Citrix Cloud

系统和连接要求

Citrix Cloud 提供管理功能(通过 Web 浏览器)和操作请求(来自其他已安装的组件),用于连接到部署中的资源。本文介绍了系统要求、所需的可联系 Internet 地址以及在资源与 Citrix Cloud 之间建立连接的注意事项。

系统要求

Citrix Cloud 要求下列最低配置:

  • Active Directory 域
  • 用于 Citrix Cloud Connector 的两台物理机或虚拟机已加入您的域。有关更多信息,请参阅 Citrix Cloud Connector 技术详细信息
  • 加入到您的域的物理机或虚拟机,用于托管工作负载和 StoreFront 等其他组件。有关特定服务的系统要求的详细信息,请参阅每项服务的 Citrix 文档。

有关规模和大小要求的信息,请参阅 Cloud Connector 的缩放和大小注意事项

支持的 Web 浏览器

  • Google Chrome 的最新版本
  • Mozilla Firefox 的最新版本
  • Microsoft Edge 的最新版本
  • Apple Safari 的最新版本

传输层安全要求

对于组件之间基于 TCP 的连接,Citrix Cloud 支持传输层安全性 (TLS) 1.2。Citrix Cloud 不允许通过 TLS 1.0 或 TLS 1.1 进行通信。

要访问 Citrix Cloud,必须使用支持 TLS 1.2 且已配置接受密码套件的浏览器。有关更多信息,请参阅 加密和密钥管理

Citrix Cloud 管理控制台

Citrix Cloud 管理控制台是一个基于 Web 的控制台,您可以 通过 https://citrix.cloud.com登录后访问该控制台。组成控制台的 Web 页面在登录时或者以后执行特定操作时需要使用 Internet 上的其他资源。

代理配置

如果您通过代理服务器进行连接,则管理控制台使用与您的 Web 浏览器相同的配置运行。控制台在用户环境中运行,因此,需要用户身份验证的代理服务器的任何配置都应按预期运行。

防火墙配置

对于要运行的管理控制台,必须打开端口 443 以便建立出站连接。可以通过在控制台内部导航来测试常规连接。有关所需端口的更多信息,请参阅 入站和出站端口配置

控制台通知

管理控制台使用 Pendo 显示关键警报、有关新功能的通知以及某些功能和服务的产品内指南。为确保您可以在管理控制台中查看 Pendo 内容,Citrix 建议可以联系 https://citrix-cloud-content.customer.pendo.io/ 该地址。

显示 Pendo 内容的服务包括:

  • Citrix Analytics
  • Citrix DaaS
  • Citrix Workspace

Pendo 是 Citrix 用来向 Citrix 客户提供云和支持服务的第三方子处理器。有关这些子处理者的完整列表,请参阅 Citrix Cloud 和支持服务子处理者以及 Citrix 附属机构

会话超时

管理员登录 Citrix Cloud 后,管理控制台会话在 24 小时后超时。无论控制台活动如何,都会出现这种超时。

在 Citrix Cloud 注册许可证服务器

如果您要向 Citrix Cloud 注册本地 Citrix 许可证服务器以监视本地部署的使用情况,请确保以下地址可联系:

  • https://trust.citrixnetworkapi.net (用于检索代码)
  • https://trust.citrixworkspacesapi.net/ (用于确认许可证服务器已注册)
  • https://cis.citrix.com (用于数据上载)
  • https://core-eastus-release-a.citrixworkspacesapi.net
  • https://core.citrixworkspacesapi.net
  • ocsp.digicert.com port 80
  • crl3.digicert.com port 80
  • crl4.digicert.com port 80
  • ocsp.entrust.net port 80
  • crl.entrust.net port 80

如果您将代理服务器与 Citrix 许可证服务器一起使用,请确保按照许可产品文档中的配置代理服务器中所述配置代理服务器进行配置。

Citrix Cloud Connector

Citrix Cloud Connector 是一个软件包,用于部署在 Microsoft Windows 服务器上运行的一组服务。托管 Cloud Connector 的计算机位于您在 Citrix Cloud 上使用的资源所在的网络中。Cloud Connector 连接到 Citrix Cloud,允许您根据需要操作和管理资源。

有关安装Cloud Connector 要求,请参阅 系统要求。Cloud Connector 要求在端口 443 上建立出站连接,以便进行操作。安装后,Cloud Connector 可能会有其他访问要求,具体取决于与其配合使用的 Citrix Cloud 服务。

