Citrix Cloud

系统和连接要求

Citrix Cloud 提供管理功能(通过 Web 浏览器)和操作请求(来自其他已安装组件),这些功能和请求连接到部署中的资源。本文介绍了系统要求、所需的可联系 Internet 地址以及建立资源与 Citrix Cloud 之间连接的注意事项。

系统要求

Citrix Cloud 需要以下最低配置:

  • 一个 Active Directory 域
  • 两台已加入域的物理或虚拟机,用于 Citrix Cloud Connector。有关详细信息,请参阅Citrix Cloud Connector 技术详细信息
  • 已加入域的物理或虚拟机,用于托管工作负载和其他组件,例如 StoreFront。有关特定服务的系统要求,请参阅各服务的 Citrix 文档。

有关规模和大小要求的信息,请参阅Cloud Connector 的规模和大小注意事项

支持的 Web 浏览器

  • 最新版 Google Chrome
  • 最新版 Mozilla Firefox
  • 最新版 Microsoft Edge
  • 最新版 Apple Safari

传输层安全性要求

Citrix Cloud 支持传输层安全性 (TLS) 1.2,用于组件之间的基于 TCP 的连接。Citrix Cloud 不允许通过 TLS 1.0 或 TLS 1.1 进行通信。

要访问 Citrix Cloud,必须使用支持 TLS 1.2 并配置了已接受的密码套件的浏览器。有关详细信息,请参阅加密和密钥管理

Citrix Cloud 管理控制台

Citrix Cloud 管理控制台是一个基于 Web 的控制台,您可以在登录 https://citrix.cloud.com 后访问它。构成控制台的网页可能需要 Internet 上的其他资源,无论是在登录时还是在稍后执行特定操作时。

代理配置

如果通过代理服务器连接,管理控制台将使用应用于 Web 浏览器的相同配置进行操作。控制台在用户上下文中运行,因此任何需要用户身份验证的代理服务器配置都应按预期工作。

防火墙配置

要使管理控制台正常运行,必须为出站连接打开端口 443。您可以通过在控制台内导航来测试常规连接。有关所需端口的详细信息,请参阅入站和出站端口配置

控制台通知

管理控制台使用 Pendo 显示关键警报、新功能通知以及某些功能和服务的应用内指导。为确保您可以在管理控制台中查看 Pendo 内容,Citrix 建议地址 https://citrix-cloud-content.customer.pendo.io/ 可联系。

显示 Pendo 内容的服务包括:

  • Citrix Analytics
  • Citrix DaaS
  • Citrix Workspace

Pendo 是 Citrix 用于向 Citrix 客户提供云和支持服务的第三方子处理器。有关这些子处理器的完整列表,请参阅Citrix Cloud 和支持服务以及 Citrix 附属公司的子处理器

会话超时

管理员登录 Citrix Cloud 后,管理控制台会话将在 72 小时后超时。无论控制台活动如何,都会发生此超时。

可配置的控制台不活动超时

作为完全访问权限管理员,您可以配置 Citrix Cloud 控制台上的不活动持续时间,在此持续时间之后管理员将自动注销。配置后,指定的超时期限将应用于 Citrix Cloud 帐户的所有管理员。

控制台不活动超时

启用此功能后,管理员将在配置的不活动期限后注销,并且会话超时将在每次后续登录时重置。

禁用此功能后,没有不活动计时器,管理员只会在达到 72 小时会话限制时注销。

注意:

  • 默认情况下,此功能处于禁用状态。
  • 可配置的不活动超时时间为 10 分钟到 12 小时。
  • 默认不活动超时时间为 60 分钟。

许可证服务器与 Citrix Cloud 的连接

如果您正在将本地 Citrix License Server 注册到 Citrix Cloud 以监控本地部署的使用情况,请确保以下地址可联系:

  • https://trust.citrixnetworkapi.net(用于检索代码)
  • https://trust.citrixworkspacesapi.net/(用于确认许可证服务器已注册)
  • https://cis.citrix.com(用于数据上传)
  • https://core.citrixworkspacesapi.net
  • ocsp.digicert.com port 80
  • crl3.digicert.com port 80
  • crl4.digicert.com port 80
  • ocsp.entrust.net port 80
  • crl.entrust.net port 80

