製品の技術概要
XenAppおよびXenDesktopによる仮想化ソリューションにより、IT担当者は仮想マシン、アプリケーション、ライセンス、およびセキュリティを完全に制御でき、あらゆるデバイスからのアクセスを提供できます。
XenAppおよびXenDesktopでは、以下の機能が提供されます。
- エンドユーザーは、デバイスで動作するオペレーティングシステムやインターフェイスに依存せずにアプリケーションやデスクトップを実行できます。
- 管理者はネットワークを管理して、特定のデバイスまたはすべてのデバイスにアクセスを制御できます。
- 管理者は、単一のデータセンターからネットワーク全体を管理できます。
XenAppとXenDesktopでは「FlexCast Management Architecture(FMA)」と呼ばれる共通の統合アーキテクチャが使用されます。FMAにより、単一サイトで複数のバージョンのXenAppまたはXenDesktopを実行でき、プロビジョニング機能が統合されます。
主要なXenAppおよびXenDesktopコンポーネント
このトピックは、XenAppやXenDesktopの初心者に非常に役立ちます。6.x以前のXenAppファームまたはXenDesktop 5.6以前のサイトを使用している場合は、「7.xでの変更点」も参照してください。
次の図は、サイトと呼ばれる典型的な展開での主要なコンポーネントを示しています。
Delivery Controller:
Delivery Controllerは、XenAppまたはXenDesktopサイトでの中心的な管理コンポーネントです。各サイトには1つ以上のDelivery Controllerが必要で、データセンター内で動作する1つ以上のサーバー上にインストールします。サイトの信頼性および可用性を向上させるには、複数のサーバー上にControllerをインストールします。展開にハイパーバイザー上またはクラウドサービス上でホストされる仮想マシンが含まれる場合、Controllerサービスがそのハイパーバイザーまたはクラウドサービスと通信してアプリケーションやデスクトップを配信したり、ユーザーアクセスを認証および管理したり、ユーザーと仮想デスクトップやアプリケーションとの接続を仲介したり、接続を最適化して負荷を分散させたりします。
ControllerのBroker Serviceは、ログオンしているユーザー、ログオン先、ユーザーのセッションリソース、既存のアプリケーションへの再接続が必要かどうかを追跡します。Broker Serviceは、PowerShellコマンドレットを実行し、VDA上のTCPポート80でBroker Agentと通信します。TCPポート443を使用するオプションはありません。
Monitor Serviceは履歴データを収集して監視データベースに配置します。このサービスはTCPポート80または443を使用します。
Controllerサービスからのデータはサイトデータベースに格納されます。
Controllerは、仮想デスクトップの状態を管理してユーザーからの要求や管理構成に基づいてそれらを起動および停止します。一部のエディションでは、Profile Managementをインストールして、仮想化または物理的なWindows環境でユーザーの個人用設定を管理できます。
データベース:
XenAppまたはXenDesktopの各サイトでは、構成情報やセッション情報を格納するためのMicrosoft SQL Serverデータベースが少なくとも1つ必要です。このデータベースには、Controllerを構成する各サービスによって収集および管理されたデータが格納されます。データセンター内にデータベースをインストールして、Controllerと永続的に接続されるようにしてください。サイトは、構成ログデータベースおよび監視データベースも使用します。これらはデフォルトではサイトデータベースと同じ場所にインストールされますが、その場所は変更できます。
Virtual Delivery Agent(VDA):
サイトでユーザーが利用可能な各物理マシンおよび仮想マシン上にVDAをインストールします。これらのマシンでは、アプリケーションやデスクトップが配信されます。VDAにより、これらのマシンがControllerに登録され、ユーザーがこれらのマシンおよびマシン上でホストされるリソースを使用できるようになります。VDAは、マシンとユーザーデバイス間の接続を確立して、そのユーザーやセッションに必要なCitrixライセンスを検証して、適切なポリシーを適用します。
