Citrix Cloud

系统和连接要求

Citrix Cloud 提供管理功能(通过 Web 浏览器)和操作请求(来自其他已安装的组件),用于连接到部署中的资源。本文介绍了系统要求、所需的可联系 Internet 地址以及在资源与 Citrix Cloud 之间建立连接的注意事项。

系统要求

Citrix Cloud 要求下列最低配置:

  • Active Directory 域
  • 用于 Citrix Cloud Connector 的两台物理机或虚拟机已加入您的域。有关更多信息,请参阅 Citrix Cloud Connector 技术详细信息
  • 加入到您的域的物理机或虚拟机,用于托管工作负载和 StoreFront 等其他组件。有关特定服务的系统要求的详细信息,请参阅每项服务的 Citrix 文档。

有关规模和大小要求的信息,请参阅 Cloud Connector 的缩放和大小注意事项

支持的 Web 浏览器

  • Google Chrome 的最新版本
  • Mozilla Firefox 的最新版本
  • Microsoft Edge 的最新版本
  • Apple Safari 的最新版本

传输层安全要求

对于组件之间基于 TCP 的连接,Citrix Cloud 支持传输层安全性 (TLS) 1.2。Citrix Cloud 不允许通过 TLS 1.0 或 TLS 1.1 进行通信。

要访问 Citrix Cloud,必须使用支持 TLS 1.2 且已配置接受密码套件的浏览器。有关更多信息,请参阅 加密和密钥管理

Citrix Cloud 管理控制台

Citrix Cloud 管理控制台是一个基于 Web 的控制台,您可以 通过 https://citrix.cloud.com登录后访问该控制台。组成控制台的网页可能需要 Internet 上的其他资源,无论是在登录时还是在稍后执行特定操作时。

代理配置

如果您通过代理服务器进行连接,则管理控制台使用与您的 Web 浏览器相同的配置运行。控制台在用户环境中运行,因此,需要用户身份验证的代理服务器的任何配置都应按预期运行。

防火墙配置

对于要运行的管理控制台,必须打开端口 443 以便建立出站连接。可以通过在控制台内部导航来测试常规连接。

控制台通知

管理控制台使用 Pendo 显示关键警报、有关新功能的通知以及某些功能和服务的产品内指南。为确保您可以在管理控制台中查看 Pendo 内容,Citrix 建议可以联系 https://citrix-cloud-content.customer.pendo.io/ 该地址。

显示 Pendo 内容的服务包括:

  • 分析
  • Content Collaboration
  • Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)
  • Workspace

Pendo 是 Citrix 用来向 Citrix 客户提供云和支持服务的第三方子处理器。有关这些子处理者的完整列表,请参阅 Citrix Cloud 和支持服务子处理者以及 Citrix 附属机构

会话超时

管理员登录 Citrix Cloud 后,管理控制台会话在 24 小时后超时。无论控制台活动如何,都会出现这种超时。

本地产品注册

如果您使用 Citrix Cloud 和 Citrix 许可证服务器来注册本地产品,请确保以下地址可联系:

  • https://trust.citrixnetworkapi.net (用于检索代码)
  • https://trust.citrixworkspacesapi.net/ (用于确认许可证服务器已注册)
  • https://cis.citrix.com (用于数据上传)
  • https://core-eastus-release-a.citrixworkspacesapi.net
  • https://core.citrixworkspacesapi.net
  • ocsp.digicert.com port 80
  • crl3.digicert.com port 80
  • crl4.digicert.com port 80
  • ocsp.entrust.net port 80
  • crl.entrust.net port 80

如果您将代理服务器与 Citrix 许可证服务器一起使用,请确保按照许可产品文档中的配置代理服务器中所述配置代理服务器进行配置。

Citrix Cloud Connector

Citrix Cloud Connector 是一个软件包,用于部署一组在 Microsoft Windows 服务器上运行的服务。托管 Cloud Connector 的计算机位于您在 Citrix Cloud 上使用的资源所在的网络中。Cloud Connector 连接到 Citrix Cloud,允许您根据需要操作和管理资源。

