用可能であることを確認する必要があります。エンドユーザーのリソースへの接続(HDX)は、可能な限り、特定の展開方法ではCitrix Cloudへの接続に依存 しません 。これにより、Citrix Cloudに接続できるかに関係なく、リソースの場所でリソースにアクセスできるようになります。

参考資料:Citrix ドキュメント:Cloud Connector のインターネット接続要件

ゾーン

Citrix Virtual Apps and Desktops サービス環境では、 各リソースの場所はゾーンと見なされます。顧客がリソースの場所を作成し、Cloud Connector をインストールすると、ゾーンが自動的に作成されます。各ゾーンは、組織固有のニーズと環境の種類に基づいて、異なるリソースセットを持つことができます。

WANで接続された広く分散した場所にまたがるCitrix Virtual Apps and Desktops サービスの展開は、ネットワークの待ち時間と信頼性の問題に直面する可能性があります。ゾーンを使用すると、リモートリージョンのユーザーが WAN の大きなセグメントを経由する接続を必ずしも強制することなく、リソースに接続できます。

ゾーンは、あらゆる規模の展開で有用です。ゾーンを使用すると、アプリケーションやデスクトップをユーザーの近くに保つことができ、パフォーマンスが向上します。ゾーンは、障害回復、地理的に離れたデータセンター、支社、クラウド、またはクラウドのアベイラビリティゾーンに使用できます。

サイトで構成された各ゾーンのゾーンとCloud Connectorの数は、一部の操作のパフォーマンスに影響を与える可能性があります。これを回避するには、ゾーン数を10以下に制限することをお勧めします。

Citrix Virtual Apps and Desktops サービス環境のゾーンは、オンプレミスのCitrix Virtual Apps and Desktops 展開のゾーンと同じではありません。Citrix Virtual Apps and Desktops サービスでは、ユーザーがリソースの場所を作成してCloud Connector を追加すると、ゾーンが自動的に作成されます。オンプレミス展開とは異なり、サービス環境によってゾーンがプライマリまたはサテライトに分類されることはありません。XenAppバージョン6.5以前では、各ゾーンにデータコレクターサーバーが割り当てられていました。このサーバーでは、負荷レベルなど、ゾーン内のすべてのサーバーに関する動的情報を処理します。Citrix Virtual Apps and Desktops サービスでは、ゾーンにデータコレクターを使用しません。また、フェールオーバーおよび優先ゾーンの機能も異なります。

CVAD-Image-8

ゾーンを選ぶ理由

Citrix コンポーネントをゾーンに配置すると、サービスとそのコンポーネントに関連する他のオブジェクトとやり取りする方法に影響します。

  • ハイパーバイザーコネクションをサテライトゾーンに配置すると、このコネクションの管理対象であるすべてのハイパーバイザーも同じサテライトゾーン内に存在するものとみなされます。
  • マシンカタログをゾーンに配置すると合、このカタログ内のすべてのVDAも同じサテライトゾーンにあるとみなされます。
  • ゾーンにはCitrix Gatewayインスタンスも追加できます。リソースの場所の作成時に、Citrix Gateway を追加するオプションが提供されます。Citrix Gatewayをゾーンに関連付けると、そのゾーンのVDAへの接続時に優先して使用されるようになります。ゾーンのCitrix Gatewayを、ほかのゾーンまたは外部からそのゾーンへのユーザー接続に使用するのが理想的です。
  • リソースの場所をさらに作成し、Cloud Connectorをそこにインストールすると(自動的にゾーンがさらに作成されます)、お客様はゾーン間でリソースを移動できます。この柔軟性により、近くに配置することで最適に動作するアイテムを分離してしまう可能性があります。たとえば、カタログを、カタログ内のマシンを作成する接続(ホスト)とは異なるゾーンに移動すると、パフォーマンスに影響する可能性があります。そのため、アイテムをゾーン間で移動する前に、意図しない影響が出る可能性を考慮してください。カタログと、カタログで使用されるホスト接続は、同じゾーン内に保持します。
  • ゾーンとCitrix Cloud間の接続が失敗した場合、ローカルホストキャッシュ機能によって、ゾーン内のCloud Connector がそのゾーン内のVDAへの接続を引き続き仲介できるようになります(ゾーンにStoreFront がインストールされている必要があります)。たとえば、ローカルStoreFront サイトを使用してローカルリソースにアクセスするオフィスでは、オフィスと企業ネットワークを接続するWANリンクに障害が発生した場合でも、この機能は有効です。

ゾーンでのVDA登録

ゾーン内のVDAは、ローカルCloud Connectorに登録されます。

  • このCloud ConnectorがCitrix Cloudと通信できる限り、通常の操作が行われます。
  • このCloud Connectorが動作していてもCitrix Cloudと通信できない場合、ゾーンにローカルStoreFrontがあれば、Connectorはローカルホストキャッシュ停止状態モードになります。
  • Cloud Connectorに障害が発生した場合、このゾーン内のVDAは別のローカルCloud Connectorへの登録を試みます。あるゾーンのVDAが、別のゾーンのCloud Connectorに登録しようとすることはありません。

自動更新が有効になっている場合は、Citrix Cloud管理コンソールを使用してゾーン内のCloud Connectorを追加または削除します。そのゾーン内のVDAは、接続を登録および受け入れるために、利用可能なローカルCloud Connectorの最新リストを受け取ります。

Studioを使用してマシンカタログを別のゾーンに移動すると、そのカタログ内のVDAが移動したゾーンのCloud Connectorに再登録されます。このシナリオでは、関連付けられているホスト接続を必ず同じゾーンに移動してください。

ゾーン優先設定

マルチゾーンサイト環境では、ゾーンプリファレンス機能を使用して、アプリケーションまたはデスクトップの起動に使用するVDAをより柔軟に制御できます。この機能は、災害復旧の状況に利用して、リソースに容易にアクセスすることができます。

セッション起動に使用できるゾーンプリファレンスのオプションは3つあります。

  • アプリケーション・ホーム:アプリケーション関連データが格納されるゾーン
  • ユーザーホーム — ユーザープロファイルまたはホームドライブのデータが保存されるゾーン
  • ユーザーの場所 — ユーザーに近いゾーン

優先ゾーンの選択

デスクトップまたはアプリケーションの起動要求がDelivery Controllerによって受信されると、その要求を満たすVDAを見つけるときに使用する「優先」ゾーンを決定する必要があります。優先順を使用して、使用可能なゾーンから 1 つのゾーンを選択できるようになりました。デフォルトの順序は、最初のアプリケーションホームゾーン、次にユーザーホームゾーン、次にユーザーロケーションゾーンです。したがって、優先ゾーンの選択は次のとおりです。

  • アプリケーションの起動では、アプリケーションにホームゾーンがある場合は、これが優先ゾーンです。
  • それ以外の場合、ユーザーにホームゾーンがある場合は、これが優先ゾーンになります。
  • それ以外の場合、ユーザロケーションゾーンが指定されている場合は、これが優先ゾーンになります。

優先ゾーンによるセッション使用への影響

ユーザーがアプリケーションやデスクトップを起動すると、ブローカーは既存のセッションよりも優先ゾーンを使用しようとします。

アプリケーションまたはデスクトップを起動しているユーザーに、起動中のリソースに最適なセッション(アプリケーションのセッション共有を使用できるセッション、または起動中のリソースをすでに実行しているセッションなど)があるにもかかわらず、セッションがユーザーまたはアプリケーションの優先ゾーン以外のゾーンのVDAで実行されている場合、新しいセッションが作成されることがあります。これにより、セッションは、ユーザーのセッション要件に対して優先度の低いゾーンに再接続される前に、正しいゾーンで開始されます(そのゾーンに使用可能な容量がある場合)。

孤立したセッションに到達できなくなることを防ぐため、非優先ゾーンにある場合でも、既存の切断されたセッションへの再接続が許可されます。

セッション開始の望ましさの順は、以下のとおりです。

  1. 優先ゾーンにある既存セッションに再接続する。
  2. 非優先ゾーンにある既存の切断済みセッションに再接続する。
  3. 優先ゾーンで新しいセッションを開始する。
  4. 非優先ゾーンにある接続中の既存セッションに再接続する。
  5. 非優先ゾーンで新しいセッションを開始する。

参考資料:Citrix ドキュメント:Citrix Cloudゾーン

ローカルホストキャッシュ

ローカルホストキャッシュ(LHC)は、Cloud Connector がCitrix Cloudと通信できない場合に、Citrix Virtual Apps and Desktopsサービスの展開で接続仲介操作を処理することによってユーザーが作業を続けることができるCloud Connectorの機能です。ローカルホストキャッシュは、Cloud Connector とCitrix Cloud間のネットワーク接続が20秒間失われた場合に有効になります。ローカルホストキャッシュを使用すると、接続しているユーザーは中断することなく作業を続けることができます。再接続時および新規接続時の接続遅延は最小限に抑えられます。

LHCは、Cloud Connector のインストール中にインストールされるSQL Server Express LocalDBを使用して、停止中に中断のないサービスに必要なデータを保存します。Cloud Connectorの CPU 構成、特に SQL Server Express LocalDB で使用可能なコアの数は、ローカルホストキャッシュのパフォーマンスに直接影響します。CPU オーバーヘッドは、データベースに到達できず、高可用性サービスがアクティブな停止期間中にのみ発生します。Cloud Connector マシンでは、複数のコアを持つ複数のソケットを使用することをお勧めします。Citrix のテストでは、2ソケット、3コア構成は、4x1および6x1構成よりも優れたパフォーマンスを提供しました。ローカルホストキャッシュは、オンプレミスのStoreFrontが含まれるリソースの場所でのみ動作します。

CVAD-Image-9

参考資料:Citrix ドキュメント:ローカルホストキャッシュ

Cloud Connector を保護するには?