VDAは、VDA内のBroker Agentを介してController上のBroker Serviceとセッションに関する情報を送受信します。Broker Agentは複数のプラグインをホストし、リアルタイムデータを収集します。Studioは、TCPポート80でControllerと通信します。
「VDA」という語は、それがインストールされているマシンだけでなく、エージェントを指すためにもしばしば使用されます。
VDAは、Windowsサーバーおよびデスクトップオペレーティングシステムで利用できます。VDA for Windows Server OSでは、同時に複数のユーザーがそのサーバーに接続できます。VDA for Windows Desktop OSでは、デスクトップへの単一ユーザー接続のみが許可されます。Linux VDAも利用可能です。
Citrix StoreFront:
StoreFrontは、リソースをホストするサイトにアクセスするユーザーを認証して、ユーザーのデスクトップやアプリケーションのストアを管理します。StoreFrontにより、デスクトップやアプリケーションへのセルフサービスアクセスをユーザーに提供する「エンタープライズアプリケーションストア」がホストされます。また、ユーザーのアプリケーションのサブスクリプション、ショートカット名、およびその他のデータを追跡します。これにより、ユーザーが複数のデバイス間で一貫性のある操作を行えるようになります。
Citrix Receiver:
スマートフォン、タブレット、コンピューターなどのユーザーデバイスや仮想デスクトップなどのエンドポイント上にCitrix Receiverをインストールすると、アプリケーション、デスクトップ、および業務データへのすばやく安全なセルフサービスアクセスが提供されます。また、Windows、Web、およびSaaS(Software as a Service)アプリケーションへのオンデマンドアクセスも提供されます。Citrix Receiverソフトウェアをインストールできないデバイスでは、HTML5互換のWebブラウザーからCitrix Receiver for HTML5を使用してアクセスすることもできます。
Citrix Studio:
Studioは、XenAppおよびXenDesktopの展開の設定および管理を可能にする管理コンソールです。このコンソールにより、アプリケーションやデスクトップの配信を管理するための個別の管理コンソールが不要になります。Studioでは、環境のセットアップ、アプリケーションやデスクトップをホストするためのワークロードの作成、およびアプリケーションやデスクトップのユーザーへの割り当てを案内するさまざまなウィザードが提供されます。Studioでは、サイトのCitrixライセンスの割り当てや追跡も可能です。
Studioは、Controller上のBroker ServiceとTCPポート80経由で通信して、そこからの情報を表示します。
Citrix Director:
Directorは、ITサポート担当者やヘルプデスクのスタッフが環境の状態を監視して、重大な障害が生じる前にトラブルシューティングを講じたりエンドユーザーをサポートしたりするためのWebベースのツールです。Directorでは、複数のXenApp/XenDesktopサイトに接続して監視することができます。
Directorには次のものが表示されます:
ControllerのBroker Serviceのリアルタイムセッションデータ。Broker ServiceがVDAのブローカーエージェントから取得するデータが含まれます。
Controller上のMonitor Serviceからのサイト履歴データ。
HDX Insightが収集したNetScalerからのHDXトラフィック(「ICAトラフィック」とも呼ばれます)に関するデータ。HDX Insightが付属するXenAppまたはXenDesktopのエディションおよびNetScalerを使用する環境に限られます。
また、Windowsリモートアシスタンスを使用すると、Directorを介してユーザーのセッションを表示したり制御したりすることもできます。
Citrixライセンスサーバー:
ライセンスサーバーはCitrix製品のライセンスを管理します。Controllerと通信して各ユーザーセッションのライセンスを管理し、Studioと通信してライセンスファイルを割り当てます。少なくとも1台のライセンスサーバーを作成して、ライセンスファイルを格納および管理する必要があります。
ハイパーバイザーまたはクラウドサービス:
ハイパーバイザーまたはクラウドサービスは、サイトの仮想マシンをホストします。これには、アプリケーションやデスクトップをホストする仮想マシンだけでなく、XenAppやXenDesktopのコンポーネントをホストする仮想マシンも含まれます。ハイパーバイザーは、仮想マシンをホストする専用のコンピューター上にインストールします。