如果您正在将代理服务器与 Citrix License Server 配合使用,请确保按照许可产品文档中配置代理服务器的说明配置代理服务器。

Citrix Cloud Connector

Citrix Cloud Connector 是一个软件程序包,它部署了一组在 Microsoft Windows 服务器上运行的服务。托管 Cloud Connector 的计算机位于您与 Citrix Cloud 配合使用的资源所在的网络中。Cloud Connector 连接到 Citrix Cloud,使其能够根据需要操作和管理您的资源。

有关安装 Cloud Connector 的要求,请参阅系统要求。要运行,Cloud Connector 需要端口 443 上的出站连接。安装后,Cloud Connector 可能需要额外的访问权限,具体取决于其所使用的 Citrix Cloud 服务。

托管 Cloud Connector 的计算机必须与 Citrix Cloud 具有稳定的网络连接。网络组件必须支持 HTTPS 和长寿命安全 Web 套接字。如果在网络组件中配置了超时,则必须大于 2 分钟。

有关排查 Cloud Connector 和 Citrix Cloud 之间连接问题的帮助,请使用 Cloud Connector 连接检查实用程序。此实用程序在 Cloud Connector 计算机上运行一系列检查,以验证其是否可以访问 Citrix Cloud 和相关服务。如果您在环境中使用了代理服务器,则所有连接检查都将通过代理服务器进行隧道传输。要下载该实用程序,请参阅 Citrix 支持知识中心中的 CTX260337

Cloud Connector 常见服务连接要求

从数据中心连接到 Internet 需要打开端口 443 以进行出站连接。但是,要在包含 Internet 代理服务器或防火墙限制的环境中运行,可能需要进一步配置。有关详细信息,请参阅Cloud Connector 代理和防火墙配置

本文中每个服务的地址都必须可联系,才能正常运行和使用该服务。以下列表包含大多数 Citrix Cloud 服务通用的地址:

  • https://*.citrixworkspacesapi.net(提供对服务使用的 Citrix Cloud API 的访问)
  • https://*.cloud.com(提供对 Citrix Cloud 登录界面的访问)
  • https://*.blob.core.windows.net(提供对 Azure Blob 存储的访问,该存储存储 Citrix Cloud Connector 的更新)
  • https://*.servicebus.windows.net(提供对 Azure Service Bus 的访问,该服务用于日志记录和 Active Directory 代理)

这些地址仅作为域名提供,因为 Citrix Cloud 服务是动态的,其 IP 地址会定期更改。

最佳做法是,使用组策略配置和管理这些地址。此外,仅配置适用于您和您的最终用户正在使用的服务的地址。

如果您正在将 Citrix Cloud 与 Citrix License Server 配合使用以注册本地产品,请参阅本文中的许可证服务器与 Citrix Cloud 的连接以获取其他所需的可联系地址。

Cloud Connector 允许的 FQDN

为了帮助您确保所有必需的完全限定域名 (FQDN) 都通过防火墙,Citrix 提供了以下资源:

配置防火墙时,请查阅这两个资源,以验证您的服务部署所需的 FQDN 是否已允许。

本地主机缓存(高可用性服务)

在连接器中使用本地主机缓存 (LHC) 时,请确保连接器可以访问资源位置中所有其他连接器的选举端点。选举端点位于端口 80,可以通过以下 URL 访问:http://<FQDN_OR_IP_OF_PEER_CONNECTOR>/Citrix/CdsController/ISecondaryBrokerElection

如果连接器无法在此地址进行通信,则在 LHC 事件期间会选举多个代理,这可能导致间歇性虚拟应用程序和桌面启动失败。有关详细信息,请参阅具有多个 Cloud Connector 的资源位置

自适应身份验证

当使用 Cloud Connector 连接到自适应身份验证服务时,必须允许 Citrix Cloud Connector 访问您为自适应身份验证实例保留的域或 URL。例如,允许 https://aauth.xyz.com。有关详细信息,请参阅自适应身份验证