有关安装Cloud Connector 要求,请参阅 系统要求。Cloud Connector 要求在端口 443 上建立出站连接,以便进行操作。安装后,Cloud Connector 可能会有其他访问要求,具体取决于与其配合使用的 Citrix Cloud 服务。

托管Cloud Connector 器的计算机必须与 Citrix Cloud 具有稳定的网络连接。网络组件必须支持 HTTPS 和长期安全 Web 套接字。如果在网络组件中配置了超时,则它必须大于 2 分钟。

有关对 Cloud Connector 和 Citrix Cloud 之间的连接进行故障排除的帮助,请使用 Cloud Connector 连接检查实用程序。此实用程序在 Cloud Connector 计算机上运行一系列检查,以验证其是否可以访问 Citrix Cloud 和相关服务。如果您在环境中使用代理服务器,则所有连接检查都将通过代理服务器进行隧道传输。要下载该实用程序,请参阅 Citrix 支持知识中心中的 CTX260337

Cloud Connector 公共服务连接要求

从您的数据中心连接到 Internet 需要打开端口 443 以便建立出站连接。但是,要在包含 Internet 代理服务器或防火墙限制的环境中进行操作,可能需要进一步进行配置。有关详细信息,请参阅 Cloud Connector 代理和防火墙配置

本文中每项服务的地址必须是可联系的,才能正确操作和使用该服务。以下列表包括大多数 Citrix Cloud 服务通用的地址:

  • https://*.citrixworkspacesapi.net(提供对服务使用的 Citrix Cloud API 的访问权限)
  • https://*.cloud.com(提供对 Citrix Cloud 登录界面的访问权限)
  • https://*.blob.core.windows.net(提供对 Azure Blob 存储的访问权限,该存储用于存储 Citrix Cloud Connector 更新)
  • https://*.servicebus.windows.net (提供对用于日志记录的 Azure 服务总线和 Active Directory 代理的访问权限)

这些地址仅作为域名提供,因为 Citrix Cloud 服务是动态的,其 IP 地址会受到例行更改的影响。

最佳做法是使用组策略来配置和管理这些地址。此外,仅配置适用于您和您的最终用户正在使用的服务的地址。

如果您将 Citrix Cloud 与 Citrix 许可证服务器 配合使用来注册本地产品,请参阅本文中的本地产品注册 ,了解其他必需的可联系地址。

Cloud Connector 允许的 FQDN

有关 Cloud Connector 访问的完全限定域名 (FQDN) 的完整列表,请参阅位于 https://fqdnallowlistsa.blob.core.windows.net/fqdnallowlist-commercial/allowlist.json 的 JSON 文件。此列表按产品分组,包括每组 FQDN 的更改日志。

其中一些 FQDN 是特定于客户的,并在尖括号中包含模板部分。在使用之前,必须将这些模板化部分替换为实际值。例如,对于 <CUSTOMER_ID>.xendesktop.net,将 <CUSTOMER_ID> 替换为您的 Citrix Cloud 帐户的实际客户 ID。您可以在以下控制台位置找到客户 ID:

  • 位于屏幕右上角的 Citrix Cloud 帐户的客户名称下方。 突出显示了客户 ID 的 Citrix Cloud 控制台
  • 在“帐户设置”页面上的 Citrix Cloud 客户 ID (CCID) 下。 帐户设置页面上突出显示了买家 ID
  • 在“安全客户端”选项卡上(身份和访问管理 > API 访问 > 安全客户端突出显示客户 ID 的“安全客户端”页面

其中一些 FQDN 包含在 CTX270584:Citrix Gateway 服务 - 接入点 (POP) 中。但是,CTX270584 还包括客户端访问的 FQDN,例如:

  • global-s.g.nssvc.net
  • azure-s.g.nssvc.net

要配置防火墙,请查阅 allowlist.json 和 CTX270584,确保允许使用服务部署所需的所有 FQDN。

证书验证

Cloud Connector 联系的Cloud Connector 二进制文件和端点受 X.509 证书的保护,这些证书在安装软件时经过验证。要验证这些证书,每台 Cloud Connector 计算机都必须满足特定要求。有关这些要求的完整列表,请参阅 证书验证要求

SSL 解密

在某些代理上启用 SSL 解密可能会阻止 Cloud Connector 成功连接到 Citrix Cloud。有关解决此问题的更多信息,请参阅 CTX221535

适用于云服务的 Citrix 连接器设备

连接器设备 是可以在虚拟机管理程序中部署的设备。托管连接器设备的虚拟机管理程序位于您在 Citrix Cloud 上使用的资源所在的网络中。连接器设备连接到 Citrix Cloud,允许其根据需要操作和管理您的资源。

有关安装连接器设备的要求,请参阅 系统要求

要运行,连接器设备需要端口 443 上的出站连接。但是,要在包含 Internet 代理服务器或防火墙限制的环境中进行操作,可能需要进一步进行配置。

要正确操作和使用 Citrix Cloud 服务,必须联系以下地址:

  • https://*.cloud.com
  • https://*.citrixworkspacesapi.net
  • https://*.citrixnetworkapi.net
  • https://*.*.nssvc.net

    无法启用所有子域的客户可以使用以下地址来代替

    • https://*.g.nssvc.net
    • https://*.c.nssvc.net
  • https://*.servicebus.windows.net
  • https://iwsprodeastusuniconacr.azurecr.io
  • https://iwsprodeastusuniconacr.eastus.data.azurecr.io

网络要求

确保您的连接器设备环境具有以下配置:

  • 网络允许连接器设备使用 DHCP 获取 DNS 和 NTP 服务器、IP 地址、主机名和域名,或者您可以在 连接器设备控制台中手动设置网络设置。
  • 网络未配置为使用连接器设备内部使用的链路本地 IP 范围 169.254.0.1/24、169.254.64.0/18 或 169.254.192.0/18。
  • 虚拟机管理程序时钟设置为协调世界时 (UTC) 并与时间服务器同步,或者 DHCP 向连接器设备提供 NTP 服务器信息。
  • 如果将代理与连接器设备配合使用,则该代理必须未经身份验证或使用基本身份验证。

Citrix Analytics 服务连接

  • 对于包括新功能和关键通信在内的产品内消息: https://citrix-cloud-content.customer.pendo.io/
  • 其他要求: 前提条件

有关将数据源载入服务的详细信息,请参阅 支持的数据源

Application Delivery Management 服务连接

有关完整的 Internet 连接要求,请参阅支持的端口

Content Collaboration 服务连接

Citrix Cloud 资源位置/Cloud Connector:

管理控制台:

Citrix DaaS 服务连接

Citrix Cloud 资源位置/Cloud Connector:

  • Cloud Connector 公共服务连接要求
  • https://[customerid].xendesktop.net,其中 [customerid] 是 Citrix Cloud 管理控制台的“安全客户端”选项卡(身份和访问管理 > API 访问 > 安全客户端)上显示的客户 ID 参数。
    • 使用 Citrix Virtual Apps Essentials 的客户需要 https://*.xendesktop.net 改为使用。
  • 使用 Quick D eploy 安装 Citrix DaaS 的客户需要联系以下额外地址:
  • https://*.*.nssvc.net
    • 无法启用所有子域名的客户可以使用以下地址:
      • https://*.g.nssvc.net
      • https://*.c.nssvc.net

有关 Cloud Connector 如何与服务通信的概述,请参阅 Citrix Tech Zone Web 站点上的 Citrix DaaS 示意图

管理控制台:

  • https://*.citrixworkspacesapi.net
  • https://*.citrixnetworkapi.net
  • https://*.cloud.com
  • https://[customerid].xendesktop.net,其中 [customerid] 是 Citrix Cloud 管理控制台的“安全客户端”选项卡(身份和访问管理 > API 访问 > 安全客户端)上显示的客户 ID 参数。
    • 使用 Citrix Virtual Apps Essentials 的客户需要 https://*.xendesktop.net 改为使用。
  • https://*.*.nssvc.net (Citrix DaaS Standard for Azure 不需要)
    • 无法启用所有子域名的客户可以使用以下地址:
      • https://*.g.nssvc.net
      • https://*.c.nssvc.net
  • 对于包括新功能和关键通信在内的产品内消息: https://citrix-cloud-content.customer.pendo.io/

本地主机缓存要求

如果您的防火墙执行数据包检查并且您想要使用本地主机缓存功能,请确保您的防火墙接受 XML 和 SOAP 流量。此功能要求能够下载 MDF 文件,当Cloud Connector 将配置数据与 Citrix Cloud 同步时,就会出现这种情况。这些文件通过 XML 和 SOAP 流量传送到Cloud Connector。如果防火墙阻止此流量,则Cloud Connector 和 Citrix Cloud 之间的同步将失败。如果发生中断,用户将无法继续工作,因为驻留在 Cloud Connector 上的配置数据已过期。

有关此功能的更多信息,请参阅 Citrix DaaS 产品文档中的 本地主机缓存

Endpoint Management 服务连接

Citrix Cloud 资源位置/Cloud Connector:

管理控制台:

Citrix Gateway 服务连接

重要:

无法对 Citrix Gateway 地址执行 SSL 拦截。在某些代理上启用 SSL 拦截可能会阻止 Cloud Connector 成功连接到 Citrix Cloud。

Citrix Intelligent Traffic Management 服务连接

  • https://*.cedexis-test.com
  • https://*.citm-test.com
  • https://cedexis.com
  • https://cedexis-radar.net

SD-WAN Orchestrator 服务连接

有关完整的 Internet 连接要求,请参阅使用 Citrix SD-WAN Orchestrator 服务的必备条件

Remote Browser Isolation(以前称为 Secure Browser)服务连接

Citrix Cloud 资源位置/Cloud Connector:

Cloud Connector 公共服务连接要求

管理控制台:

  • https://*.cloud.com
  • https://*.citrixworkspacesapi.net
  • https://browser-release-a.azureedge.net
  • https://browser-release-b.azureedge.net

Citrix Secure Private Access 服务连接

  • https://*.netscalergateway.net
  • https://*.*.nssvc.net
    • 无法启用所有子域名的客户可以使用以下地址:
      • https://*.g.nssvc.net
      • https://*.c.nssvc.net

Citrix Workspace 服务连接

  • https://*.cloud.com
  • https://*.citrixdata.com
  • 对于包括新功能和关键通信在内的产品内消息: https://citrix-cloud-content.customer.pendo.io/

为确保订阅者能够通过 Workspace 成功访问 Citrix Files 和 Content Collaboration 中的内容,Citrix 建议允许 CTX208318 中列出的域。

Citrix Workspace 应用程序连接

  • https://*.cloud.com(身份验证)
  • IdP 地址。请参阅相应的 IdP 文档中的说明。
  • CAS 事件:
    • https://citrixanalyticseheu-alias.servicebus.windows.net
  • https://*.wsp.cloud.com

使用 Citrix 联合身份验证服务进行 Workspace 单点登录

控制台和 FAS 服务分别使用用户帐户和网络服务帐户访问以下地址。

  • FAS 管理控制台,在用户的帐户下
    • https://*.cloud.com
    • https://*.citrixworkspacesapi.net
    • 第三方身份提供程序所需的地址(如果您的环境中使用了第三方身份提供程序)
  • FAS 服务,在网络服务帐户下:https://*.citrixworkspacesapi.net

如果您的环境包含代理服务器,请使用 FAS 管理控制台的地址配置用户代理。此外,请确保将网络服务帐户的地址配置为适合您的环境。

Workspace Environment Management 服务连接

https://*.wem.cloud.com