托管Cloud Connector 器的计算机必须与 Citrix Cloud 具有稳定的网络连接。网络组件必须支持 HTTPS 和长期安全 Web 套接字。如果在网络组件中配置了超时,则该超时必须大于两分钟。

有关对 Cloud Connector 和 Citrix Cloud 之间的连接进行故障排除的帮助,请使用 Cloud Connector 连接检查实用程序。此实用程序在 Cloud Connector 计算机上运行一系列检查,以验证其是否可以访问 Citrix Cloud 和相关服务。如果您在环境中使用代理服务器,则所有连接检查都将通过代理服务器进行隧道传输。要下载该实用程序,请参阅 Citrix 支持知识中心中的 CTX260337

Cloud Connector 公共服务连接要求

从您的数据中心连接到 Internet 需要打开端口 443 以便建立出站连接。但是,要在包含 Internet 代理服务器或防火墙限制的环境中进行操作,可能需要进一步进行配置。有关详细信息,请参阅 Cloud Connector 代理和防火墙配置

本文中每项服务的地址必须是可联系的,才能正确操作和使用该服务。以下列表包括大多数 Citrix Cloud 服务通用的地址:

  • https://*.citrixworkspacesapi.net(提供对服务使用的 Citrix Cloud API 的访问权限)
  • https://*.cloud.com(提供对 Citrix Cloud 登录界面的访问权限)
  • https://*.blob.core.windows.net(提供对 Azure Blob 存储的访问权限,该存储用于存储 Citrix Cloud Connector 更新)
  • https://*.servicebus.windows.net (提供对用于日志记录的 Azure 服务总线和 Active Directory 代理的访问权限)

这些地址仅作为域名提供,因为 Citrix Cloud 服务是动态的,其 IP 地址会受到例行更改的影响。

最佳做法是使用组策略来配置和管理这些地址。此外,仅配置适用于您和您的最终用户正在使用的服务的地址。

如果您使用 Citrix Cloud 和 Citrix 许可证服务器来注册本地产品,请参阅本文中的 Citrix Cloud 许可证服务器注册,了解其他所需的可联系地址。

Cloud Connector 允许的 FQDN

为了帮助您确保允许所有必需的完全限定域名 (FQDN) 通过您的防火墙,Citrix 提供了以下资源:

配置防火墙时,请查阅这两个资源,以验证您的服务部署所需的 FQDN 是否被允许。

本地主机缓存(高可用性服务)

在连接器中使用本地主机缓存 (LHC) 时,请确保连接器可以到达资源位置中所有其他连接器的选举端点。选举端点位于端口 80 上,可以通过以下 URL 进行访问:http://<FQDN_OF_PEER_CONNECTOR>/Citrix/CdsController/ISecondaryBrokerElection

如果连接器无法在此地址进行通信,则在 LHC 事件期间会选择多个代理,这可能会导致虚拟应用程序和桌面间歇性启动失败。有关更多信息,请参阅具有多个 Cloud Connector 的资源位置

自适应身份验证

使用 Cloud Connector 连接到自适应身份验证服务时,必须允许您的 Citrix Cloud Connector 访问您为自适应身份验证实例保留的域名或 URL。例如,允许 https://aauth.xyz.com。有关更多信息,请参阅自适应身份验证

Allowlist.json

allowlist.json 文件位于 https://fqdnallowlistsa.blob.core.windows.net/fqdnallowlist-commercial/allowlist.json,列出了 Cloud Connector 访问的 FQDN。此列表按产品分组,包括每组 FQDN 的更改日志。

其中一些 FQDN 是特定于客户的,并在尖括号中包含模板部分。在使用之前,必须将这些模板化部分替换为实际值。例如,对于 <CUSTOMER_ID>.xendesktop.net,将 <CUSTOMER_ID> 替换为您的 Citrix Cloud 帐户的实际客户 ID。您可以在以下控制台位置找到客户 ID:

  • 位于屏幕右上角的 Citrix Cloud 帐户的客户名称下方。

    突出显示了客户 ID 的 Citrix Cloud 控制台

  • 在“帐户设置”页面上的 Citrix Cloud 客户 ID (CCID) 下。

    帐户设置页面上突出显示了买家 ID

  • 在“安全客户端”选项卡上(身份和访问管理 > API 访问 > 安全客户端

    突出显示客户 ID 的“安全客户端”页面

网关服务接入点

allost.json 文件中包含的一些 FQDN 也包含在 CTX270584:Citrix Gateway 服务 - 接入点 (PoP) 中。但是,CTX270584 还包括客户端访问的 FQDN,例如:

  • global-s.g.nssvc.net
  • azure-s.g.nssvc.net

证书验证

Cloud Connector 联系的Cloud Connector 二进制文件和端点受 X.509 证书的保护,这些证书在安装软件时经过验证。要验证这些证书,每台 Cloud Connector 计算机都必须满足特定要求。有关这些要求的完整列表,请参阅 证书验证要求

SSL 解密

在某些代理上启用 SSL 解密可能会阻止 Cloud Connector 成功连接到 Citrix Cloud。有关解决此问题的更多信息,请参阅 CTX221535

适用于云服务的 Citrix Connector Appliance

Connector Appliance 是可以在虚拟机管理程序中部署的设备。托管 Connector Appliance 的虚拟机管理程序位于您在 Citrix Cloud 上使用的资源所在的网络中。Connector Appliance 连接到 Citrix Cloud,允许其根据需要操作和管理您的资源。

有关安装 Connector Appliance 的要求,请参阅系统要求

要运行,Connector Appliance 需要端口 443 上的出站连接。但是,要在包含 Internet 代理服务器或防火墙限制的环境中进行操作,可能需要进一步进行配置。

要正确操作和使用 Citrix Cloud 服务,必须联系以下地址:

  • https://*.cloud.com
  • https://*.citrixworkspacesapi.net
  • https://*.citrixnetworkapi.net
  • https://*.*.nssvc.net

    无法启用所有子域的客户可以使用以下地址来代替

    • https://*.g.nssvc.net
    • https://*.c.nssvc.net
  • https://*.servicebus.windows.net
  • https://iwsprodeastusuniconacr.azurecr.io
  • https://iwsprodeastusuniconacr.eastus.data.azurecr.io

网络要求

确保您的 Connector Appliance 环境具有以下配置:

  • 网络允许 Connector Appliance 使用 DHCP 获取 DNS 和 NTP 服务器、IP 地址、主机名和域名,或者您可以在Connector Appliance 控制台中手动设置网络设置。
  • 网络未配置为使用 Connector Appliance 内部使用的链路本地 IP 范围 169.254.0.1/24、169.254.64.0/18 或 169.254.192.0/18。
  • 虚拟机管理程序时钟设置为协调世界时 (UTC) 并与时间服务器同步,或者 DHCP 向 Connector Appliance 提供 NTP 服务器信息。
  • 如果将代理与 Connector Appliance 配合使用,则该代理必须未经身份验证或使用基本身份验证。

Citrix Analytics 服务连接

  • 对于包括新功能和关键通信在内的产品内消息: https://citrix-cloud-content.customer.pendo.io/
  • 其他要求: 前提条件

有关将数据源载入服务的详细信息,请参阅 支持的数据源

Application Delivery Management 服务连接

有关完整的 Internet 连接要求,请参阅 NetScaler 产品文档中的支持的端口

Citrix DaaS 服务连接

Citrix Cloud 资源位置/Cloud Connector:

  • Cloud Connector 公共服务连接要求
  • https://[customerid].xendesktop.net,其中 [customerid] 是 Citrix Cloud 管理控制台的“安全客户端”选项卡(身份和访问管理 > API 访问 > 安全客户端)上显示的客户 ID 参数。
    • 使用 Citrix Virtual Apps Essentials 的客户需要 https://*.xendesktop.net 改为使用。
  • 使用 Quick D eploy 安装 Citrix DaaS 的客户需要联系以下额外地址:
  • https://*.*.nssvc.net
    • 无法启用所有子域名的客户可以使用以下地址:
      • https://*.g.nssvc.net
      • https://*.c.nssvc.net

有关 Cloud Connector 如何与服务通信的概述,请参阅 Citrix Tech Zone Web 站点上的 Citrix DaaS 示意图

管理控制台:

  • https://*.citrixworkspacesapi.net(Rendezvous 协议不需要)
  • https://*.citrixnetworkapi.net(Rendezvous 协议不需要)
  • https://*.cloud.com(Rendezvous 协议不需要)
  • https://[customerid].xendesktop.net,其中 [customerid] 是 Citrix Cloud 管理控制台的“安全客户端”选项卡(身份和访问管理 > API 访问 > 安全客户端)上显示的客户 ID 参数。
    • 使用 Citrix Virtual Apps Essentials 的客户需要 https://*.xendesktop.net 改为使用。
  • https://*.*.nssvc.net (Citrix DaaS Standard for Azure 不需要)
    • 无法启用所有子域名的客户可以使用以下地址:
      • https://*.g.nssvc.net
      • https://*.c.nssvc.net
  • 对于包括新功能和关键通信在内的产品内消息: https://citrix-cloud-content.customer.pendo.io/