Citrix ドキュメントのセキュアな導入ガイドを参照してください。

サイズに関するガイドライン

Citrix Docs 上のCloud Connector とローカルホストキャッシュについては、サイズ設定のガイドラインを参照してください。

Virtual Delivery Agent

アプリケーションやデスクトップをユーザーに配信する物理マシンまたは仮想マシンには、Citrix Virtual Delivery Agent(VDA)ソフトウェアがインストールされている必要があります。VDAはCloud Connector に登録され、ユーザーの接続はコネクタを介してそれらのVDAリソースに仲介されます。VDAは、マシンとユーザーデバイス間の接続を確立および管理します。接続の起動時または再接続時に、セッション用に構成されたポリシーを適用します。

VDAは、VDA内のブローカーエージェントを介して、Cloud Connectorにセッション情報を送信します。ブローカエージェントは、複数のプラグインをホストし、リアルタイムデータを収集します。

VDAは、WindowsおよびLinuxサーバーおよびデスクトップオペレーティングシステムで使用できます。VDA for WindowsおよびLinuxサーバーオペレーティングシステムでは、複数のユーザーが同時にサーバーに接続できます。VDAfor WindowsおよびLinuxデスクトップオペレーティングシステムでは、一度に1人のユーザーのみがデスクトップに接続できます。

参考資料:Citrix ドキュメント:Virtual Delivery Agent

RDS ライセンス

Citrix Virtual Apps 環境では、RDS(リモートデスクトップサービス)CALが必要です。Citrix Virtual Apps 環境は、Microsoft RDSテクノロジー(以前のターミナルサービス)を搭載したWindows Server 2019/2016/2012R2を実行している仮想マシンの上で動作するため、(ユーザーまたはデバイスごと)RDS CALを使用してライセンスする必要があります。

VDAは、RDS CALの要求のためにRDSライセンスサーバーに接続できる必要があります。管理者は、リソースロケーションにライセンスサーバをインストールしてアクティベートする必要があります。

マシン管理

Citrix Cloud上のユーザーのVDAをホストするコンピュートリソースはありません。オンプレミスのデータセンターまたは顧客所有のクラウドサービス(リソースの場所)のリソースにデプロイされるハイパーバイザーは、環境に必要なVDAをプロビジョニングするために使用されます。これは、お客様が必要なビジネス要件と技術要件をすべて管理および実装できるようにするためです。複数の仮想マシンをプロビジョニングし、環境に必要な更新や変更のためにそれらの仮想マシンを管理するには、次のものを使用できます。

  • Machine Creation Service: MCSテクノロジーはStudio管理コンソールに組み込まれており、Citrix Cloudポータルからアクセスできます。MCS は、マスターイメージのコピーを作成し、ディスクベースのクローン作成を使用して、ハイパーバイザーまたはパブリッククラウド上のリソースの場所に仮想マシンをプロビジョニングします。
  • Citrix Provisioning: Citrix Provisioning テクノロジーは、ネットワーク上のハイパーバイザー上の複数のターゲットデバイスにマスターイメージをストリーミングします。Cloud Connector プラグインは、Citrix Cloudコンソール内からCitrix Provisioning展開環境と通信するために使用されます。

Citrixフェデレーション認証サービス

Federated Authentication Service(FAS)はActive Directory証明機関(CA)と統合して、Citrix環境内でのシームレスなユーザー認証を実現するCitrixコンポーネントです。FASが有効化されると、信頼されたStoreFrontサーバーにユーザー認証の判断が委任されます。StoreFrontには、最新のWebテクノロジを中心に設計された包括的な組み込み認証オプションが用意されており、StoreFront SDKまたはサードパーティのIISプラグインを使用して簡単に拡張できます。基本的な設計目標は、Webサイトのユーザーを認証できる認証テクノロジーを使用して、Citrix AppsおよびDesktops展開にログインできるようになることです。

FASには、StoreFrontの認証したActive Directoryユーザーの代わりに、スマートカードクラスの証明書を自動的に発行する権限が付与されます。これは、管理者が物理スマートカードをプロビジョニングできるツールと同様のAPIを使用します。ユーザーがCitrix Virtual Delivery Agent(VDA)に仲介されると、証明書がマシンに接続され、Windowsドメインは標準のスマートカード認証としてログオンします。

これにより、ユーザーの資格情報やスマートカード PIN を入力するプロンプトを表示せず、シングルサインオンサービスなどの「保存されたパスワード管理」機能を使用せずに Windows 認証が可能になります。これを使用して、XenAppの旧バージョンで利用可能なKerberos制約付き委任のログオン機能を置き換えることができます。

Citrix CloudとともにFASを有効にするには、Citrix Virtual Apps and Desktopsサービスの外部で次のCitrixコンポーネントを構築する必要があります。

  • FASサーバー
  • Citrix StoreFront(バージョン3.6以上)
  • サーバーOS/デスクトップOSのVDA(バージョン7.9以上)
  • (オプション)FAS認証用に構成されたStoreFrontサーバーのフロントにSAML IdPまたはSPとして構成されている場合は、Citrix Gateway が必要ですが、FAS自体にはCitrix ADCは必要ありません。

上記のコンポーネントは、パブリッククラウドまたはオンプレミスのデータセンターに構築できます。FASサーバーとStoreFront サーバーは、グループポリシー設定の適用やMicrosoft認証局サーバーの構成など、FAS認証をサポートする完全に顧客所有のソリューションと同様に、Citrix のドキュメントに従って構成する必要があります。

参考資料:Citrix ドキュメント:Citrix FAS

Citrix Cloudのコンポーネント

Delivery Controller

Delivery Controller は、Citrix Cloud上のCitrixによってプロビジョニングおよび管理される展開環境の中央制御レイヤーコンポーネントです。Delivery Controllerのサービスは、各リソースの場所にあるCloud Connectorを介して通信し、次の処理を行います:

  • アプリケーションとデスクトップの配信
  • ユーザーアクセスの認証と管理
  • ユーザーと仮想デスクトップおよびアプリケーション間の接続の仲介
  • ユーザー接続を最適化し、これらの接続を負荷分散します。
  • ログオンしているユーザー、ログオン先、ユーザーのセッションリソース、既存のアプリケーションへの再接続への必要性の追跡。
  • デスクトップの状態を管理し、デマンド構成と管理構成に基づいてデスクトップを起動および停止します。

SQL データベース

Delivery Controller サービスからのデータは、Citrix Cloud上のMicrosoft SQL Serverサイトデータベースに保存されます。展開では、構成ログデータベースと、Director用の監視データベースも使用されます。展開に必要なSQL ServerサービスとデータベースはCitrix によって管理されるため、お客様はSQLの構成と管理性を把握できません。

Citrix

ライセンス管理機能はControllerと通信して各ユーザーセッションのライセンスを管理し、ライセンスファイルを割り当てます。管理者は、ライセンスの構成や管理を行う必要はなく、Citrix Cloudで自動的に行われます。[ライセンスの使用]タブは、管理者がCitrix Cloudのライセンスの使用状況を監視するのに役立ちます。

Citrix Cloudのライセンス使用により、管理者は購入したクラウドサービスのライセンス消費量を把握できます。サマリー・レポートと詳細レポートを使用すると、次のことが可能になります。

  • ライセンスの可用性と割り当てを一目で把握する
  • 個別のライセンス割り当ての詳細と使用傾向をドリルダウンして確認する
  • ライセンス使用状況データをCSVにエクスポートする

Citrix Studio

Studioは、接続の構成と管理、マシンカタログ、デリバリーグループの作成を行う管理コンソールです。Studioは、Citrix Cloudコンソールの[管理]タブから起動できます。

Citrix ポリシー

Citrix ポリシーは、接続、セッション、セキュリティ、および帯域幅の設定を制御する最も効率的な方法です。管理者は、Citrix ポリシーを使用して、ユーザー、デバイス、接続の種類ごとにセッション、帯域幅、セキュリティを管理する方法を定義する一連の設定を作成できます。

Virtual Apps and Desktopsサービスを使用すると、管理者は、Citrix StudioまたはCitrix ADMXファイルを使用してActive Directory グループポリシー管理コンソールを使用してCitrixポリシーを構成できます。これにより、パフォーマンスを最適化するために必要な設定を選択するための高度なフィルタリングメカニズムが提供されます。帯域幅とセキュリティ対策を実装する。

すべてのCitrixローカルポリシーは、Citrix Studioコンソールで作成および管理され、サイトデータベースに格納されます。グループポリシーは、Microsoftグループポリシー管理コンソール(GPMC)を使用して作成および管理され、Active Directoryに格納されます。MicrosoftローカルポリシーはWindows上で作成され、レジストリ内に格納されます。

ユーザー、ユーザーデバイス、およびマシンのグループに割り当てるポリシーを作成する場合、グループの一部のメンバーで要件が異なるために一部の設定項目で例外が必要になることがあります。この例外はStudioおよびGPMCでフィルターとして作成でき、これによりだれにどのポリシーが適用されるのかが決定されます。

ポリシー処理の順序と優先順位

グループポリシーの設定は、以下の順で処理されます。

  1. ローカルのGPO
  2. Virtual Apps and Desktopsサイト GPO (サイトデータベースに格納)
  3. サイトレベルのGPO
  4. ドメインレベルのGPO
  5. 組織単位

ただし、設定内容に競合が発生すると、最後に処理されるポリシーの設定により、先に処理されるポリシーの設定が上書きされることがあります。つまり、ポリシーの設定は以下の順番で優先されます。

  1. 組織単位
  2. ドメインレベルのGPO
  3. サイトレベルのGPO
  4. Virtual Apps and Desktopsサイト GPO (サイトデータベースに格納)
  5. ローカルのGPO

