Citrix Cloud
感谢您提供反馈

这篇文章已经过机器翻译.放弃

系统和连接要求

Citrix Cloud 提供管理功能(通过 Web 浏览器)和操作请求(来自其他已安装的组件),以连接到部署中的资源。 本文介绍了系统要求、所需的可联系 Internet 地址以及在您的资源和 Citrix Cloud 之间建立连接的注意事项。

系统要求

Citrix Cloud 要求以下最低配置:

  • Active Directory 域
  • 两台加入您的域的物理机或虚拟机,用于 Citrix Cloud Connector。 有关更多信息,请参阅 Citrix Cloud Connector 技术详细信息
  • 加入您的域的物理机或虚拟机,用于托管工作负载和其他组件,例如 StoreFront。 有关特定服务的系统要求的更多信息,请参阅每个服务的 Citrix 文档。

有关规模和大小要求的信息,请参阅 云连接器的规模和大小注意事项

支持的 Web 浏览器

  • 最新版本的 Google Chrome
  • 最新版本的 Mozilla Firefox
  • 最新版本的 Microsoft Edge
  • 最新版本的 Apple Safari

传输层安全性要求

Citrix Cloud 支持组件之间基于 TCP 的连接的传输层安全性 (TLS) 1.2。 Citrix Cloud 不允许通过 TLS 1.0 或 TLS 1.1 进行通信。

要访问 Citrix Cloud,您必须使用支持 TLS 1.2 并已配置接受密码套件的浏览器。 有关更多信息,请参阅 加密和密钥管理

Citrix Cloud 管理控制台

Citrix Cloud 管理控制台是一个基于 Web 的控制台,您可以在 https://citrix.cloud.com登录后访问。 组成控制台的网页可能需要互联网上的其他资源,无论是在登录时还是在稍后执行特定操作时。

代理配置

如果您通过代理服务器连接,管理控制台将使用与您的 Web 浏览器相同的配置进行运行。 控制台在用户环境中运行,因此任何需要用户身份验证的代理服务器配置都应按预期工作。

防火墙配置

为了使管理控制台运行,必须打开端口 443 以进行出站连接。 您可以通过在控制台内导航来测试一般连接。 有关所需端口的更多信息,请参阅 入站和出站端口配置

控制台通知

管理控制台使用 Pendo 显示关键警报、有关新功能的通知以及某些功能和服务的产品内指南。 为了确保您可以在管理控制台内查看 Pendo 内容,Citrix 建议可以访问地址 https://citrix-cloud-content.customer.pendo.io/

显示 Pendo 内容的服务包括:

  • Citrix Analytics
  • Citrix DaaS
  • Citrix Workspace

Pendo 是 Citrix 用于向 Citrix 客户提供云和支持服务的第三方子处理器。 有关这些子处理器的完整列表,请参阅 Citrix Cloud 的子处理器 & 支持服务和 Citrix 附属公司

会话超时

管理员登录 Citrix Cloud 后,管理控制台会话将在 72 小时后超时。 无论控制台是否活动,都会发生此超时。

可配置控制台不活动超时

作为具有完全访问权限的管理员,您可以配置管理员自动注销之前在 Citrix Cloud 控制台上的不活动持续时间。 配置完成后,指定的超时期限将应用于 Citrix Cloud 帐户的所有管理员。

控制台不活动超时

启用该功能后,管理员将在配置的不活动时间后注销,并且会话超时将在每次后续登录时重置。

当该功能被禁用时,没有不活动计时器,并且仅当达到 72 小时会话限制时,管理员才会被注销。

注意:

  • 默认情况下,此功能被禁用。
  • 可配置的不活动超时时间为 10 分钟至 12 小时。
  • 默认不活动超时为 60 分钟。

使用 Citrix Cloud 注册许可证服务器

如果您正在将本地 Citrix 许可证服务器注册到 Citrix Cloud 以 监控本地部署的使用情况,请确保可以联系以下地址:

  • https://trust.citrixnetworkapi.net (用于检索代码)
  • https://trust.citrixworkspacesapi.net/ (用于确认许可证服务器已注册)
  • https://cis.citrix.com (用于数据上传)
  • https://core-eastus-release-a.citrixworkspacesapi.net
  • https://core.citrixworkspacesapi.net
  • ocsp.digicert.com port 80
  • crl3.digicert.com port 80
  • crl4.digicert.com port 80
  • ocsp.entrust.net port 80
  • crl.entrust.net port 80

