Citrix DaaS Standard for Azure

简介

Citrix DaaS Standard for Azure(以前称为适用于 Azure 的 Citrix Virtual Apps and Desktops Standard)是从 Microsoft Azure 交付 Windows 应用程序和桌面的最简单、最快的方式。Citrix DaaS for Azure 提供基于云的管理、预配和托管容量,用于向任何设备交付虚拟应用程序和桌面。

此解决方案包括:

  • 基于云的管理和配置,用于交付 Citrix 托管的 Azure 虚拟桌面和来自多会话计算机的应用程序。
  • 使用 Citrix Workspace 应用程序,从各种设备中获得高清晰度用户体验。
  • 简化了映像创建和管理工作流程,以及 Citrix 准备的 Windows 和 Linux 单会话和多会话映像,安装了最新的 Citrix Virtual Delivery Agent (VDA)。
  • 使用 Citrix Gateway 服务的全局存在点安全从任何设备进行远程访问。
  • 高级监控和服务台管理功能。
  • 托管 Azure IaaS,包括用于交付虚拟桌面的 Azure 计算、存储和网络。

Citrix Remote PC Access 功能使用户能够远程使用办公室中的现有物理机。用户通过使用 Citrix HDX 交付其办公室 PC 会话,获得最佳用户体验。

如果您熟悉其他 Citrix DaaS 产品,Citrix DaaS for Azure 可以简化虚拟应用程序和桌面的部署。Citrix 可以管理用于托管这些工作负载的基础架构。

Citrix DaaS for Azure 是一项 Citrix Cloud 服务。Citrix Cloud 是托管和管理 Citrix Cloud 服务的平台。了解有关 Citrix Cloud 的更多信息

要了解组件、数据流和安全注意事项,请参阅 技术安全概述。该文还概述了客户和 Citrix 的责任。

用户访问桌面和应用程序的方式

用户(有时称为订阅者)使用 Citrix HTML5 客户端直接通过浏览器访问其桌面和应用程序。用户浏览至您(其管理员)提供的 Citrix Workspace URL。Citrix Workspace 平台枚举并向用户提供数字资源。用户从工作区启动桌面或应用程序。

配置交付桌面和应用程序的计算机目录(或包含用于远程 PC Access 的物理机的目录)之后,Citrix DaaS for Azure 将显示 Workspace URL。然后,您可以通知用户转到该 URL 以启动他们的桌面和应用程序。

除了导航到 Citrix Workspace 以访问其桌面和应用程序之外,用户可以在其设备上安装 Citrix Workspace 应用程序。下载适合终端设备操作系统的应用程序: https://www.citrix.com/downloads/workspace-app/

概念和术语

本节介绍管理员在 Citrix DaaS for Azure 中使用的一些项目和术语:

目录

目录是一组计算机。

  • Citrix DaaS for Azure 提供给用户的桌面和应用程序驻留在虚拟机 (VM) 上。这些虚拟机在目录中创建(预配)。

    部署桌面时,目录中的计算机将与选定用户共享。发布应用程序时,多会话计算机托管与选定用户共享的应用程序。

  • 对于远程 PC 访问,目录中包含现有的单会话物理机。常见部署包括办公室中的计算机。您可以通过配置的用户分配方法和选定用户控制用户对这些计算机的访问。

如果您熟悉其他 Citrix DaaS 产品,Citrix DaaS 中的目录类似于合并计算机目录和交付组。

有关详细信息,请参阅:

资源位置

目录的计算机位于 资源位置中。资源位置还包含两个或多个 Cloud Connector

  • 发布桌面或应用程序时,Citrix 会在创建第一个目录时自动创建资源位置和 Cloud Connector。
  • 对于 Remote PC Access,管理员在创建目录之前创建资源位置和 Cloud Connector。

为已发布的桌面和应用程序创建更多目录时,Azure 订阅、区域和域将确定 Citrix 是否创建另一个资源位置。如果这些条件与现有目录匹配,Citrix 将尝试重新使用该资源位置。

有关详细信息,请参阅:

图像

为已发布的桌面和应用程序创建目录时,将使用计算机映像(与其他设置一起)作为创建计算机的模板。

  • Citrix DaaS for Azure 提供了几个 Citrix 准备的映像:

    • Windows 10 Enterprise(单会话)
    • Windows 10 Enterprise 虚拟桌面(多会话)
    • 带 Office 365 ProPlus 的 Windows 10 Enterprise 虚拟桌面(多会话)
    • Windows Server 2012 R2
    • Windows Server 2016
    • Windows Server 2019
    • Linux

    每个 Citrix 准备的映像都安装了 Citrix VDA 和故障排除工具。VDA 是用户计算机与管理 Citrix DaaS for Azure 的 Citrix Cloud 基础结构之间的通信机制。

    当新 VDA 版本发布时,Citrix 会更新可用的准备好的映像。

  • 您还可以从 Azure 导入和使用自己的图像。必须在映像上安装 VDA(和其他软件),然后才能用于创建目录。

术语 VDA 通常指交付应用程序或桌面的计算机以及安装在该计算机上的软件组件。

有关更多信息,请参阅 图片

Azure 订阅

您可以创建用于交付桌面和应用程序的目录,以及在 Citrix 托管 Azure 订阅或自己的(客户管理)Azure 订阅中构建/导入映像。

如果只订购 Citrix DaaS for Azure,则必须导入(添加)并使用自己的 Azure 订阅。如果您还订购了 Citrix Azure 消费基金,则会收到 Citrix 托管 Azure 订阅。然后,在创建目录或构建新映像时,可以使用 Citrix 托管 Azure 订阅或导入的 Azure 订阅之一。

有关详细信息,请参阅:

  • 部署方案 说明了将 Azure 订阅与 Citrix DaaS for Azure 一起使用的方法。

  • Azure 订阅 解释了 Citrix 托管 Azure 和客户管理的 Azure 订阅之间的区别。本文还介绍了如何查看、添加和删除订阅。

  • 技术安全概述描述 了 Citrix 托管 Azure 和客户管理的 Azure 订阅之间的责任差异。

网络连接

使用 Citrix 托管 Azure 订阅创建目录时,您可以指明用户是否以及如何从已发布的桌面和应用程序访问其公司本地网络上的位置和资源。选择不是连接、Azure VNet 对等互连和 Citrix SD-WAN。

使用自己的 Azure 订阅时,无需创建连接。您只需要导入(添加)您的 Azure 订阅服务。

有关详细信息,请参阅 网络连接

已加入域和未加入域

根据计算机 (VDA) 是加入域还是未加入域,多种服务操作和功能会有所不同。域成员资格还会影响可用的部署方案。

  • 加入域的计算机和未加入域的计算机都支持用户工作区中可用的任何用户身份验证方法。
  • 您可以从加入域和未加入域的计算机上发布桌面、应用程序,或者同时发布两者。远程 PC Access 目录中的计算机必须加入域。

下表列出了交付桌面和应用程序时未加入域的计算机和加入域的计算机之间的几个区别。

未加入域 已加入域
Active Directory 不用于计算机。计算机未加入 AD 域。 Active Directory 用于计算机。计算机已加入 AD 域。
Active Directory 组策略不能应用于计算机 (VDA)。(您可以在用于创建目录的映像上应用本地 GPO。) VDA 继承在目录创建期间为指定的 AD OU 指定的组策略。
用户使用单点登录进行登录。 当用户使用 Active Directory 之外的身份验证方法登录到其工作区时,系统还会在桌面或应用程序启动时提示他们进行登录。
不需要连接到本地网络。 (使用 Citrix 托管 Azure 订阅时)必须有连接才能使用 Microsoft Azure VNet 或 Citrix SD-WAN 访问本地网络。
必须使用 Citrix 托管 Azure 订阅才能预配 VDA。(无法使用自己的 Azure 订阅来预配 VDA。但是,用户可以从自己的 Azure AD 进行连接。) 可以使用 Citrix 托管 Azure 订阅和自己的 Azure 订阅。
无法使用堡垒机器或直接 RDP 进行故障排除。 可以使用堡垒机器或直接 RDP 进行故障排除。
无法使用 Citrix Profile Management。(推荐:使用永久性目录。) 可以使用 Citrix Profile Management 或 FSLogix。

部署方案

已发布的桌面和应用程序的部署方案有所不同,具体取决于您使用的是 Citrix 托管 Azure 订阅还是自己的客户托管 Azure 订阅。

在 Citrix 托管 Azure 订阅中进行部署

使用 Citrix 托管 Azure 订阅进行部署方案

Citrix DaaS for Azure 支持连接和用户身份验证的多种部署方案。

  • 托管 Azure AD: 这是最简单的部署,使用未加入域的 VDA。建议用于概念验证。您可以使用托管 Azure AD(Citrix 管理)来管理用户。您的用户无需访问本地网络上的资源。