Citrix ポリシーワークフロー

Studioでは、ポリシーやテンプレートの設定項目が機能に基づいて分類されています。

  • コンピュータ設定: マシンに適用されるポリシー設定は、仮想デスクトップの動作を定義し、仮想デスクトップの起動時に適用されます。これらの設定項目は、仮想デスクトップにアクティブなユーザーセッションがない場合でも適用されます。

  • ユーザー設定: ユーザーに適用されるポリシー設定で、Citrix ICAプロトコルを使用して接続する際のユーザーエクスペリエンスを定義します。これらの設定項目は、ユーザーがICAを使って接続または再接続するたびに適用されます。ユーザーが Microsoft RDP を使用して接続する場合、またはコンソールに直接ログオンする場合、ユーザーポリシーは適用されません。

ポリシーテンプレート

組み込みのCitrix ポリシーテンプレートは、特定の環境やネットワーク条件に合わせて最適化された定義済みの設定ですぐに使用できます。これらのテンプレートは、お客様の環境用に事前定義された設定を使用してポリシーを作成するためのソースとして使用できます。

使用できるポリシーテンプレートは以下のとおりです。

  • 非常に高精細なユーザーエクスペリエンス: このテンプレートは、ユーザーエクスペリエンスを最大化するデフォルト設定を適用します。このテンプレートは、複数のポリシーが優先順に処理されるシナリオで使用します。
  • 高いサーバースケーラビリティ: このテンプレートを適用して、サーバーリソースを節約します。このテンプレートはユーザーエクスペリエンスとサーバーのスケーラビリティの均衡をとります。単一のサーバー上でホストできるユーザー数を増大させながら、良質のユーザーエクスペリエンスを提供します。このテンプレートは、グラフィックスの圧縮にビデオコーデックを使用せず、サーバー側のマルチメディアレンダリングを防止します。
  • 高サーバースケーラビリティ-レガシーOS: この高サーバースケーラビリティテンプレートは、Windows Server 2008 R2またはWindows 7以前のバージョンを実行しているVDAにのみ適用されます。このテンプレートは、これらのオペレーティングシステムでより効率的に機能する従来のグラフィックモードに依存します。
  • Citrix SD-WAN 向けに最適化: このテンプレートは、Citrix SD-WAN を使用してブランチオフィスで作業するユーザーに適用し、Virtual Apps and Desktopsの配信を最適化します。
  • WAN向けに最適化: このテンプレートは、共有WAN接続を使用するブランチオフィスのタスクワーカーや、低帯域幅接続を使用するリモートロケーションで、マルチメディアコンテンツがほとんどないグラフィカルにシンプルなユーザーインターフェイスを持つアプリケーションにアクセスすることを目的としています。このテンプレートでは、ビデオ再生エクスペリエンスと一部のサーバースケーラビリティが帯域幅の効率性を最適化するため犠牲にされます。
  • WANレガシーOS向けに最適化: このWAN向けに最適化テンプレートは、Windows Server 2008 R2またはWindows 7以前のバージョンを実行しているVDAにのみ適用されます。このテンプレートは、これらのオペレーティングシステムでより効率的に機能する従来のグラフィックモードに依存します。
  • セキュリティと制御: このテンプレートは、Citrix Virtual Apps and Desktops でデフォルトで有効になっている機能を最小限に抑えるために、リスクに対する耐性が低い環境で使用します。このテンプレートには、印刷、クリップボード、周辺機器、ドライブのマッピング、ポートのリダイレクトへのアクセスを無効にする設定が含まれています。このテンプレートを適用すると、より多くの帯域幅が消費され、サーバーごとのユーザー密度が減ります。

StoreFront /Workspace

Citrix StoreFront は、ユーザーがオフィスから、または複数のデバイスでリモートからCitrix Virtual Apps and Desktops にアクセスするためのインターフェイスです。これは、ユーザー向けのエンタープライズセルフサービスアプリストアとして機能し、管理者が仮想デスクトップおよびアプリケーションへのセルフサービス集中アクセスをユーザーに提供できるようにします。CitrixのStoreFront では、ユーザーにシングルサインオンアクセスが可能になり、ユーザーが仮想アプリやデスクトップに柔軟にアクセスできるようになります。

また、ユーザーのアプリケーションサブスクリプション、ショートカット名、およびそのほかのデータを維持および管理し、さまざまなデバイスで一貫したユーザーエクスペリエンスを実現します。Citrix Cloud Virtual Apps and Desktopsサービスを使用すると、StoreFront の展開を柔軟に実行して、組織の要件やユースケースを柔軟に達成できます。

  1. クラウドでホストされるStoreFront /Workspace:Citrix CloudのVirtual Apps and Desktopsサービスでは、顧客ごとにStoreFront/Workspaceサービスをホストします。クラウドホストStoreFrontのメリットは、展開する手間がなく、Citrixによって常に最新状態に保たれることです。お客様には、アプリとデスクトップにアクセスするためのクラウドベースの URL が提供されます。

  2. オンプレミスStoreFront:お客様は、既存のオンプレミスStoreFrontを使用して、Citrix Cloud内のアプリケーションとデスクトップを集約することもできます。このユースケースでは、2要素認証のサポートなどセキュリティが強化されており、ユーザーはクラウドサービスにパスワードを入力できません。既存のStoreFront を使用する利点は、Citrix Cloud Connector がユーザーパスワードを暗号化できることです。認証情報は、ランダムに生成されたワンタイムキーで AES-256 を使用してコネクタによって暗号化されます。このキーはCitrix Workspaceアプリに直接返され、クラウドに送信されることはありません。Citrix Workspaceアプリは返されたキーをセッションの開始時にVDAに提供して、資格情報の暗号化を解除してWindowsへのシングルサインオンを実現します。また、ドメイン名とURLをカスタマイズすることもできます。ローカルホストキャッシュ機能を使用するには、オンプレミスのStoreFront が必要です。

  3. オンプレミスStoreFront とクラウドホストStoreFrontの両方の 組み合わせ

Workspace構成

Citrix Workspace プラットフォームは、Citrix Cloudの基本コンポーネントであり、すべてのデジタルWorkspace リソースを列挙し、最高のエクスペリエンスでCitrix Workspace ユーザーに配信します。Workspace構成により、管理者は次のことが可能になります。

  • 会社固有のWorkspace URLを簡単に変更およびカスタマイズし、各サービスの外部接続オプションを変更します。
  • ユーザーのサインオンに最適な認証オプションを選択する
  • ルック・アンド・フィールをカスタマイズする
  • ユーザーが使用できるサービスの管理
  • 従来のオンプレミスのアプリとデスクトップの展開からサイトを集約する

参考資料:Citrix ドキュメント:Workspace設定

Citrix Cloud Gatewayサービス

Citrix Gateway では、ノートパソコン、デスクトップ、シンクライアント、タブレット、スマートフォンなどのさまざまなデバイスにわたって、Citrix Virtual Apps and Desktopsへの安全なリモートアクセスをユーザーに提供します。Citrix Gateway サービスを使用すると、DMZにCitrix Gatewayを展開したり、顧客が所有するオンプレミスのファイアウォールを再構成したりすることなく、Citrix Virtual Apps and Desktopsアプリケーションへのセキュアなリモートアクセスを実現できます。

Citrix Gateway を使用する際のインフラストラクチャのオーバーヘッド全体がクラウドに移行し、Citrixがホストします。サービスを有効にすると、ユーザーはネットワークの外部からVDAにアクセスできます。Citrix Gateway サービスは、Virtual Apps and Desktopsサービスの一部としてHDXトラフィックとともに使用するために有効になっています。その他のCitrix Gateway機能は有効になっていません。

  • リソースの場所にあるCitrix Cloud Connector は、インターネット経由でCitrixが管理するクラウドサービスと通信します。この通信チャネルは、送信プロキシでの認証をサポートしていません
  • すべてのネットワークトラフィックはSSLで保護されますが、Citrix Gateway 機能を提供するために、HDXトラフィックは暗号化されていない形式でメモリに存在します
  • Citrix Gateway サービスを使用するには、Citrix Cloud内でホストされているStoreFront を使用する必要があります。
  • Citrix Gatewayサービス経由で接続されたセッションでは、SmartAccessは動作しません。

CVAD-Image-10

Citrix Gateway サービスは、次のようなユースケースに対応するのに最適です。

  1. Citrix Virtual Apps and Desktops 環境のオンプレミス展開をサポートするために、オンプレミスのGatewayを更新することを検討しているお客様。基本的なICAプロキシを使用しているお客様は、基本的なICAプロキシ用のCitrix Gateway サービスを使用して、オンプレミスのVirtual Apps and Desktopsにアクセスできるようになりました。
  2. Citrix Cloud Virtual Apps and Desktopsサービスの購読をお考えのお客様。お客様は、オンプレミスのアプリとデスクトップ、任意のWeb、SaaSアプリケーションに加えて、Citrix Virtual Apps and DesktopsサービスへのSSO用Citrix Gateway サービスを使用できるようになりました。
  3. アクセス管理ソリューションの統合を検討しているお客様。Citrix Appsおよびデスクトップのソリューション/サービスにCitrix Gatewayを使用し、SaaSおよびWebアプリケーションへのSSO用にサードパーティ製のクラウドサービスを使用しているお客様は、すべてのアプリケーションに対してCitrix Gateway サービスを使用できるようになりました。2 つの異なるアクセス管理ソリューションを使用する必要がないため、コストを削減し、エンドユーザーエクスペリエンスを向上させ、すべてのアプリケーションに一貫したアクセス制御ポリシーを適用できます。