如果您将代理服务器与 Citrix 许可证服务器一起使用,请确保代理服务器按照许可产品文档中的 配置代理服务器 中的说明进行配置。

Citrix Cloud Connector

Citrix Cloud Connector 是一个软件包,用于部署一组在 Microsoft Windows 服务器上运行的服务。 托管 Cloud Connector 的计算机位于您与 Citrix Cloud 一起使用的资源所在的网络内。 Cloud Connector 连接到 Citrix Cloud,允许其根据需要操作和管理您的资源。

有关安装 Cloud Connector 的要求,请参阅 系统要求。 为了运行,Cloud Connector 需要端口 443 上的出站连接。 安装后,Cloud Connector 可能有其他访问要求,具体取决于与其一起使用的 Citrix Cloud 服务。

托管 Cloud Connector 的机器必须与 Citrix Cloud 具有稳定的网络连接。 网络组件必须支持 HTTPS 和长寿命安全 Web 套接字。 如果在网络组件中配置了超时,则超时时间必须大于 2 分钟。

要帮助解决 Cloud Connector 与 Citrix Cloud 之间的连接问题,请使用 Cloud Connector 连接检查实用程序。 此实用程序在 Cloud Connector 机器上运行一系列检查,以验证它可以访问 Citrix Cloud 和相关服务。 如果您在环境中使用代理服务器,则所有连接检查都将通过代理服务器进行。 要下载该实用程序,请参阅 Citrix 支持知识中心中的 CTX260337

Cloud Connector 公共服务连接要求

从您的数据中心连接到 Internet 需要打开端口 443 以便建立出站连接。 但是,要在包含 Internet 代理服务器或防火墙限制的环境中进行操作,可能需要进一步进行配置。 有关详细信息,请参阅 Cloud Connector 代理和防火墙配置

本文中每个服务的地址都必须可联系才能正确操作和使用该服务。 以下列表包括大多数 Citrix Cloud 服务通用的地址:

  • https://*.citrixworkspacesapi.net (提供对服务使用的 Citrix Cloud API 的访问)
  • https://*.cloud.com (提供对 Citrix Cloud 登录界面的访问)
  • https://*.blob.core.windows.net (提供对 Azure Blob Storage 的访问,用于存储 Citrix Cloud Connector 的更新)
  • https://*.servicebus.windows.net (提供对 Azure 服务总线的访问,用于日志记录和 Active Directory 代理)

这些地址仅作为域名提供,因为 Citrix Cloud 服务是动态的,并且其 IP 地址会定期更改。

作为最佳实践,使用组策略来配置和管理这些地址。 此外,仅配置适用于您和您的最终用户正在使用的服务的地址。

如果您使用 Citrix Cloud 与 Citrix 许可证服务器 注册您的本地产品,请参阅本文中的 使用 Citrix Cloud 注册许可证服务器 ,以获取其他所需的联系地址。

Cloud Connector 允许的 FQDN

为了帮助您确保所有必需的完全限定域名 (FQDN) 都可以通过防火墙,Citrix 提供了以下资源:

配置防火墙时,请查阅这两种资源来验证您的服务部署所需的 FQDN 是否被允许。

本地主机缓存(高可用性服务)

在连接器中使用本地主机缓存 (LHC) 时,请确保连接器可以到达资源位置中每个其他连接器的选举端点。 选举端点位于端口 80,可以通过以下 URL 访问: http://<FQDN_OR_IP_OF_PEER_CONNECTOR>/Citrix/CdsController/ISecondaryBrokerElection

如果连接器无法在此地址进行通信,则会在 LHC 事件期间选出多个代理,这可能导致间歇性虚拟应用程序和桌面启动失败。 有关更多信息,请参阅 具有多个云连接器的资源位置

自适应身份验证

使用 Cloud Connector 连接到自适应身份验证服务时,必须允许 Citrix Cloud Connector 访问为自适应身份验证实例保留的域或 URL。 例如,允许 https://aauth.xyz.com。 有关更多信息,请参阅 自适应身份验证

允许列表.json

allowlist.json 文件位于 https://fqdnallowlistsa.blob.core.windows.net/fqdnallowlist-commercial/allowlist.json 并列出了 Cloud Connector 访问的 FQDN。 此列表按产品分组,并包含每组 FQDN 的变更日志。

其中一些 FQDN 特定于客户,并包含尖括号中的模板部分。 这些模板部分在使用前必须用实际值替换。 例如,对于 <CUSTOMER_ID>.xendesktop.net,请将 <CUSTOMER_ID> 替换为您的 Citrix Cloud 帐户的实际客户 ID。 您可以在以下控制台位置找到客户 ID:

  • 在屏幕的右上角,位于您的 Citrix Cloud 帐户的客户名称下方。

    突出显示客户 ID 的 Citrix Cloud 控制台

  • 在帐户设置页面的 Citrix Cloud 客户 ID (CCID)下。

    帐户设置页面,其中突出显示了客户 ID

  • 安全客户端 选项卡 身份和访问管理 > API 访问 > 安全客户端上。

    安全客户页面,其中突出显示了客户 ID

网关服务接入点

allowlist.json 文件中包含的一些 FQDN 也包含在 CTX270584:Citrix Gateway 服务 - 接入点 (PoP)中。 但是,CTX270584 还包括客户端访问的 FQDN,例如:

  • 全球-sgnssvc.net
  • azure-sgnssvc.net

证书验证

Cloud Connector 二进制文件和 Cloud Connector 联系的端点受在安装软件时进行验证的 X.509 证书保护。 为了验证这些证书,每个 Cloud Connector 机器都必须满足特定的要求。 有关这些要求的完整列表,请参阅 证书验证要求

SSL 解密

在某些代理上启用 SSL 解密可能会导致 Cloud Connector 无法成功连接到 Citrix Cloud。 有关解决此问题的更多信息,请参阅 CTX221535

适用于云服务的 Citrix Connector 设备

连接器设备 是一种可以在虚拟机管理程序中部署的设备。 托管 Connector Appliance 的虚拟机管理程序位于 Citrix Cloud 使用的资源所在的网络内。 Connector Appliance 连接到 Citrix Cloud,允许其根据需要操作和管理您的资源。

有关安装 Connector Appliance 的要求,请参阅 系统要求

为了运行,Connector Appliance 需要端口 443 上的出站连接。 但是,要在包含 Internet 代理服务器或防火墙限制的环境中进行操作,可能需要进一步进行配置。

为了正确操作和使用 Citrix Cloud 服务,必须可以联系以下地址:

  • https://*.cloud.com
  • https://*.citrixworkspacesapi.net
  • https://*.citrixnetworkapi.net
  • https://*.*.nssvc.net

    无法启用所有子域的客户可以改用以下地址

    • https://*.g.nssvc.net
    • https://*.c.nssvc.net
  • https://*.servicebus.windows.net
  • https://iwsprodeastusuniconacr.azurecr.io
  • https://iwsprodeastusuniconacr.eastus.data.azurecr.io

网络要求

确保您的 Connector Appliance 环境具有以下配置:

  • 网络允许 Connector Appliance 使用 DHCP 获取 DNS 和 NTP 服务器、IP 地址、主机名和域名,或者您可以在 Connector Appliance 控制台中手动设置网络设置。
  • 网络未配置为使用 Connector Appliance 内部使用的链路本地 IP 范围 169.254.0.1/24、169.254.64.0/18 或 169.254.192.0/18。
  • 虚拟机管理程序时钟设置为协调世界时 (UTC) 并与时间服务器同步,或者 DHCP 向 Connector Appliance 提供 NTP 服务器信息。
  • 如果将代理与 Connector Appliance 配合使用,则该代理必须未经身份验证或使用基本身份验证。

Citrix Analytics 服务连接

  • 对于包括新功能和关键通信在内的产品内消息: https://citrix-cloud-content.customer.pendo.io/
  • 额外要求: 先决条件

有关将数据源加入服务的更多信息,请参阅 支持的数据源

控制台服务连接

有关完整的 Internet 连接要求,请参阅 NetScaler 产品文档中的 支持的端口

Citrix DaaS 服务连接

Citrix 资源位置/Cloud Connector:

  • Cloud Connector 公共服务连接要求
  • https://[customerid].xendesktop.net, where [customerid] is the customer ID parameter displayed on the Secure Clients tab (Identity and Access Management > API Access > Secure Clients) of the Citrix Cloud management console.
    • 使用 Citrix Virtual Apps Essentials 的客户需要改用 https://*.xendesktop.net
  • 使用 快速部署 安装 Citrix DaaS 的客户需要使这些附加地址可联系:
  • https://*.*.nssvc.net
    • 无法启用所有子域名的客户可以使用以下地址:
      • https://*.g.nssvc.net
      • https://*.c.nssvc.net

有关 Cloud Connector 如何与服务通信的概述,请参阅 Citrix Tech Zone 网站上的 Citrix DaaS 图表

管理控制台:

  • https://*.citrixworkspacesapi.net (Rendezvous 协议不需要)
  • https://*.citrixnetworkapi.net (Rendezvous 协议不需要)
  • https://*.cloud.com (Rendezvous 协议不需要)
  • https://[customerid].xendesktop.net, where [customerid] is the customer ID parameter displayed on the Secure Clients tab (Identity and Access Management > API Access > Secure Clients) of the Citrix Cloud management console.
    • 使用 Citrix Virtual Apps Essentials 的客户需要改用 https://*.xendesktop.net
  • https://*.*.nssvc.net (Not required for Citrix DaaS Standard for Azure)
    • 无法启用所有子域的客户可以改用以下地址:
      • https://*.g.nssvc.net
      • https://*.c.nssvc.net
  • 对于包括新功能和关键通信在内的产品内消息: https://citrix-cloud-content.customer.pendo.io/

会合协议

使用 Citrix Gateway 服务时,Rendezvous 协议允许 VDA 绕过 Citrix Cloud Connectors 直接安全地连接 Citrix Cloud 控制平面。

无论您使用哪个协议版本,VDA 都必须能够联系上面列出的管理控制台的地址,除非另有说明。 有关 Rendezvous 协议要求的完整列表,请参阅 Citrix DaaS 产品文档的以下部分:

本地主机缓存要求

如果您的防火墙执行数据包检查并且您想要使用本地主机缓存功能,请确保您的防火墙接受 XML 和 SOAP 流量。 此功能需要能够下载 MDF 文件,这在 Cloud Connector 与 Citrix Cloud 同步配置数据时会发生。 这些文件通过 XML 和 SOAP 流量传送到云连接器。 如果防火墙阻止此流量,则 Cloud Connector 和 Citrix Cloud 之间的同步将失败。 如果发生中断,用户将无法继续工作,因为 Cloud Connector 上的配置数据已过时。

有关此功能的更多信息,请参阅 Citrix DaaS 产品文档中的 本地主机缓存

VDA 升级要求

使用 Citrix DaaS 的完整配置界面,您可以按目录或按机器升级 VDA。 您可以立即或在预定的时间升级它们。 有关 VDA 升级功能的更多信息,请参阅 使用完整配置界面升级 VDA。

使用该功能时,请确保满足以下连接要求:

  • 以下 Azure CDN URL 已添加到允许列表。 该功能从 Azure CDN 端点下载 VDA 安装程序。

    • 生产 - 美国 (US): https://prod-us-vus-storage-endpoint.azureedge.net/*
    • 生产 - 欧盟 (EU): https://prod-eu-vus-storage-endpoint.azureedge.net/*
    • 生产 - 亚太南部 (APS): https://prod-aps-vus-storage-endpoint.azureedge.net/*
    • 生产 - 日本 (JP): https://prod-jp-vus-storage-endpoint.azureedge.net/*
  • 该功能可验证 VDA 安装程序是否由有效证书签名。 确保已将以下 URL 添加到证书有效性和撤销检查的允许列表中:

    • http://crl3.digicert.com/*
    • http://crl4.digicert.com/*
    • http://ocsp.digicert.com/*
    • http://cacerts.digicert.com/*
  • 该功能需要 VDA 升级代理才能运行。 在 VDA 上运行的 VDA 升级代理与 Citrix DaaS 通信。 确保以下 URL 已添加到允许列表中:

    • https://[customerId].xendesktop.net/citrix/VdaUpdateService/*,其中 [customerid] 是 Citrix Cloud 管理控制台的 安全客户端 选项卡(身份和访问管理 > API 访问 > 安全客户端)上显示的客户 ID 参数。
    • http://xendesktop.net/citrix/VdaUpdateService/*

端点管理服务连接

Citrix 资源位置/Cloud Connector:

管理控制台:

Citrix Gateway 服务连接

重要:

无法对 Citrix Gateway 地址执行 SSL 拦截。 在某些代理上启用 SSL 拦截可能会导致 Cloud Connector 无法成功连接到 Citrix Cloud。

NetScaler 智能流量管理服务连接

  • https://*.cedexis-test.com
  • https://*.citm-test.com
  • https://cedexis.com
  • https://cedexis-radar.net

SD-WAN Orchestrator 服务连接

有关完整的 Internet 连接要求,请参阅 Citrix SD-WAN Orchestrator 服务使用的先决条件

远程浏览器隔离(以前称为安全浏览器)服务连接

Citrix 资源位置/Cloud Connector:

Cloud Connector 公共服务连接要求

管理控制台:

  • https://*.cloud.com
  • https://*.citrixworkspacesapi.net
  • https://browser-release-a.azureedge.net
  • https://browser-release-b.azureedge.net

Citrix Secure Private Access 服务连接

  • https://*.netscalergateway.net
  • https://*.*.nssvc.net
    • 无法启用所有子域名的客户可以使用以下地址:
      • https://*.g.nssvc.net
      • https://*.c.nssvc.net