XenAppおよびXenDesktopは、さまざまなハイパーバイザーおよびクラウドサービスをサポートしています。
XenAppおよびXenDesktopの多くの展開ではハイパーバイザーが必要ですが、リモートPCアクセスを提供する場合はハイパーバイザーは必要ありません。Provisioning Services(PVS)を使用して仮想マシンをプロビジョニングする場合も、ハイパーバイザーは必要ありません。
詳細情報の参照先:
- ポートについて詳しくは、「ネットワークポート」を参照してください。
- データベースについて詳しくは、「データベース」を参照してください。
- XenAppおよびXenDesktopコンポーネントのWindowsサービスについて詳しくは、「ユーザー権利の構成」を参照してください。
- サポートされるハイパーバイザーとクラウドサービスについて詳しくは、「システム要件」を参照してください。
追加のコンポーネント
XenAppまたはXenDesktop展開では、上図に示されていない以下の追加コンポーネントを使用することもできます。詳しくは、それぞれのドキュメントを参照してください。
Provisioning Services(PVS):
PVSは、一部のエディションで利用可能なオプションコンポーネントです。仮想マシンをプロビジョニングするMCSの代替として使用できます。MCSがマスターイメージのコピーを作成するのに対し、PVSはマスターイメージをユーザーデバイスにストリーム配信します。PVSではハイパーバイザーが不要なため、物理マシンをホストすることができます。PVSはControllerと通信して、ユーザーにリソースを提供します。
NetScaler Gateway:
ユーザーが組織のファイアウォールの外側から接続する場合、XenAppおよびXenDesktopでCitrix NetScaler Gateway(旧称「Access Gateway」)技術を使用して接続をTLSで保護できます。NetScaler GatewayやNetScaler VPX仮想アプライアンスは非武装地帯(DMZ)に配置するSSL VPNアプライアンスで、企業ファイアウォールを介した安全な単一アクセスポイントを提供します。
NetScaler SD-WAN:
ブランチオフィスなどの遠隔拠点のユーザーがWANを介して仮想デスクトップに接続する環境では、Citrix NetScaler SD-WAN技術によりWAN接続のパフォーマンスを最適化できます(このテクノロジは、以前はCitrix CloudBridge、Branch Repeater、またはWANScalerでした)。リピーターによって、広域ネットワーク間でのパフォーマンスが向上します。ネットワーク内のリピーターによって、WAN接続でもLAN接続のようなユーザーエクスペリエンスが支店のユーザーに提供されます。NetScaler SD-WANでは、さまざまなユーザー操作に優先順位を付けることができます。たとえば、ネットワーク上で大きなファイルや印刷ジョブを送信する操作に高い優先度を割り当てて、遠隔地のユーザーがストレスなく作業できるようにします。HDX WANの最適化によりトークン化された圧縮およびデータ重複排除が提供され、帯域幅消費が減少してパフォーマンスが向上します。
典型的な展開方法
サイトは、スケーラビリティ、高可用性、およびフェールオーバーを実現する特定の役割を持ついくつかのマシンで構成され、計画的にセキュアなソリューションを提供します。サイトは、VDAがインストールされているサーバーマシンとデスクトップマシン、およびアクセスを管理するDelivery Controllerで構成されます。
VDAは、ユーザーがデスクトップやアプリケーションにアクセスすることを可能にするエージェントソフトウェアです。多くの場合、このコンポーネントはデータセンター内のサーバーまたはデスクトップマシン上にインストールされますが、リモートPCアクセス展開では社内の物理PC上にインストールされます。
Controllerは、リソース、アプリケーション、およびデスクトップを管理したりユーザー接続を最適化および負荷分散したりする、独立したいくつかのWindowsサービスで構成されます。各サイトには1つまたは複数のDelivery Controllerがあります。セッションは遅延、帯域幅、ネットワークの信頼性の影響を受けるため、すべてのControllerが同じLAN上にあることが理想的です。