Citrix Gateway サービスの機能

  • シンプルさ: ADCの導入と管理の複雑さを軽減
  • 常に最新の製品: 常に最新の製品でCitrix Gateway の管理を簡素化
  • セキュリティと高可用性: アプリとデスクトップサービスのセキュリティと可用性を向上
  • スピード: Citrix Gateway の導入と管理を迅速かつ簡単に行えます。
  • 利便性: Gatewayサービスをまとめてパッケージ化および販売することで、IT部門が最も一般的に直面しているユースケースへの対応をシンプル化

参考資料:Citrix ドキュメント:Citrix Gateway サービス

Director

Directorは、Citrix Virtual Apps and Desktops サービスの監視およびトラブルシューティングコンソールです。Directorダッシュボードは、サイトのリアルタイムおよび履歴の健全性と使用状況を監視するための一元的な場所を提供します。Directorの機能は、Citrix Virtual Apps and Desktops サービスコンソールの「監視」タブで利用できます。

管理者およびヘルプデスク担当者は、DirectorをリアルタイムWebツールとして使用して、加入者の監視、トラブルシューティング、およびサポートタスクを実行できます。これは、使用中のユーザーセッションとセッション、ログオンのパフォーマンス、ユーザー接続と障害、負荷評価、履歴傾向を含むマシンの詳細を取得し、インフラストラクチャホストを監視するために管理者に役立ちます。

参考資料:Citrix ドキュメント:Citrix Director

委任管理

Citrix Cloudの委任管理は、管理者がCitrix環境を管理および監視するための役割の異なるセットでアクセス許可を構成するのに役立ちます。

委任管理では、カスタムアクセスに 3 つの概念を使用します

管理者: 管理者とは、Citrix Cloudサインイン(通常は電子メールアドレス)によって識別された人物を表します。各管理者には、1つまたは複数の役割とスコープのペアが割り当てられます。

役割: 役割とは管理ジョブの機能を表し、それぞれ権限が割り当てられています。これらの権限により、サービス固有の特定のタスクが許可されます。このサービスには、いくつかの組み込みのカスタムアクセス権役割が用意されています。管理者は、他のカスタムアクセスロールを作成したり、これらの組み込みのカスタムアクセスロール内の権限を変更したり、それらのロールを削除したりすることはできません。管理者は、管理者が持つロールを変更できます。役割は、必ずスコープとペアになっています。

スコープ: 接続、マシンカタログ、デリバリーグループなど、その管理者が管理できるオブジェクトをグループ化したものです。スコープは、組織に関連する方法でオブジェクトをグループ化するために使用されます。オブジェクトは、複数のスコープに存在できます。次の組み込みのスコープには、すべてのオブジェクトが含まれています:「すべて」。Citrix Cloud管理者とヘルプデスク管理者は、必ず「すべて」スコープとペアになっています。

参考資料:Citrix ドキュメント:委任された管理

ホスト接続

ホスト接続により、コントロールプレーン内のCitrix Cloudコンポーネントと、リソースロケーションのHypervisor またはクラウドサービスとの通信が可能になります。接続の仕様は次のとおりです:

  • Hypervisor またはクラウドサービスのアドレスとそれらのリソースにアクセスするための認証情報
  • VM の作成に使用するツール
  • VM のプロビジョニングに使用されるストレージ方法
  • VM のネットワークセグメント

参考資料:Citrix ドキュメント:ホスト接続

マシン カタログ

マシンカタログは、同じ種類のオペレーティングシステムがサーバーまたはデスクトップのVDAのコレクションまたはグループです。サーバーOSマシンを含むマシンカタログには、WindowsマシンまたはLinuxマシンのいずれかを含めることができます。両方を含めることはできません。

Hypervisor またはマスターイメージとして指定されたクラウドサービス上に作成された仮想マシンは、テンプレートとも呼ばれます。このVMには、すべてのユーザーアプリケーションとその他のセキュリティツールがインストールされます。最後に、Citrix Virtual Delivery Agentがインストールされ、このマスターイメージからCitrix Studio経由で複数の仮想マシンを作成できます。

テンプレートまたはマスターイメージの準備ができたら、Citrixツール(MCSまたはCitrix Provisioning)またはお客様が所有するその他のツールを使用してマシンカタログを作成します。Citrix ツールを使用すると、マシンカタログの作成プロセスによって、そのイメージから同一の仮想マシンがプロビジョニングされます。仮想マシンまたは物理マシンをプロビジョニングするツールが他にある場合は、カタログ作成プロセスによってそれらのマシンがカタログに追加されます。

Studioでは、管理者が最初のマシンカタログを作成するように案内します。最初のカタログの後、Studioは管理者に最初のデリバリーグループを作成し、ユーザー用にデスクトップとアプリケーションをプロビジョニングするように案内します。また、管理者はCitrix Cloudコンソールを使用してライブラリにサブスクリプションを追加できます。

デリバリーグループ

デリバリーグループは、1つ以上のマシンカタログから選択したマシンをグループ化したものです。デリバリーグループでは、これらのデスクトップマシンにアクセスできるユーザーと、それらのユーザーが使用できるアプリケーションを指定できます。また、管理者は、Citrix Cloudコンソールを使用してこれらのユーザーとアプリケーションを指定することもできます。

デリバリーグループの作成は、最初のマシンカタログを作成した後にCitrix 展開環境を構成する次のステップです。デリバリーグループには、作成後に構成できる追加機能や設定があります。

Citrix App Layering

Citrix Cloudポータルは、お客様がCitrix App Layering オンプレミスのエンタープライズレイヤーマネージャー仮想マシンを管理するための管理コンソールを提供します。

Citrix App Layering は、オンプレミス、プライベートクラウド、パブリッククラウド向けに設計されたWindowsオペレーティングシステムおよびアプリケーション管理ソリューションです。Citrix App Layeringの基盤となるテクノロジーは、レイヤー化と呼ばれ、仮想マシンのすべてのコンポーネントを個別に割り当て、パッチ適用、および更新できるようにします。これには、Windows OS、アプリケーション、ユーザーの設定とデータが含まれます。この中核的なイノベーションを基に構築された管理システムは、アプリケーションの競合解決、イメージの作成、アプリケーションの割り当て、およびあらゆる仮想化プラットフォームに使用できる統合テクノロジーを網羅しています。

Citrix App Layering は、単一の仮想アプライアンスを使用してレイヤーを管理し、それらを他のプラットフォームに渡してイメージとアプリケーションの配布を行います。

Citrix App Layering は、Windowsアプリケーションとイメージの管理に伴うオーバーヘッドを大幅に削減します。お客様が使用するHypervisor またはProvisioning サービスに関係なく、App Layering サービスでは次のことが可能になります。

  • オペレーティングシステム、プラットフォームツール、アプリケーションを別々のレイヤーにインストールするには
  • イメージテンプレート内の各イメージに必要なレイヤの組み合わせを選択し、イメージテンプレートを使用してユーザーグループ用にシステムをプロビジョニングするには
  • ユーザーがログインしたときにオンデマンド配信用に特定の App Layer を弾力的に割り当てる

これにより、維持するイメージの数が減ります。App Layering ソリューションは、デスクトップサーバーとセッションホストサーバーの両方で機能します。このコンテキストのレイヤータイプは、OSレイヤー、プラットフォームレイヤー、アプリケーションレイヤー、ユーザーレイヤーです。

Workspace Environment Management サービス

Workspace Environment Management(WEM)サービスは、インテリジェントなリソース管理とProfile Managementテクノロジを提供し、WindowsのVirtual Apps and Desktopsの展開で最高のパフォーマンス、デスクトップログオン、およびアプリケーションの応答時間を提供します。これは、ドライバーを必要としない、ソフトウェアのみのソリューションです。

  • リソース管理: ユーザーに最適なエクスペリエンスを提供するために、Workspace Environment Management はユーザーとアプリケーションの動作をリアルタイムで監視および分析し、ユーザー・ワークスペース環境のRAM、CPU、I/Oをインテリジェントに調整します。

  • Profile management: 可能な限り最高のログオンパフォーマンスを提供するために、WEMは、一般的に使用されるWindowsグループポリシーオブジェクトオブジェクト、ログオンスクリプト、およびプリファレンスを各Virtual Delivery Agent、仮想マシンまたはサーバーに展開するエージェントに置き換えます。エージェントはマルチスレッドであり、必要な場合にのみユーザー環境に変更を適用します。これにより、ユーザーは常にデスクトップやアプリにできるだけ迅速にアクセスできます。

  • セットアップの簡素化: Workspace Environment Management サービスは、オンプレミスバージョンの WEM で必要とされる管理セットアップタスクのほとんどを排除します。管理者は、Citrix CloudポータルからWebベースの管理コンソールにアクセスして、インフラストラクチャ内のWEM関連のタスクを微調整できます。

CVAD-Image-11

Profile Management

Citrix Profile Managementでは、場所やエンドポイントデバイスに関係なく、ユーザーの個人設定がユーザーの仮想デスクトップおよびアプリケーションに適用されます。

Citrix Profile Managementは、Windows環境でこれらの設定を管理するための簡単で信頼性の高い方法を提供するプロファイル最適化サービスによって有効になり、ユーザーに従う単一のプロファイルを維持することで一貫したエクスペリエンスを実現します。ユーザー・プロファイルの自動統合と最適化により、管理とストレージの要件が最小限に抑えられ、管理、サポート、インフラストラクチャが最小限に抑えられ、ログオンとログアウトが改善されます。

Citrix Profile Managementは、同じユーザーが同時にドメインログオンするとプロファイルに複雑さと一貫性の問題が発生する環境で、ユーザープロファイルの欠陥に対処します。たとえば、2つの異なる仮想リソースに対するセッションを移動プロファイルで開始する場合、最初に終了したセッションのプロファイルは後で終了したセッションのプロファイルにより上書きされます。「最後の書き込みの勝利」と呼ばれるこの問題は、ユーザーが最初のセッションで行った個人用設定はすべて破棄されます。