Citrix Workspace 服务连接

  • https://*.cloud.com
  • https://*.citrixdata.com
  • 对于包括新功能和关键通信在内的产品内消息: https://citrix-cloud-content.customer.pendo.io/

全局应用程序配置服务连接

https://discovery.cem.cloud.us

有关此服务的更多信息,请参阅以下资源:

Citrix Workspace 应用程序连接

将以下 URL 添加到您的允许列表:

  • https://*.cloud.com
  • 身份提供者地址。 请参阅相应身份提供者文档中的说明。
  • https://*.wsp.cloud.com

对于特定的 URL,允许访问以下地址:

  • <yourcustomer>.cloud.com

Citrix 安全私有访问

  • ngspolicy.netscalergateway.net
  • config.netscalergateway.net
  • app.netscalergateway.net
  • http://tunnel.netscalergateway.net/

全局应用配置服务

请参阅本文中的 全局应用程序配置服务连接

验证

  • accounts.cloud.com
  • accounts-dsauthweb.cloud.com

确保您的身份提供商 URL 也可以从最终用户设备访问。

Citrix Analytics 服务

  • locus.analytics.cloud.com

根据您的位置,从以下列表中启用对相应 URL 的访问:

  • 美国: citrixanalyticseh.servicebus.windows.net
  • 欧盟: citrixanalyticseheu.servicebus.windows.net
  • APS: citrixanalyticsehaps.servicebus.windows.net

工作区图形界面资产

  • ctx-ws-assets.cloud.com

个性化、通知和功能推出

  • customer-interface-personalization.us.wsp.cloud.com
  • user-personalization.us.wsp.cloud.com
  • admin-notification.us.wsp.cloud.com
  • customer-interface-personalization.eu.wsp.cloud.com
  • user-personalization.eu.wsp.cloud.com
  • admin-notification.eu.wsp.cloud.com
  • customer-interface-personalization.ap-s.wsp.cloud.com
  • user-personalization.ap-s.wsp.cloud.com
  • admin-notification.ap-s.wsp.cloud.com
  • feature-rollout.us.wsp.cloud.com
  • feature-rollout.eu.wsp.cloud.com
  • feature-rollout.ap-s.wsp.cloud.com

设备注册服务

  • device-registration.us.wsp.cloud.com
  • device-registration.eu.wsp.cloud.com
  • device-registration.ap-s.wsp.cloud.com

推送通知服务

  • push-events-signalr.us.wsp.cloud.com
  • push-events-signalr.eu.wsp.cloud.com
  • push-events-signalr.ap-s.wsp.cloud.com

Citrix Gateway 服务

  • https://*.g.nssvc.net

使用 Citrix 联合身份验证服务 (FAS) 进行工作区单点登录

控制台和 FAS 服务分别使用用户帐户和网络服务帐户访问以下地址。

  • FAS 管理控制台,在用户帐户下:
    • https://*.cloud.com
    • https://*.citrixworkspacesapi.net
    • https://*.citrixnetworkapi.net/
    • 如果您的环境中使用了第三方身份提供商,则需要该提供商的地址
  • FAS 服务,在网络服务帐户下:
    • https://*.citrixworkspacesapi.net
    • https://*.citrixnetworkapi.net/

如果您的环境包含代理服务器,请使用 FAS 管理控制台的地址配置用户代理。 此外,请确保网络服务帐户的地址配置适合您的环境。

如果您使用 Active Directory 或 Active Directory 和基于时间的一次性密码 (TOTP) 作为 Citrix Workspace 应用程序的身份提供者,则还必须将 login.cloud.com列入白名单。 如果您使用其他身份提供商,请单独允许身份提供商 URL。

CAS 事件中心 URL 也具有地理位置特异性。 citrixanalyticseh-alias.servicebus.windows.net

工作区环境管理服务连接

Citrix 资源位置/Cloud Connector/代理:

https://*.wem.cloud.com

有关完整要求,请参阅工作区环境管理服务文档中的 连接先决条件

本内容的正式版本为英文版。部分 Cloud Software Group 文档内容采用了机器翻译,仅供您参考。Cloud Software Group 无法控制机器翻译的内容,这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性,或者您的 Cloud Software Group 产品或服务沿用了任何机器翻译的内容,我们均不作任何明示或暗示的保证,并且适用的最终用户许可协议或服务条款或者与 Cloud Software Group 签订的任何其他协议(产品或服务与已进行机器翻译的任何文档保持一致)下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题,Cloud Software Group 不承担任何责任。