Allowlist.json

在可能的情况下,建议使用Cloud Connector 常见服务连接要求中提供的“通配符”地址执行白名单操作。但是,如果无法做到这一点,请参阅位于 https://fqdnallowlistsa.blob.core.windows.net/fqdnallowlist-commercial/allowlist.json 的 allowlist.json 文件,该文件列出了 Cloud Connector 访问的完全限定域名 (FQDN)。此列表按产品分组。如果多个产品需要 FQDN,则它们包含在文档的“连接器通用”部分中。

allowlist.json 文件可能会更改。如果您正在使用 allowlist.json,定期检查文件更改并确保防火墙或代理保持最新状态非常重要。该文件包含每个 FQDN 组的更改日志。allowlist.json 的重要更改通知将通过 Citrix Cloud 控制台通知,如有必要,还会通过电子邮件直接通知管理员。

其中一些 FQDN 特定于客户,并包含用尖括号括起来的模板化部分。这些模板化部分在使用前必须替换为实际值。例如,对于 <CUSTOMER_ID>.xendesktop.net,您将 <CUSTOMER_ID> 替换为您的 Citrix Cloud 帐户的实际客户 ID。您可以在以下控制台位置找到客户 ID:

  • 在屏幕右上角,您的 Citrix Cloud 帐户的客户名称下方。

    Citrix Cloud 控制台,突出显示客户 ID

  • 在“帐户设置”页面上,在 Citrix Cloud 客户 ID (CCID) 下。

    帐户设置页面,突出显示客户 ID

  • 在“安全客户端”选项卡 身份和访问管理 > API 访问 > 安全客户端上。

    安全客户端页面,突出显示客户 ID

Gateway Service 存在点

allowlist.json 文件中包含的一些 FQDN 也包含在 CTX270584: Citrix Gateway Service – 存在点 (PoP) 中。但是,CTX270584 还包括客户端访问的 FQDN,例如:

  • global-s.g.nssvc.net
  • azure-s.g.nssvc.net

证书验证

Cloud Connector 二进制文件和 Cloud Connector 联系的端点受 X.509 证书保护,这些证书在软件安装时进行验证。要验证这些证书,每台 Cloud Connector 计算机都必须满足某些要求。有关这些要求的完整列表,请参阅证书验证要求

SSL 解密

在某些代理上启用 SSL 解密可能会阻止 Cloud Connector 成功连接到 Citrix Cloud。有关解决此问题的详细信息,请参阅 CTX221535

Citrix Connector Appliance for Cloud Services

Connector Appliance 是一个可以在您的虚拟机管理程序中部署的设备。托管 Connector Appliance 的虚拟机管理程序位于您与 Citrix Cloud 配合使用的资源所在的网络中。Connector Appliance 连接到 Citrix Cloud,使其能够根据需要操作和管理您的资源。

有关安装 Connector Appliance 的要求,请参阅系统要求

要运行,Connector Appliance 需要端口 443 上的出站连接。但是,要在包含 Internet 代理服务器或防火墙限制的环境中运行,可能需要进一步配置。

要正常运行和使用 Citrix Cloud 服务,以下地址必须可联系:

  • https://*.cloud.com
  • https://*.citrixworkspacesapi.net
  • https://*.citrixnetworkapi.net
  • https://*.*.nssvc.net

    无法启用所有子域的客户可以使用以下地址代替:

    • https://*.g.nssvc.net
    • https://*.c.nssvc.net
  • https://*.servicebus.windows.net
  • https://iwsprodeastusuniconacr.azurecr.io
  • https://iwsprodeastusuniconacr.eastus.data.azurecr.io

网络要求

确保您的 Connector Appliance 环境具有以下配置:

  • 网络允许 Connector Appliance 使用 DHCP 获取 DNS 和 NTP 服务器、IP 地址、主机名和域名,或者您可以在 Connector Appliance 控制台中手动设置网络设置。
  • 网络未配置为使用链路本地 IP 范围 169.254.0.1/24、169.254.64.0/18 或 169.254.192.0/18,这些范围由 Connector Appliance 内部使用。
  • 虚拟机管理程序时钟设置为协调世界时 (UTC) 并与时间服务器同步,或者 DHCP 向 Connector Appliance 提供 NTP 服务器信息。
  • 如果您将代理与 Connector Appliance 配合使用,则代理必须是未经身份验证的或使用基本身份验证。