ログオン時に、ユーザーのレジストリエントリやファイルがユーザーストアからコピーされます。ローカルにキャッシュされたプロファイルがある場合は、ユーザーストアの情報と同期されます。これにより、セッション中にすべてのアプリケーションとサイロのすべての設定を使用できるようになります。また、サイロごとに別々のユーザープロファイルを管理する必要もなくなりました。ユーザープロファイルをストリーム配信することで、ログオン時間をさらに向上させることができます。

Profile Managementはプロファイルを簡単で信頼性の高い方法で最適化します。中間段階およびログオフ時に、レジストリの変更、およびプロファイル内のファイルとフォルダは、各ユーザーのユーザーストアに保存されます。一般的には、ファイルが存在する場合は、タイムスタンプが早い場合はそれが上書きされます。

一部のユーザー設定やデータはフォルダーのリダイレクト機能によりリダイレクトすることができます。フォルダーのリダイレクト機能を使用しない場合は、ユーザープロファイル内にこれらの設定が格納されます。

Citrix Cloud展開の計画

Citrix Cloud Virtual Apps and Desktopsサービス(CVADS)は、組織の要件やユースケースに応じていくつかの方法で展開できます。Citrix Cloudは柔軟性を備え、お客様は要件に応じた展開モデルを選択できます。お客様のニーズとユースケースを支援する概念的なリファレンスアーキテクチャを以下に示します。

  • ハイブリッドクラウド/オンプレミスCitrix ワークロードを搭載したCVADS
  • オンプレミスのCitrix ワークロードを使用したCVADSおよびGatewayサービス
  • オンプレミスのGateway、StoreFront、およびCitrix ワークロードを備えたCVADS

ハイブリッドクラウド/オンプレミスの Citrix ワークロードを使用した CVADS

この展開シナリオでは、社内ユーザーがCitrix CloudとオンプレミスのCitrixワークロードを使用してリソース(アプリとデータ)にアクセスできるようにしたいと考えています。アプリケーションはクラウドに対応していないため、社内データセンターでホストされ、社内管理者によって管理されます。これらのアプリケーションは、ユーザーに対してCitrix 経由で有効にする必要があります。同社にはCitrix 管理コンポーネントを展開するITスペシャリストがいないため、Citrix Cloudを利用することに決めました。

将来の拡張として、同社はオンプレミスのワークロードをパブリッククラウドに拡張し、リソースを大量に消費するWebコンポーネントの負荷を軽減し、クラウド内のCitrix ワークロードを拡張する計画も進めています。同社は、Citrix ワークロードをプライベートクラウドまたはパブリッククラウドに拡張すれば、ビジネス継続性とディザスタリカバリの可用性を高めることができるため、この導入モデルを採用することに決めました。災害が発生した場合や、ユーザーがオンプレミスのデータセンターからリソースにアクセスできない場合は、リソースをすばやく有効にし、クラウドでホストされるCitrix ワークロードからアクセスを提供できます。

この展開の概念アーキテクチャを以下に示します。ここでは、この展開の各レイヤーの設計フレームワークを確認して、企業に完全なソリューションを提供する方法を理解しましょう。

CVAD-Image-12

ユーザーレイヤー: Citrix 環境にアクセスする必要がある企業内のユーザー。同社は、企業のデバイスでCitrix リソースにアクセスできるようにしています。Workspaceアプリは、Windows、Mac、Android、および iOS で利用できます。社内 IT チームは、企業のデバイスに最新の Workspace App をインストールしています。同社は、ユーザーが会社のプリンタやドライブにアクセスしてデータ管理を行うためのプリンタとデバイスのリダイレクトポリシーを有効化しました。

同社はユーザーを特定し、アプリケーションの使用状況に基づいて異なるワークロードタイプとして分離しました。

ユーザーのタイプ アプリの使用状況 CPU メモリ IOPS リソース
タスクユーザー 2歳から7歳まで 仮想CPU×1 1GB 6 仮想アプリ
オフィスユーザー 5歳から8歳まで 仮想CPU×1 1.5GB 8 仮想アプリ
ナレッジユーザー 6歳から10歳まで 仮想CPU×2 2GB 10-20 プールされたデスクトップ
パワー・ユーザー 8歳から12歳まで 仮想CPU×2 3-4ギガバイト 15-25 専用デスクトップ

Citrix 管理者は、ユーザーの分離時に、ワークロードの種類ごとにそれぞれのマシンカタログとデリバリーグループをCitrix Studioに作成しました。

アクセスレイヤー: Citrix StoreFront /Workspace Service、CitrixユーザーがCitrix環境にアクセスするためのフロントエンドまたはエントリポイントです。Citrix Cloudは、企業のCitrix環境にアクセスするためにStoreFront /Workspaceをプロビジョニングし、ユーザーにはCitrix CloudのWorkspaceURL(https://company.cloud.com)が提供されます。Workspace構成タブでは、会社の管理者はWorkspaceURLを変更したり、Workspace/StoreFront ページのカスタマイズを変更したりすることができました。

Cloud Connector をインストールすると、認証のためにお客様のActive Directory ドメインをCitrix Cloudに拡張できます。Workspace構成の認証構成では、管理者は、ユーザーがCitrix リソースにサインインしてアクセスするための認証ソースを選択できます。管理者は、Citrix Cloud上のCitrixサブスクライバーを認証するために、オンプレミスのアクティブディレクトリを選択しました。Citrix CloudのURLにアクセスするユーザーは、ドメイン資格情報の入力を求めhttps://company.cloud.com られます。この資格情報は、Cloud Connector を介してオンプレミスのActive Directory ドメインに対して検証されます。

認証情報が検証されると、ユーザーはWorkspace ページが表示され、そこで割り当てられているアプリ、デスクトップ、コンテンツにアクセスできます。ユーザーがアプリケーションまたはデスクトップを起動すると、Workspace Appを起動するICAファイルがユーザーに表示され、ICA接続(TCPポート1494/2598)がユーザーシステムからVDAに確立され、この接続用にController によって割り当てられます。

CVAD-Image-13

コントロールレイヤー: Delivery Controller、SQLデータベース、Studio、Director、およびライセンスは、Virtual Apps and Desktopsサービスのアクティブ化中にCitrixによってCitrix Cloud上でプロビジョニングされるコントロールレイヤーのコアコンポーネントです。クラウド管理者は、Citrix Cloudポータルにログインし、コンポーネントを管理するVirtual Apps and Desktopsサービスを選択します。管理者がCitrix Cloudの「管理」ボタンを選択すると、Studioコンソールが起動して環境を管理できます。

Citrix Studioは、管理者がCitrixユーザーのホスト接続、マシンカタログ、デリバリーグループ、アプリケーション、ポリシーを構成するのに役立ちました。管理者は、Citrix Cloud Virtual Apps デスクトップサービスのページで「モニター」タブを選択して、Citrix Directorを開きます。これにより、企業管理者はCitrix CloudからCitrix 環境全体を監視できます。

CVAD-Image-14

リソースレイヤー:リソースレイヤーは、このデプロイメント内のすべてのCitrix ワークロードが存在する場所です。これは、Citrix Cloudのリソースの場所と呼ばれます。オンプレミスのCitrixワークロードとCitrix Cloudを統合するための出発点として、管理者はHypervisor に2倍のWindows Server 2016仮想マシンをインストールし、Citrix Cloudに接続するためにこの仮想マシンにCitrix Cloud Connectorをインストールしました。

Cloud Connector のインストールでは、Citrix Cloud上にリソースの場所が作成され、Company.comドメインがユーザーのCitrix Cloudに認証ドメインとして追加されました。

Citrix Studioの助けを借りて、App Layering を使用して作成されたマスターイメージテンプレートを使用して、管理者は、タスクワーカー用のCitrix Provisioning Services(PVS)を使用して、Windows Serverと20のVirtual Apps サーバーを展開しました。ワーカー、および Red Hat Linux 搭載の 10 台の仮想サーバーで、Hypervisor 上のオフィスユーザーにMachine Creation Serviceを使用します。

これらの仮想マシンとともにインストールされたVirtual Delivery AgentはCloud Connectorに登録されるため、管理者がマシンカタログとデリバリーグループを作成し、ユーザーにデスクトップとアプリをプロビジョニングします。Citrix ポリシーは、Studioを使用してデリバリーグループに対して作成および割り当てられ、HDX接続の最適化とセキュリティ保護を行います。

CVAD-Image-15

プラットフォームレイヤー: お客様は、要件と設計上の決定に基づいて、Citrix ワークロードに必要なサーバーハードウェアを購入しました。Citrix 管理者は、Citrix ワークロードをホストするハイパーバイザーをインストールしました。ネットワーク管理者は、企業デバイス上の新しい環境のファイアウォールルールを有効にしました。ストレージ管理者は、適切なストレージを構成し、新しいCitrix 環境に割り当てることができました。

操作レイヤー: [リソースの場所]でCitrix ワークロードを管理するために必要なコンポーネントは、[操作レイヤー]でカバーされています。IT管理者は、Citrix ワークロードのユーザープロファイルを保存するファイルサーバークラスターを展開しました。また、RDS CAL サーバー (ユーザー/デバイスごと) を展開して、リソースの場所にVirtual Apps サーバーの RDS ライセンスを発行しています。