Rendezvous 协议

使用 Citrix Gateway 服务时,Rendezvous 协议允许 VDA 绕过 Citrix Cloud Connector,以直接安全地连接到 Citrix Cloud 控制平面。

除非另有说明,否则无论您使用哪种协议版本,VDA 都必须能够联系上面列出的管理控制台的地址。有关 Rendezvous 协议要求的完整列表,请参阅 Citrix DaaS 产品文档的以下部分:

本地主机缓存要求

如果您的防火墙执行数据包检查并且您想要使用本地主机缓存功能,请确保您的防火墙接受 XML 和 SOAP 流量。此功能要求能够下载 MDF 文件,当Cloud Connector 将配置数据与 Citrix Cloud 同步时,就会出现这种情况。这些文件通过 XML 和 SOAP 流量传送到Cloud Connector。如果防火墙阻止此流量,则Cloud Connector 和 Citrix Cloud 之间的同步将失败。如果发生中断,用户将无法继续工作,因为驻留在 Cloud Connector 上的配置数据已过期。

有关此功能的更多信息,请参阅 Citrix DaaS 产品文档中的 本地主机缓存

VDA 升级要求

使用 Citrix DaaS 的完整配置界面,可以在每个目录或每台计算机的基础上升级 VDA。您可以立即或在预定时间升级它们。有关 VDA 升级功能的更多信息,请参阅使用完整配置界面升级 VDA

使用该功能时,请确保满足以下连接要求:

  • 以下 Azure CDN URL 已添加到允许列表中。该功能从 Azure CDN 端点下载 VDA 安装程序。

    • 生产 - 美国 (US):https://prod-us-vus-storage-endpoint.azureedge.net/*
    • 生产 - 欧盟 (EU):https://prod-eu-vus-storage-endpoint.azureedge.net/*
    • 生产 - 亚太南部 (APS):https://prod-aps-vus-storage-endpoint.azureedge.net/*
    • 生产 - 日本 (JP):https://prod-jp-vus-storage-endpoint.azureedge.net/*
  • 该功能验证 VDA 安装程序是否由有效证书签名。确保已将以下 URL 添加到允许列表中,以进行证书有效性和吊销检查:

    • http://crl3.digicert.com/*
    • http://crl4.digicert.com/*
    • http://ocsp.digicert.com/*
    • http://cacerts.digicert.com/*
  • 该功能需要 VDA 升级代理才能运行。在 VDA 上运行的 VDA 升级代理与 Citrix DaaS 通信。确保以下 URL 已添加到允许列表中:

    • https://[customerId].xendesktop.net/citrix/VdaUpdateService/*,其中 [customerid] 是 Citrix Cloud 管理控制台的“安全客户端”选项卡(身份和访问管理 > API 访问 > 安全客户端)上显示的客户 ID 参数。
    • http://xendesktop.net/citrix/VdaUpdateService/*

Endpoint Management 服务连接

Citrix Cloud 资源位置/Cloud Connector:

管理控制台:

Citrix Gateway 服务连接

重要提示:

  • 无法对 Citrix Gateway 地址执行 SSL 拦截。在某些代理上启用 SSL 拦截可能会阻止 Cloud Connector 成功连接到 Citrix Cloud。
  • 如果将 DNS 转发器配置为允许对特定域进行递归 DNS 解析,则允许 *.citrixngsk8s.net 启用 Cloud Connector 以连接到 Citrix Gateway 服务。

NetScaler Intelligent Traffic Management 服务连接

  • https://*.cedexis-test.com
  • https://*.citm-test.com
  • https://cedexis.com
  • https://cedexis-radar.net

SD-WAN Orchestrator 服务连接

有关完整的 Internet 连接要求,请参阅使用 Citrix SD-WAN Orchestrator 服务的必备条件

Remote Browser Isolation(以前称为 Secure Browser)服务连接

Citrix Cloud 资源位置/Cloud Connector:

Cloud Connector 公共服务连接要求

管理控制台:

  • https://*.cloud.com
  • https://*.citrixworkspacesapi.net
  • https://browser-release-a.azureedge.net
  • https://browser-release-b.azureedge.net