Citrix Analytics 服务连接

  • 用于产品内消息,包括新功能和关键通信:https://citrix-cloud-content.customer.pendo.io/
  • 其他要求:先决条件

有关将数据源载入服务的详细信息,请参阅支持的数据源

NetScaler Console 服务连接

有关完整的 Internet 连接要求,请参阅 NetScaler 产品文档中的支持的端口

Citrix DaaS 连接

Cloud Connector 与 DaaS 的连接

除了Cloud Connector 常见服务连接要求之外,当与 DaaS 配合使用时,Cloud Connector 需要连接到以下各项:

  • https://[customerid].xendesktop.net,其中 [customerid] 是 Citrix Cloud 管理控制台的“安全客户端”选项卡(身份和访问管理 > API 访问 > 安全客户端)上显示的客户 ID 参数。
  • 使用 Quick Deploy 安装 Citrix DaaS 的客户需要使以下附加地址可联系:
  • https://*.*.nssvc.net
    • 无法启用所有子域的客户可以使用以下地址代替:
      • https://*.g.nssvc.net
      • https://*.c.nssvc.net

有关 Cloud Connector 如何与服务通信的概述,请参阅 Citrix Tech Zone 网站上的 Citrix DaaS 图表

连接到 DaaS 管理控制台

要管理 DaaS,除了 Citrix Cloud 管理控制台之外,您还必须能够连接到以下各项:

  • https://*.citrixworkspacesapi.net(Rendezvous 协议不需要)
  • https://*.citrixnetworkapi.net(Rendezvous 协议不需要)
  • https://*.cloud.com(Rendezvous 协议不需要)
  • https://[customerid].xendesktop.net,其中 [customerid] 是 Citrix Cloud 管理控制台的“安全客户端”选项卡(身份和访问管理 > API 访问 > 安全客户端)上显示的客户 ID 参数。
  • https://*.*.nssvc.net(Citrix DaaS Standard for Azure 不需要)
    • 无法启用所有子域的客户可以使用以下地址代替:
      • https://*.g.nssvc.net
      • https://*.c.nssvc.net
  • 用于产品内消息,包括新功能和关键通信:https://citrix-cloud-content.customer.pendo.io/

Citrix DaaS 远程 PowerShell SDK

要使用 Citrix DaaS 远程 PowerShell SDK,请将以下 URL 列入白名单:

  • https://*.cloud.com
  • https://*.citrixworkspacesapi.net/[customerid]
  • https://[customerid].xendesktop.net:443

使用 Rendezvous 协议时的 VDA 连接

使用 Citrix Gateway Service 时,Rendezvous 协议允许 VDA 绕过 Citrix Cloud Connector,直接安全地连接到 Citrix Cloud 控制平面。

无论您使用的是哪个协议版本,VDA 都必须能够联系上面列出的管理控制台地址,除非另有说明。有关 Rendezvous 协议要求的完整列表,请参阅 Citrix DaaS 产品文档的以下部分:

本地主机缓存要求

如果您的防火墙执行数据包检查并且您想使用本地主机缓存功能,请确保您的防火墙接受 XML 和 SOAP 流量。此功能需要下载 MDF 文件的能力,这发生在 Cloud Connector 与 Citrix Cloud 同步配置数据时。这些文件通过 XML 和 SOAP 流量传输到 Cloud Connector。如果防火墙阻止此流量,则 Cloud Connector 和 Citrix Cloud 之间的同步将失败。如果发生中断,用户将无法继续工作,因为 Cloud Connector 上的配置数据已过时。

有关此功能的详细信息,请参阅 Citrix DaaS 产品文档中的本地主机缓存

VDA 升级要求

使用 Citrix DaaS 的“完整配置”界面,您可以按目录或按计算机升级 VDA。您可以立即升级它们或在计划的时间升级。有关 VDA 升级功能的详细信息,请参阅使用“完整配置”界面升级 VDA

使用此功能时,请确保满足以下连接要求:

  • 以下 Azure CDN URL 已添加到允许列表。该功能从 Azure CDN 端点下载 VDA 安装程序。

    • 生产 - 美国 (US):https://prod-us-vus-storage-endpoint.azureedge.net/*
    • 生产 - 欧盟 (EU):https://prod-eu-vus-storage-endpoint.azureedge.net/*
    • 生产 - 亚太南部 (APS):https://prod-aps-vus-storage-endpoint.azureedge.net/*
    • 生产 - 日本 (JP):https://prod-jp-vus-storage-endpoint.azureedge.net/*
  • 该功能验证 VDA 安装程序是否由有效证书签名。请确保以下 URL 已添加到允许列表,以进行证书有效性和吊销检查:

    • http://crl3.digicert.com/*
    • http://crl4.digicert.com/*
    • http://ocsp.digicert.com/*
    • http://cacerts.digicert.com/*
  • 此功能需要 VDA 升级代理才能工作。在 VDA 上运行的 VDA 升级代理与 Citrix DaaS 通信。请确保以下 URL 已添加到允许列表:

    • https://[customerId].xendesktop.net/citrix/VdaUpdateService/*,其中 [customerid] 是 Citrix Cloud 管理控制台的“安全客户端”选项卡(身份和访问管理 > API 访问 > 安全客户端)上显示的客户 ID 参数。
    • http://xendesktop.net/citrix/VdaUpdateService/*

Endpoint Management 服务连接

Citrix 资源位置 / Cloud Connector:

管理控制台:

Citrix Gateway 服务连接

Cloud Connector 与 Citrix Gateway Service 的连接

当通过 Cloud Connector 使用 Citrix Gateway Service(即不使用 Rendezvous v2)时,除了Cloud Connector 常见服务连接要求之外,Cloud Connector 还需要访问:

  • https://*.*.nssvc.net

无法启用所有子域的客户可以使用以下地址代替:

  • https://*.g.nssvc.net
  • https://*.c.nssvc.net

重要提示:

无法对 Citrix Gateway 地址执行 SSL 拦截。在某些代理上启用 SSL 拦截可能会阻止 Cloud Connector 成功连接到 Citrix Cloud。

客户端与 Citrix Gateway Service 的连接

要使用 Citrix Gateway Service,客户端设备需要访问:

  • https://*.*.nssvc.net

无法启用所有子域的客户可以使用以下地址代替:

  • https://*.g.nssvc.net
  • https://*.c.nssvc.net

NetScaler Intelligent Traffic Management 服务连接

  • https://*.cedexis-test.com
  • https://*.citm-test.com
  • https://cedexis.com
  • https://cedexis-radar.net

SD-WAN Orchestrator 服务连接

有关完整的 Internet 连接要求,请参阅 Citrix SD-WAN Orchestrator 服务使用先决条件

远程浏览器隔离(以前称为安全浏览器)服务

Cloud Connector 与远程浏览器隔离服务的连接

Cloud Connector 除了Cloud Connector 常见服务连接要求之外,不需要任何额外的连接。

连接到管理控制台

  • https://*.cloud.com
  • https://*.citrixworkspacesapi.net
  • https://browser-release-a.azureedge.net
  • https://browser-release-b.azureedge.net

客户端与 Citrix Secure Private Access 的连接

  • https://*.netscalergateway.net
  • https://*.*.nssvc.net
    • 无法启用所有子域的客户可以使用以下地址代替:
      • https://*.g.nssvc.net
      • https://*.c.nssvc.net

客户端与 Global App Configuration 服务的连接

https://discovery.cem.cloud.us

有关此服务的详细信息,请参阅自定义 Workspace 应用程序设置

最终用户与 Citrix Workspace 的连接

本节列出了客户端在使用 Citrix Workspace 应用程序或 Web 浏览器访问 Citrix Workspace 时必须能够访问的 URL。

应用商店 URL

用户通过云 URL(例如 https://<customername>.cloud.com)或自定义 URL 访问应用商店。有关详细信息,请参阅配置对工作区的访问

身份验证

Citrix Cloud:

  • https://accounts.cloud.com
  • https://accounts-dsauthweb.cloud.com
  • https://accounts-webassets.cloud.com - 用于图形界面资产
  • https://login.cloud.com - 仅当您使用 Active Directory 或 Active Directory + 令牌作为身份提供程序时才需要

Citrix Cloud Japan:

  • https://accounts.citrixcloud.jp
  • https://accounts-dsauthweb.citrixcloud.jp
  • https://accounts-webassets.citrixcloud.jp - 用于图形界面资产
  • https://login.citrixcloud.jp - 仅当您使用 Active Directory 或 Active Directory + 令牌作为身份提供程序时才需要

Citrix Cloud Government:

  • https://accounts.cloud.us
  • https://accounts-dsauthweb.cloud.us
  • https://login.cloud.us - 仅当您使用 Active Directory 或 Active Directory + 令牌作为身份提供程序时才需要

Citrix Cloud Government 不需要 https://accounts-webassets.cloud.ushttps://accounts.cloud.us 用于图形界面资产。

如果您使用第三方身份提供程序,请联系供应商以获取所需的 URL。

Workspace 图形界面资产

  • https://ctx-ws-assets.cloud.com

对于 Citrix Cloud Government,这将来可能会更改为 https://ctx-ws-assets.cloud.us

个性化、通知和功能推出

当使用 Citrix Workspace 应用程序而非 Web 浏览器时,根据您组织的区域,需要以下 URL。

美国:

  • https://customer-interface-personalization.us.wsp.cloud.com
  • https://user-personalization.us.wsp.cloud.com
  • https://admin-notification.us.wsp.cloud.com
  • https://feature-rollout.us.wsp.cloud.com

欧盟:

  • https://customer-interface-personalization.eu.wsp.cloud.com
  • https://user-personalization.eu.wsp.cloud.com
  • https://admin-notification.eu.wsp.cloud.com
  • https://feature-rollout.eu.wsp.cloud.com

亚太南部:

  • https://customer-interface-personalization.ap-s.wsp.cloud.com
  • https://user-personalization.ap-s.wsp.cloud.com
  • https://admin-notification.ap-s.wsp.cloud.com
  • https://feature-rollout.ap-s.wsp.cloud.com

Citrix Cloud Japan:

  • https://customer-interface-personalization.jp.wsp.citrixcloud.jp
  • https://user-personalization.jp.wsp.citrixcloud.jp
  • https://admin-notification.jp.wsp.citrixcloud.jp
  • https://feature-rollout.jp.wsp.citrixcloud.jp

Citrix Cloud Government:

  • https://customer-interface-personalization.us.wsp.cloud.us
  • https://user-personalization.us.wsp.cloud.us
  • https://admin-notification.us.wsp.cloud.us
  • https://feature-rollout.us.wsp.cloud.us

品牌图片

  • 美国:https://cips-iws-prod-eus2-cip-cdn.azureedge.net
  • 欧盟:https://cips-iws-prod-weu-cip-cdn.azureedge.net
  • 亚太南部:https://cips-iws-prod-aue-cip-cdn.azureedge.net
  • Citrix Cloud Japan:https://cips-wspjp-prod-jpe-cip-cdn.azureedge.net
  • Citrix Cloud Government:https://cips-wspgov-prod-usgv-cip-cdn.azureedge.us

个人资料图片

如果用户上传个人资料图片,则需要访问以下 URL:

  • 美国:https://wups-us-iws-cloud.azureedge.net
  • 欧盟:https://wups-eu-iws-cloud.azureedge.net
  • 亚太南部:https://wups-ap-s-iws-cloud.azureedge.net
  • Citrix Cloud Japan:https://wups-wspjp-jp-production.azureedge.net

Pendo

用于产品内消息,包括新功能和关键通信。

  • https://citrix-cloud-content.customer.pendo.io

Citrix Analytics Service

  • locus.analytics.cloud.com

根据租户的地理位置,启用对以下列表中相应 URL 的访问:

  • 美国:citrixanalyticseh.servicebus.windows.net
  • 欧盟:citrixanalyticseheu.servicebus.windows.net
  • 亚太南部:citrixanalyticsehaps.servicebus.windows.net

其他服务

有关客户端可能需要连接的其他服务,请参阅:

Citrix Federated Authentication Service (FAS)

请参阅 Citrix Federated Authentication Service 与 Citrix Cloud 之间的连接

Workspace Environment Management 服务连接

Citrix 资源位置 / Cloud Connector / 代理:

https://*.wem.cloud.com

有关完整要求,请参阅 Workspace Environment Management 服务文档中的连接先决条件