同社は将来的にいくつかのワークロードをパブリッククラウドに移行する計画を立てているため、Citrix App Layering Managerをリソースの場所にデプロイすることに決めました。App Layering サービスでは、会社の要件に従って、OS層、プラットフォーム層、およびアプリケーション層を作成しました。管理者は、これらのレイヤーを組み合わせることで、ユーザー用にCitrix ワークロードをプロビジョニングするためのマスターイメージテンプレートを作成しました。Citrix Windows環境を最適化するために、リソースの場所にWorkspace Environment Managerサービスを展開することを選択します。

管理者は、Workspace環境管理を使用して、Citrix Profile Managementソリューションを使用してユーザープロファイル設定を構成しています。ユーザーのすべてのユーザープロファイルとフォルダーリダイレクトデータは、リソースの場所でホストされているファイルサーバークラスターに格納されるように構成されます。Citrix ユーザーエクスペリエンスを最適化するために、管理者はWEMコンソールを介してCPU、メモリ、ログオンの最適化の設定も適用しました。

CVAD-Image-16

オンプレミスのCitrix ワークロードを使用したCVADSおよびGatewayサービス

既存のCitrix のお客様。社内ユーザー用の従来のXenApp環境(オンプレミス)があり、この環境は、製品の販売終了時にアップグレードを予定しています。アップグレード計画の一環として、お客様は、Citrixコンポーネントの最新バージョンを使用して新しいパラレルCitrix環境を構築したいと考えています。また、既存のセットアップにADC /Gateway がないため、既存のXenAppを含む外部(インターネット)ユーザーにCitrix環境へのアクセスを拡張したいと考えています。設定されています。

お客様は、この新しい導入環境内の古い環境と新しい環境の両方からCitrix リソースを集約したいと考えていました。

お客様は、コントロールプレーンと新しいCitrixワークロードに対してCitrix CloudVirtual Apps デスクトップサービスを利用することを決定し、将来の成長を考慮して、これらのリソースを別のサイト/データセンターに導入したいと考えていました。お客様は、新しいハイブリッドクラウド環境が本番環境になり、ユーザーが移行された後で、可用性を高めるために現在のデータセンターリソースを使用し、新しいサイトのディザスタリカバリサイトを使用することを計画しました。お客様は、Citrix Cloud上のCitrix Gatewayサービスを使用して、Citrixユーザーの外部アクセスを有効にすることを選択します。また、お客様は、環境を保護するために 2 要素認証を実装する予定です。

この導入モデルは、ユーザーへの外部アクセスを可能にするのに役立ち、ディザスタリカバリの状況を計画して軽減する能力を提供するため、お客様はこの導入モデルを追求しています。

この展開の 概念アーキテクチャ を以下に示します。この展開の各レイヤーの設計フレームワークを踏まえ、Citrix Cloudがお客様にとって完全なソリューションを実現する方法を理解しましょう。

CVAD-Image-17

ユーザーレイヤー: 企業(内部)ネットワーク内およびインターネット(外部)経由のユーザーは、新しいCitrix ハイブリッドクラウドと古い従来のCitrix環境の両方にアクセスする必要があります。ITチームは、ネットワークデバイス上でファイアウォールルールを有効にして、企業デバイスから新しいCitrix 環境リソースにアクセスできるようにしました。社内ITチームは、企業のデバイスに最新のWorkspaceアプリをインストールし、必要に応じて古いCitrix Receiverをアップグレードしました。

インターネット経由でCitrix Cloud環境にアクセスしている外部ユーザーは、企業デバイスとともに個人用デバイスを使用します。そのため、個人用デバイスに最新のWorkspace Appをインストールすることをお勧めします。外部ユーザーは、デバイスに Workspace アプリケーションをインストールできないように、HTML5 バージョンの Workspace を使用することもできます。

ユーザーの種類とそのワークロードは、既存の従来のCitrix 環境から識別されます。

ユーザーのタイプ アプリの使用状況 CPU メモリ IOPS リソース
タスクユーザー 2歳から7歳まで 仮想CPU×1 1GB 6 仮想アプリ
オフィスユーザー 5歳から8歳まで 仮想CPU×1 1.5GB 8 仮想アプリ

Citrix管理者は、Citrix Cloud Connectorsを指す既存のレガシー環境と同様に、マシンカタログとデリバリーグループのレプリケーションを開始しました。さらに、お客様は、新しい要件に従って、知識とパワーユーザーのための追加のマシンカタログとデリバリーグループを作成したいと考えています。

ユーザーのタイプ アプリの使用状況 CPU メモリ IOPS リソース
ナレッジユーザー 6歳から10歳まで 仮想CPU×2 2GB 10-20 プールされたデスクトップ
パワー・ユーザー 8歳から12歳まで 仮想CPU×2 3-4ギガバイト 15-25 専用デスクトップ

アクセスレイヤー: Citrix CloudWorkspace 構成では、管理者が外部アクセスを有効にするCitrix Gateway サービスを有効にします。Citrix Gateway は、すべてのユーザーがCitrix 環境にアクセスするためのフロントエンドのエントリポイントです。これにより、企業ネットワーク管理者は、企業デバイスからCitrix Cloudへのグローバルに承認されたHTTPSアクセスを有効にすることができます。

Citrix Cloudは、当社のCitrix環境にアクセスするためにStoreFront /Workspaceをプロビジョニングし、ユーザーにはCitrix CloudのWorkspaceURL(https://customer.cloud.com)が提供されます。Workspace構成タブでは、会社の管理者はWorkspace URLおよびWorkspace/StoreFront ページのカスタマイズを変更できます。

Cloud Connector をインストールすると、認証のためにお客様のActive Directory ドメインをCitrix Cloudに拡張できます。Workspace構成の認証構成では、管理者は、ユーザーがCitrix リソースにサインインしてアクセスするための認証ソースを選択できます。管理者は、Citrix Cloud上のCitrix サブスクライバーを認証するためにオンプレミスのActive Directory を選択しました。

Citrix CloudのURLhttps://customer.cloud.comにアクセスするユーザーは、ドメイン資格情報の入力を求められます。この資格情報は、Cloud Connector を介してオンプレミスのActive Directory に対して検証されます。検証が完了すると、ユーザーはWorkspace ページが表示され、そこで割り当てられているアプリやデスクトップにアクセスできます。

ユーザーがアプリケーションまたはデスクトップを起動すると、Workspace Appを介して起動されるICAファイルがユーザーシステムからCitrix Gateway へのICA接続(SSL)が確立され、接続がCloud Connectorに渡され(ポート1494/2598で)この接続のためにController によって割り当てられます。接続に成功すると、HDXセッション(2598)が起動され、ユーザーに表示されます。

CVAD-Image-18

従来のCitrix 環境向けのサイトアグリゲーション

従来のCitrix 環境からリソースを集約するために、管理者はレガシー環境内に2つのCloud Connectorをインストールし、クラウド管理者がCitrix CloudWorkspace 構成でサイト集約を構成できるようにします。管理者は、Workspace構成の [サイト] タブでレガシー環境の詳細を提供し、Citrix Cloud経由で従来のCitrix環境からのCitrixリソースを集約できるサービス統合-Virtual Apps and Desktopsのオンプレミスサイトを有効にしました。

Citrix CloudのURLhttps://customer.cloud.comにアクセスするユーザーが、Cloud Connector を介してオンプレミスのActive Directory に対して検証されるドメイン資格情報の入力を求めました。検証が完了すると、古い環境と新しい環境の両方のアプリケーションとデスクトップを含むWorkspace ページが表示されます。

ユーザーがレガシー環境からアプリケーションを起動すると、ICAファイルがユーザーに表示されます。ICAファイルは、Workspace App経由で起動されます。Workspace Appは、ユーザーシステムからCitrix Gateway へのICA接続を開始し、次にCloud ConnectorへのICA接続を開始し、この接続に割り当てられたVDAに接続します。接続に成功すると、HDXセッションが起動され、ユーザーに表示されます。

CVAD-Image-19

コントロールレイヤー: 新しいハイブリッドクラウド環境Delivery Controllerの場合、SQL Database、Studio、Director、およびライセンスは、Virtual Apps and Desktopサービスのアクティベーション中にCitrixによってCitrix Cloud上でプロビジョニングされるコントロールレイヤーのコアコンポーネントです。管理者は、Citrix Cloudポータルにログインし、コンポーネントを管理するVirtual Apps and Desktopsサービスを選択します。管理者は、[Virtual Apps デスクトップ]ページで[管理]ボタンを選択すると、環境を管理するためのCitrix Studioが起動します。

管理者は、Citrix Studioを使用して、Citrixユーザーのホスト接続、マシンカタログ、デリバリーグループ、アプリケーション、ポリシーを構成しました。

管理者は、Citrix Cloud Virtual Apps デスクトップサービスのページで「監視」タブを選択して、Citrix Directorを開きます。これにより、クラウド管理者はCitrix CloudからCitrix 環境全体を監視できます。

従来のCitrix 環境に変更はありません。管理者は、サイト集約のためのクラウド通信を確立し、Citrix Cloud経由でリソースにアクセスするために、2つの新しいCitrix Cloud Connectorをインストールしました。

CVAD-Image-20

リソースレイヤー: リソースレイヤーは、このデプロイメント内のすべてのCitrix ワークロードが存在する場所であり、Citrix Cloudのリソースロケーションと呼ばれます。

新しいハイブリッドCitrixワークロードをCitrix Cloudと統合するための出発点として、管理者はHypervisor に2台のWindows Server 2016仮想マシンをインストールした後、両方の仮想マシンにCitrix Cloud ConnectorをインストールしてCitrix Cloudと接続します。

Cloud Connector のインストールでは、Citrix Cloud上にリソースの場所が作成され、ユーザー用のCitrix Cloudの認証ドメインとしてcustomer.comドメインも追加されました。Citrix Cloud上に作成されるリソースの場所は2つあります。1つは新しいハイブリッドクラウドソリューション用で、もう1つは従来のCitrix 環境用です。