ユーザーがControllerに直接アクセスすることはありません。ユーザーとController間の通信の中継点としてVDAが機能します。ユーザーがStoreFrontを使用してサイトにログオンすると、その資格情報はController上のBroker Serviceにパススルーされます。Broker Serviceは、設定されているポリシーに基づいてプロファイルと利用可能なリソースを取得します。
ユーザー接続を処理するしくみ
ユーザーがセッションを開始するには、ユーザーデバイス上にインストールされているCitrix Receiver、またはStoreFront Citrix Receiver for Webサイトを使用して接続します。
ユーザーは、使用する物理デスクトップまたは仮想デスクトップ、または仮想アプリケーションを選択します。
下図の経路で、Controllerにアクセスするためのユーザーの資格情報が転送されます。Controllerは、Broker Serviceと通信して必要なリソースを決定します。Citrix Receiverから送信される資格情報を暗号化で保護するために、StoreFront上にSSL証明書をインストールすることをお勧めします。
Broker Serviceにより、ユーザーがアクセスできるデスクトップやアプリケーションが決定されます。
資格情報の検証後、アクセス可能なデスクトップやアプリケーションの情報がStoreFrontとCitrix Receiver経由でユーザー側に返送されます。ユーザーがこのリストからアプリケーションまたはデスクトップを選択すると、その情報が同じ経路でControllerに送信されます。Controllerは、特定のアプリケーションまたはデスクトップをホストするための適切なVDAを決定します。
Controllerはユーザーの資格情報をメッセージとしてVDAに送信し、さらにユーザーと接続に関するすべてのデータをVDAに送信します。VDAが接続を受け入れて、同じ経路でCitrix Receiverに情報を返送します。必要なパラメーターのセットはStoreFrontで収集されます。収集されたパラメーターは、Receiver-StoreFront間でのプロトコル変換の一部として、またはIndependent Computing Architecture(ICA)ファイルに変換されダウンロードされて、Citrix Receiverに送信されます。サイトが正しく構成されている場合、ユーザーの資格情報はこれらの処理をとおして暗号化されたまま転送されます。
ICAファイルがユーザーデバイスにコピーされ、VDA上で実行されるICAスタックとの直接接続が確立されます。この接続により、管理インフラストラクチャ(Citrix Receiver、StoreFront、およびController)がバイパスされます。
Citrix ReceiverとVDA間の接続ではCitrix Gateway Protocol(CGP)が使用されます。接続が中断されても、セッション画面の保持機能により同じVDAに再接続されます。管理インフラストラクチャ経由でセッションを再起動する必要はありません。セッション画面の保持機能の有効または無効の設定はCitrixポリシーで行います。
クライアントがVDAに接続すると、VDAはユーザーがログオンしていることをControllerに通知します。Controllerはその情報をサイトデータベースに送信し、監視データベースにデータを記録し始めます。
データアクセスのしくみ
IT担当者は、各セッションにより提供されるデータにStudioやDirectorでアクセスできます。Studioを使用すると、管理者はBroker Agentからのリアルタイムデータにアクセスしてサイトを管理できます。Directorは、同じリアルタイムデータに加えて、監視データベースに格納されている履歴データにアクセスします。また、ヘルプデスクによるサポートとトラブルシューティングのためにNetScaler GatewayからのHDXデータにアクセスします。
Controller内では、Broker Serviceがリアルタイムデータを提供するマシン上の各セッションについてのセッションデータをレポートします。Monitor Serviceもこのリアルタイムデータを監視して、履歴データとして監視データベース内に格納します。
StudioはBroker Serviceのみと通信するため、リアルタイムデータのみにアクセスします。Directorは、Broker Serviceと(Broker Agent内のプラグイン経由で)通信してサイトデータベースにアクセスします。
また、DirectorはNetScaler Gatewayにもアクセスして、HDXデータの情報を取得します。
デスクトップおよびアプリケーションの配信:マシンカタログ、デリバリーグループ、およびアプリケーショングループ