Citrix Secure Private Access 服务连接

  • https://*.netscalergateway.net
  • https://*.*.nssvc.net
    • 无法启用所有子域名的客户可以使用以下地址:
      • https://*.g.nssvc.net
      • https://*.c.nssvc.net

Citrix Workspace 服务连接

  • https://*.cloud.com
  • https://*.citrixdata.com
  • 有关包括新功能和关键通信在内的产品内消息,请参阅 https://citrix-cloud-content.customer.pendo.io/

Global App Configuration Service 连接

https://discovery.cem.cloud.us https://gacs-discovery.cloud.com https://gacs-config.cloud.com

有关此服务的详细信息,请参阅以下资源:

Citrix Workspace 应用程序连接

将以下 URL 添加到您的允许列表中:

  • https://*.cloud.com
  • 身份提供商地址。请参阅相应身份提供商文档中的说明。
  • https://*.wsp.cloud.com

对于特定 URL,允许访问以下地址:

  • <yourcustomer>.cloud.com

Citrix Secure Private Access

  • ngspolicy.netscalergateway.net
  • config.netscalergateway.net
  • app.netscalergateway.net
  • http://tunnel.netscalergateway.net/

Global App Configuration Service

请参阅本文中的 Global App Configuration Service 连接

身份验证

  • accounts.cloud.com
  • accounts-dsauthweb.cloud.com

确保您的身份提供商 URL 也可以从您的最终用户设备访问。

Citrix Analytics 服务

  • locus.analytics.cloud.com

根据您的位置,启用对以下列表中相应 URL 的访问权限:

  • 美国:citrixanalyticseh.servicebus.windows.net
  • 欧盟: citrixanalyticseheu.servicebus.windows.net
  • APS:citrixanalyticsehaps.servicebus.windows.net

Workspace 图形界面资产

  • ctx-ws-assets.cloud.com

个性化、通知和功能推出

  • customer-interface-personalization.us.wsp.cloud.com
  • user-personalization.us.wsp.cloud.com
  • admin-notification.us.wsp.cloud.com
  • customer-interface-personalization.eu.wsp.cloud.com
  • user-personalization.eu.wsp.cloud.com
  • admin-notification.eu.wsp.cloud.com
  • customer-interface-personalization.ap-s.wsp.cloud.com
  • user-personalization.ap-s.wsp.cloud.com
  • admin-notification.ap-s.wsp.cloud.com
  • feature-rollout.us.wsp.cloud.com
  • feature-rollout.eu.wsp.cloud.com
  • feature-rollout.ap-s.wsp.cloud.com

设备注册服务

  • device-registration.us.wsp.cloud.com
  • device-registration.eu.wsp.cloud.com
  • device-registration.ap-s.wsp.cloud.com

推送通知服务

  • push-events-signalr.us.wsp.cloud.com
  • push-events-signalr.eu.wsp.cloud.com
  • push-events-signalr.ap-s.wsp.cloud.com

Citrix Gateway 服务

  • https://*.g.nssvc.net

使用 Citrix 联合身份验证服务 (FAS) 进行 Workspace 单点登录

控制台和 FAS 服务分别使用用户帐户和网络服务帐户访问以下地址。

  • FAS 管理控制台,在用户的帐户下:
    • https://*.cloud.com
    • https://*.citrixworkspacesapi.net
    • https://*.citrixnetworkapi.net/
    • 第三方身份提供程序所需的地址(如果您的环境中使用了第三方身份提供程序)
  • FAS 服务,在网络服务帐户下:
    • https://*.citrixworkspacesapi.net
    • https://*.citrixnetworkapi.net/

如果您的环境包含代理服务器,请使用 FAS 管理控制台的地址配置用户代理。此外,请确保将网络服务帐户的地址配置为适合您的环境。

如果您使用 Active Directory 或 Active Directory 和基于时间的一次性密码 (TOTP) 作为 Citrix Workspace 应用程序的身份提供商,则还必须将其列入白名单 login.cloud.com。如果您使用其他身份提供商,请单独允许身份提供商 URL。

CAS 事件中心的 URL 也是特定于地理区域的。citrixanalyticseh-alias.servicebus.windows.net

Workspace Environment Management 服务连接

Citrix 资源位置/Cloud Connector/代理:

https://*.wem.cloud.com

有关完整要求,请参阅 Workspace Environment Management 服务文档中的连接必备条件