Citrix Studioの助けを借りて、App Layering を使用して作成されたマスターイメージテンプレートを使用して、管理者は、タスクワーカーのためのCitrix Provisioning(PVS)を使用して、Windows Serverと50 Virtual Apps サーバーを展開しています。および 50 台のVirtual Desktops で、Hypervisor 上の Linux ユーザー向けMachine Creation Servicesを使用します。

これらの仮想マシンとともにインストールされたVirtual Delivery AgentはCloud Connectorに登録されるため、管理者はマシンカタログとデリバリーグループを作成して、ユーザーにデスクトップとアプリをプロビジョニングします。Citrix ポリシーは、Studioを使用してデリバリーグループに対して作成および割り当てられ、HDX接続の最適化とセキュリティ保護を行います。

CVAD-Image-21

プラットフォームレイヤー: お客様は、要件と設計上の決定に基づいて、Citrix ワークロードに必要なサーバーハードウェアを調達しました。Citrix 管理者は、Citrix ワークロードをホストするハイパーバイザーをインストールしました。ネットワーク管理者は、企業デバイス上の新しい環境のファイアウォールルールを有効にしました。ストレージ管理者は、適切なストレージを構成し、新しいCitrix 環境に割り当てることができました。

オペレーションレイヤー: リソースロケーション内のCitrix ワークロードを管理するために必要なツールまたはコンポーネントは、オペレーションレイヤーの対象となります。IT管理者は、Citrix ワークロードのユーザープロファイルを保存するファイルサーバークラスターを展開しました。

Citrix管理者は、Citrix Workspace Environment Managerサービスを使用して、Profile ManagementポリシーをWEMエージェントに適用しました。お客様は、VDA上の最新のCitrix ユーザープロファイルマネージャーを使用して、ユーザーのプロファイルをファイルサーバークラスターにマッピングすることを選択します。IT 管理者は、ユーザープロファイルとフォルダのリダイレクト専用のファイル共有を作成しました。Profile Managementポリシーにより、Citrix ワークロードが最適化され、ログインとログオフが高速になります。

Citrix 管理者は、リソース管理ポリシーを適用して、VDAエージェントのCPUとメモリの使用率を最適化しました。クラウド管理者は Workspace Environment Manager を使用して、アプリケーションのセキュリティおよびプロセス管理ポリシーを適用して、エンドユーザーのアクティビティを制御します。

お客様は、リモートデスクトップサービス (RDS) クライアントアクセスライセンスサーバーを有効にして、リソースの場所にVirtual Apps ワークロードの RDS ライセンスを発行しています。

複数のマスターイメージを管理し、OSとアプリケーションのパッチで各マスターイメージを更新するために、お客様は、Citrix App Layering Managerをリソースの場所に展開し、Citrix Cloud経由で管理プレーンを有効にすることにしました。App Layering Service では、管理者はワークロード要件に従って OS レイヤー、プラットフォームレイヤー、アプリケーションレイヤーを作成しました。これらのレイヤーを組み合わせることで、管理者はCitrix ワークロードをプロビジョニングするためのマスターイメージテンプレートを作成しました。

CVAD-Image-22

障害回復

お客様は、従来のCitrix 環境を段階的なアプローチで新しいハイブリッドクラウド環境に移行し、定義されたスケジュールで移行を完了しました。

設計戦略に従って、レガシー環境で使用されていたハードウェア・リソースが更新され、本番環境の災害復旧サイトが作成されました。Citrix 管理者は、Citrix ワークロードを作成するために、ハードウェアにハイパーバイザーをインストールしています。

本番環境で使用されるすべてのコンポーネントは、災害発生時のサービスの可用性を確保するために、災害復旧サイトにレプリケートされます。

Citrix App Layering は、本番環境で作成されたマスターテンプレートをDRサイトにレプリケートすることで、ワークロードの展開を支援しました。Citrix Workspace Environment Managerサービスは、DRサイトのプロファイル設定を構成して適用するのに役立ちました。

IT管理者は、本番ファイル・サーバ・クラスタに保存されているユーザー・プロファイルおよびデータを、DRサイトのファイル・サーバにレプリケートするように、ストレージ・レプリケーションを構成しました。

クラウド管理者は、災害復旧サイトに 2 つのCloud Connectorをインストールして、DR-Site という名前の新しいリソースロケーションを作成しました。また、本番環境に似たホスト接続、マシンカタログ、デリバリーグループも構成しました。

環境の準備ができたら、お客様は、本番環境での計画的な災害シミュレーションを使用して DR 環境をテストしたいと考えています。スケジュールされたウィンドウの間に、本番環境のCloud Connectorがシャットダウンされ、本番サイトとCitrix Cloudの間で通信が行われませんでした。

クラウド管理者は、ライブラリ(アプリとデスクトップ)オファリングの加入者のゾーンプリファレンスを設定しました。これにより、エンドユーザーはストアフロント/ワークスペースページの「DR サイト」からデスクトップとアプリを表示できるようになります。

ユーザーがアプリケーションまたはデスクトップを起動すると、Workspaceアプリを介して起動されるICAファイルがユーザーシステムからCitrix Gateway へのICA接続(SSL)が確立され、接続がDRサイトCloud Connector に渡され、その後(ポート1494/2598で)DRサイトからこの接続用にController によって割り当てられたVDAです。接続に成功すると、HDXセッション(2598)が起動され、ユーザーに表示されます。

CVAD-Image-23

Citrix WEMユーザープロファイルの構成により、ユーザーはDRファイルサーバーからデータにアクセスして日々の作業を行うことができました。

オンプレミスのGateway、StoreFront、およびCitrix ワークロードを備えたCVADS

このシナリオでは、大企業のお客様が、世界中のさまざまな地域に分散している企業ユーザーのために、Citrix Virtual Apps and Desktops サービス環境を展開したいと考えています。このCitrix 環境は、内部のみのWebアプリケーションやその他のリソースへのアクセスを提供することに重点を置いています。また、お客様には、Web 開発者向けにプールされた専用デスクトップを有効にする必要もあります。お客様は、最高のユーザーエクスペリエンスを提供するために、Citrix 環境(VDA)を地域のユーザーの近傍に配置したいと考えています。彼らは、Citrix Cloudを使用して、Citrixワークロードを分割し、米国、ヨーロッパ、アジアの3つの地域にまたがる既存のデータセンターでホストし、コントロールプレーンを管理することに決めました。

情報セキュリティチームは、認証と監査の要件を保護するために、既存のサードパーティソリューションで SAML ベース認証または多要素認証のいずれかを実装することを主張しています。企業であるため、ユーザーは地域をまたいで移動しており、他の地域からCitrix 環境にアクセスする必要があります。お客様は、環境にアクセスするために、各リージョンに固有の URL を設定したいと考えています。ディザスタリカバリ計画の一環として、お客様は 20% の追加ハードウェアを割り当てて、災害発生時に他のリージョンのユーザーが内部のみのWebアプリケーションにアクセスできるようにそれらのCitrix ワークロードを予約したいと考えています。

お客様は、セキュリティ要件を満たし、最高のユーザーエクスペリエンスを提供するために、この導入モデルを使用することに決めました。このお客様は、Citrixワークロードに加えて、2つのCloud Connector、2つのStoreFront サーバー、および2つのCitrix ADC Gatewayを3つのリソースロケーションすべてに配置しました。以下に示すこの展開の概念的なアーキテクチャ、この展開の各レイヤーの設計フレームワークでは、Citrix Cloudがお客様に最適なソリューションを実現する方法について説明しています。

CVAD-Image-24

ユーザーレイヤー: お客様は、各リージョンのユーザーがCitrix 環境にアクセスするためのこれらのURLを決定しました。

  • https://amrapps.company.com — 米国ユーザー
  • https://eurapps.company.com — ヨーロッパユーザー
  • https://apjapps.company.com — アジアのユーザー

Citrix 環境にアクセスする社内(企業内)および社外(インターネット上)のユーザーは、これらのパブリックURLを使用してアクセスします。ITチームは、ネットワークデバイス上でファイアウォールルールを有効にして、企業デバイスから新しいCitrix 環境リソースにアクセスできるようにしました。IT部門は、企業のデバイスに最新のWorkspaceアプリをインストールし、必要に応じて古いCitrix Receiverをアップグレードしました。

外部ユーザーは個人用デバイスと企業用デバイスを使用することもできるので、ユーザーの個人用デバイスに最新の Workspace App をインストールすることをお勧めします。外部ユーザーは、最新のWebブラウザーを使用してHTML5バージョンのCitrix Workspace を利用することもできます。この場合、デバイスにWorkspaceアプリをインストールすることはできません。

同社は、ユーザーのタイプを特定し、アプリケーションの使用状況に基づいて異なるワークロードタイプとして分離しています。

ユーザーのタイプ アプリの使用状況 CPU メモリ IOPS リソース
タスクユーザー 2歳から7歳まで 仮想CPU×1 1GB 6 仮想アプリ
オフィスユーザー 5歳から8歳まで 仮想CPU×1 1.5GB 8 仮想アプリ
ナレッジユーザー 6歳から10歳まで 仮想CPU×2 2GB 10-20 プールされたデスクトップ
パワー・ユーザー 8歳から12歳まで 仮想CPU×2 3-4ギガバイト 15-25 専用デスクトップ

Citrix 管理者は、ユーザーの分離時に、 各クラウドリージョンのサブスクリプションのワークロードタイプごとに、それぞれのマシンカタログとデリバリーグループをCitrix Studioに作成しました。

クラウド管理者は、プリンターとデバイスのリダイレクトにCitrix ポリシーを適用して、会社のプリンターやドライブにアクセスしてデータ管理を行いました。

アクセス層:

CVAD-Image-25

オンプレミスGateway:

お客様は、各リージョンの各データセンターで、Citrix Gateway ADCのHAペアと2つのStoreFront サーバーを1つのグループに導入し、Citrix環境がユーザーにアクセスを許可しています。Citrix Gateway ADC経由でCitrixにアクセスできるようにするため、お客様は、3つのDNS完全修飾ドメイン名amrapps.company.com、eurapps.company.com、apjapps.company.com、およびapjapps.company.comを使用して、サードパーティのパブリック認証局からSSL証明書(SAN)を調達しています。

Citrix ADC管理者は、各リージョンでSSL証明書を使用してCitrix Gateway ADCを構成しています。これにより、企業のネットワーク管理者は、各地域のデータセンターで外部からCitrix 環境へのグローバル承認されたHTTPS(443)インバウンドアクセスを、URLごとに専用のパブリックIPを使用して有効にすることができます。

Citrix 環境へのアクセスに関する多要素認証要件を満たすために、お客様は既存のAzure-MFA(NPS-Plugin)ソリューションを使用することを選択します。各データセンターには、サービスの高可用性を確保するために、NPS-MFA サーバーが 2 台あります。ADC管理者は、各リージョンのCitrix Gateway のセッションポリシー(オンプレミスのStoreFront を指す)とともに、Azure MFA(プライマリとしてLDAP、セカンダリとしてAzure MFA)を使用して認証ポリシーを構成しています。

オンプレミス StoreFront:

Citrix 管理者は、2つのStoreFront サーバーを展開して、各データセンターでCitrix Gateway ADCと統合しています。管理者は、StoreFront に「VAD」という名前のストアを作成して、リソース列挙の認証設定とDelivery Controller を構成できるようにする追加設定を構成しました。管理者は、ストア構成内の各サイトのDelivery Controllerとして 2 つのCloud Connectorを追加しました。

Citrix URLhttps://amrapps.company.com にアクセスするユーザーは、ドメイン認証情報の入力を求められます。この認証情報は、NPS-MFA サーバーに対して検証されます。検証されると、ユーザーは次に、各ユーザーの MFA の設定に従って 2 番目の要素を入力するように求められます。

認証が成功すると、オンプレミスのStoreFront はCitrix Cloud Connector と通信してリソースを列挙します。Cloud Connectorは、クラウドでホストされるDelivery Controllerと通信し、リソースを列挙します。列挙が完了すると、ユーザーはStoreFront ページが表示され、割り当てられているアプリやデスクトップにアクセスできます。

ユーザーがアプリケーションまたはデスクトップを起動すると、Workspaceアプリを介して起動されるICAファイルが表示され、ユーザーシステムからオンプレミスのCitrix Gateway へのICA接続(SSL)が確立され、その後(ポート1494/2598で)このためにController によって割り当てられたVDAに接続で接続できます。接続に成功すると、HDXセッション(2598)が起動され、ユーザーに表示されます。

Citrix FQDNは各リージョンの各データセンターを指すため、他のリージョンでもワークフローは同じままです。

コントロールレイヤー: Delivery Controller、SQLデータベース、Studio、およびライセンスは、Citrixによってお客様にCitrix Cloud上でプロビジョニングされるコントロールレイヤーのコアコンポーネントです。管理者は、Citrix Cloudポータルにログインし、[Virtual Apps and Desktopsサービス]を選択してコンポーネントを管理できます。管理者がCitrix Cloudの「管理」ボタンを選択すると、Studioが起動して環境を管理できます。

Citrix Studioでは、各リージョンのデータセンターに対して、ホスト接続、マシンカタログ、デリバリーグループ、アプリケーション、ポリシーを構成できます。

各データセンターには、ハイパーバイザと通信して仮想マシンをプロビジョニングおよび管理するための専用ホスティング接続があります。管理者は、リージョンごとに別々のマシンカタログとデリバリーグループを作成しました。管理者は、それぞれのデリバリーグループのサブスクライバーを有効にして、ユーザーが自分のアプリやデスクトップにアクセスできるようにすることができました。

管理者は、[Virtual Apps デスクトップサービス]ページのCitrix Cloudポータルで[モニター]タブを選択して、Citrix Directorを開きます。これにより、企業管理者はCitrix CloudからCitrix 環境全体を監視できます。

CVAD-Image-26

リソースレイヤー: リソースレイヤーは、このデプロイメント内のすべてのCitrix ワークロードが存在する場所であり、Citrix Cloudのリソースロケーションと呼ばれます。

ハイブリッドCitrixワークロードをCitrix Cloudと統合するための出発点として、管理者は各データセンターのハイパーバイザーに2倍のWindows Server 2016仮想マシンをインストールし、Citrix Cloudに接続するために両方の仮想マシンにCitrix Cloud Connectorをインストールしました。

Cloud Connector のインストールでは、Citrix Cloud上にリソースの場所が作成され、ユーザー用のCitrix Cloudの認証ドメインとしてcustomer.comドメインも追加されました。

管理者は、Citrix Studioの助けを借りて、App Layering を使用して作成されたマスターイメージテンプレートを使用して、タスクワーカーにはCitrix Provisioning(PVS)を使用し、パワーワーカーにはMachine Creation Services(MCS)を使用し、Windows 10では仮想デスクトップをWindows Server 2016でデプロイしました。仮想デスクトップで、Hypervisor 上の Linux ユーザー向けMachine Creation Servicesを使用します。

これらの仮想マシンとともにインストールされたVirtual Delivery AgentはCloud Connectorに登録され、管理者はマシンカタログとデリバリーグループを作成して、ADセキュリティグループ(サブスクライバー)を使用してリージョン固有のユーザー用にデスクトップとアプリをプロビジョニング(ライブラリ)します。Citrix ポリシーは、Studioを使用してデリバリーグループに対して作成および割り当てられ、HDX接続の最適化とセキュリティ保護を行います。

CVAD-Image-27

プラットフォームレイヤー: お客様は、要件と設計上の決定に基づいて、Citrix ワークロードをホストするために必要なサーバーハードウェアを購入しました。設計上の決定ステップでは、他の地域の災害復旧状況に対応して処理するために 20% 以上のリソースを割り当てました。Citrix 管理者は、Citrix ワークロードをホストするハイパーバイザーをインストールしました。ネットワーク管理者は、新しい環境に必要なファイアウォールルールを有効にしました。ストレージ管理者は、適切なストレージを構成し、新しいCitrix 環境に割り当てることができました。

オペレーションレイヤー: リソースロケーション内のCitrix ワークロードを管理するために必要なツールまたはコンポーネントは、オペレーションレイヤーの対象となります。IT管理者は、Citrix ワークロードのユーザープロファイルを保存するために、各データセンターにファイルサーバークラスタを展開しています。

Citrix管理者は、Citrix Workspace Environment Managerサービスを使用して、Profile ManagementポリシーをWEMエージェントに適用しました。お客様は、VDAで最新のCitrix User Profile Managerを使用して、ユーザーのプロファイルをファイルサーバークラスターにマッピングすることを選択します。IT 管理者は、ユーザープロファイルとフォルダーリダイレクト用に専用のファイル共有と NFS 共有を作成しました。Profile Managementは、Citrix ワークロードを最適化し、高速なログインとログオフを実現します。

Citrix 管理者は、リソース管理ポリシーを適用して、VDAエージェントのCPUとメモリの使用率を最適化しました。クラウド管理者は Workspace Environment Manager を使用して、アプリケーションのセキュリティおよびプロセス管理ポリシーを適用して、エンドユーザーのアクティビティを制御します。

お客様は、リモートデスクトップサービス (RDS) クライアントアクセスライセンスサーバーを有効にして、リソースロケーションでVirtual Apps ワークロードの RDS ライセンスを発行しました。

各リージョンで複数のマスターイメージを管理し、OSとアプリケーションのパッチで各マスターイメージを更新するために、お客様は、「リソースの場所」にCitrix App Layering Managerを展開し、Citrix Cloud経由で管理プレーンを有効にすることに決めました。App Layering Service では、管理者はワークロード要件に従って OS レイヤー、プラットフォームレイヤー、アプリケーションレイヤーを作成しました。これらのレイヤーを組み合わせることで、管理者はCitrix ワークロードをプロビジョニングするためのマスターイメージテンプレートを作成しました。これにより、3 つのリージョンすべてのマスターイメージの作成と管理のプロセスが簡略化されました。

CVAD-Image-28

ディザスタリカバリ: リージョン内のディザスタが発生した場合、クラウド管理者は、アプリとデスクトップのアクセスに対して他のリージョンのサブスクライバーへのアクセスを有効にする必要があります。予約されたワークロードは、リージョンでの災害時に利用されます。このアクセスは、災害状況に対応するために、特定されたリソースに対してのみ有効になります。

識別されたユーザーは、新しいURLと災害時に必要なリソースにアクセスする方法を説明する手順で役立つ電子メールメッセージによって教育されます。

CVAD-Image-29

ソース

このリファレンス・アーキテクチャの目標は、独自の実装計画を支援することです。この作業を容易にするために、独自の詳細な設計および実装ガイドに適応できるソース図を提供します:ソース図

参照ドキュメント

Citrix Cloudのサインアッププロセス

リソースの場所

IDおよびアクセス管理

ライブラリオファリングとユーザー割り当て

Cloud Connector のインターネット接続要件

Citrix Cloud — ゾーン

ローカルホストキャッシュ

Cloud Connector の安全な導入

Cloud Connector とLHCのサイズ設定ガイドライン

Workspace構成

Citrix FAS

Citrix Gatewayサービス

Citrix Director

委任管理

Virtual Delivery Agent

ホスティング接続