アプリケーションおよびデスクトップを配信するマシンをマシンカタログにセットアップします。次に、(カタログにあるマシンの一部またはすべてを使用して)利用可能になり、ユーザーがアクセスできるアプリケーションおよびデスクトップを指定するデリバリーグループを作成します。
マシンカタログ:
マシンカタログとは、単一のエンティティとして管理される物理マシンまたは仮想マシンのグループを指します。これらのマシンおよびそのアプリケーションや仮想デスクトップは、ユーザーに提供する「リソース」です。カタログ内のすべてのマシンには、同じオペレーティングシステムおよびVDAがインストールされている必要があります。また、同じアプリケーションまたは仮想デスクトップがある必要があります。
通常、管理者はマスターイメージを作成して、それを基にカタログ内に同一構成の仮想マシンを作成します。仮想マシンの場合、Citrixツール(PVSまたはMCS)または他のツールから、そのカタログにあるマシンのプロビジョニング方法を指定できます。または、独自の既存イメージを使用することもできます。その場合、管理者は、サードパーティ製のESD(Electronic Software Delivery:電子ソフトウェア配信)ツールを使用してターゲットデバイスを個別または集合的に管理します。
有効なマシンの種類は以下のとおりです。
- サーバーOSマシン:サーバーオペレーティングシステムをベースとした仮想マシンまたは物理マシン。XenApp公開アプリケーション(「サーバーベースでホストされるアプリケーション」と呼ばれます)およびXenApp公開デスクトップ(「サーバーでホストされるデスクトップ」と呼ばれます)の配信に使用されます。これらのマシンには同時に複数のユーザーが接続できます。
- デスクトップOSマシン:デスクトップオペレーティングシステムをベースとした仮想マシンまたは物理マシン。VDIデスクトップ(オプションでパーソナライズ可)、VMでホストされるアプリケーション(デスクトップOSのアプリケーション)、およびホストされる物理デスクトップの配信に使用されます。これらの各デスクトップに一度にアクセスできるのは1人のユーザーのみです。
- リモートPCアクセス:リモートユーザーがCitrix Receiverが動作するあらゆるデバイスからオフィスの物理PCにアクセスできるようにします。オフィスのPCはXenDesktop環境を介して管理します。ユーザーデバイスはホワイトリストに指定する必要があります。
詳しくは、「マシンカタログの作成」を参照してください。
デリバリーグループ:
デリバリーグループは、どのマシンのどのアプリケーションやデスクトップをどのユーザーが使用できるかを指定します。デリバリーグループには、マシンカタログに記載されているマシンと、サイトへのアクセス権を持つActive Directoryユーザーが含まれています。Active Directoryグループとデリバリーグループは同様の要件に基づいてユーザーをグループ化する方法であるため、Active Directoryグループを使用してデリバリーグループにユーザーを割り当てることができます。
1つのデリバリーグループに複数のカタログからのマシンを含めることができ、1つのカタログからのマシンを複数のデリバリーグループで使用できます。ただし、1つのマシンが複数のデリバリーグループに属することはできません。
管理者は、デリバリーグループ内のユーザーがどのリソースにアクセスできるのかを定義します。たとえば、異なるアプリケーションを異なるユーザーに配信する場合、1つのマシンカタログのマスターイメージにそれらのすべてのアプリケーションをインストールしておき、複数のデリバリーグループに分配するための十分な数のマシンをそのカタログに作成します。次に、マシンにインストールされているアプリケーションの異なるサブセットが配信されるように各デリバリーグループを構成します。
詳しくは、「デリバリーグループの作成」を参照してください。
アプリケーショングループ:
アプリケーショングループは、さらに多くのデリバリーグループを使用するのに比べて、アプリケーション管理とリソース制御に利点をもたらします。タグ制約機能を使用すると、複数の公開タスクに既存のマシンを使用できるので、追加のマシンを展開、管理するコストを節約できます。タグ制約は、デリバリーグループのマシンをさらに分割(またはパーティション化)するものと考えることができます。また、アプリケーショングループを使用すると、デリバリーグループ内のマシンのサブセットを分離してトラブルシューティングするときに便利です。
詳しくは、「アプリケーショングループの作成」を参照してください。