    使用托管 Azure AD 的部署方案

  • 客户的 Azure Active Directory: 此部署包含未加入域的 VDA。使用自己的 Active Directory 或 Azure Active Directory (AAD) 进行最终用户身份验证。在这种情况下,您的用户无需访问本地网络上的资源。

    使用客户的 Azure AD 的部署方案

  • 具有本地访问权限的客户 Azure Active Directory: 此部署包含未加入域的 VDA。您可以使用自己的 AD 或 AAD 进行最终用户身份验证。在这种情况下,在本地网络中安装 Citrix Cloud Connector 可以访问该网络中的资源。

    使用客户的 AAD 和本地网络进行部署方案

  • 客户的 Azure Active Directory 域服务和 VNet 对等互连: 如果您的 AD 或 AAD 驻留在您自己的 Azure VNet 和 Azure 订阅中,则可以使用 Microsoft Azure VNet 对等互连功能进行网络连接,而 Azure Active Directory 域服务 (AADDS) 用于最终用户身份验证。VDA 将加入您的域。

    使用 Azure VNet 对等互连和客户 Azure 订阅的部署场景

    为了使用户能够访问存储在本地网络中的数据,可以使用 Azure 订阅到本地位置的 VPN 连接。Azure VNet 对等互连用于网络连接。本地位置中的 Active Directory 域服务用于最终用户身份验证。

    使用 Azure VNet 对等互连和客户本地网络的部署场景

  • 客户的 Active Directory 和 SD-WAN: 您可以向用户提供访问本地或云 SD-WAN 网络中的文件和其他项目的访问权限。

    Citrix SD-WAN 优化 Citrix DaaS for Azure 所需的所有网络连接。Citrix SD-WAN 与 HDX 技术协同工作,为 ICA 和带外 Citrix DaaS for Azure 流量提供了服务质量和连接可靠性。

    使用 Citrix SD-WAN 和客户本地网络进行部署方案

在客户托管的 Azure 订阅中进行部署

使用客户托管订阅的部署方案

上图中的部署使用客户管理的 Azure 订阅。但是,如虚线大纲所示,Citrix 托管 Azure 订阅仍然是其他目录和图像的选项。

管理接口

Citrix DaaS for Azure 有两个图形管理界面:快速部署和完整配置。

  • 快速部署 使您能够快速创建目录并开始向用户交付桌面和应用程序。(因此名字叫快速部署。)这是启动 Citrix DaaS for Azure 时的默认界面。也可以通过选择“管理”>“Azure 快速部署”来访问此界面。此产品文档集中的说明假设您使用的是快速部署。

    如果计划在创建目录或映像时使用 Citrix 托管 Azure 订阅,则必须使用快速部署。

  • 完整配置 提供高级功能和配置选项来定制和管理您的部署。在快速部署中创建的目录会自动显示在完整配置中。要从快速部署移动到完全配置,请选择 管理 > 完整配置

    在快速部署中创建目录时,会在完整配置中自动创建关联的交付组和主机连接。

    完整配置还提供了自己的目录创建过程,其中包括创建与 Azure 主机的连接,然后创建目录和交付组。仅当您使用自己的 Azure 订阅时才支持该过程。在快速部署中创建目录要容易得多。

    完全配置支持与 Azure 以外的虚拟机管理程序和云服务主机相关的进程。Citrix DaaS for Azure 客户的法使用这些功能。

管理在“快速部署”界面中创建的目录

在“快速部署”界面中创建目录后,可以继续在该界面中管理该目录。有关详细信息,请参阅管理目录。还可以使用“完整配置”界面。

在“快速部署”中创建目录时,系统会为该目录(以及在后台自动创建的交付组和托管连接)分配作用域 Citrix managed object。作用域在委派管理中用于对对象进行分组。

在“完整配置”界面中,禁止通过某些操作对目录、交付组以及与作用域 Citrix managed object 的连接进行操作。(允许在“完整配置”中执行这些操作可能会对系统同时支持“快速部署”和“完整配置”的能力产生不利影响,因此这些操作处于禁用状态。)在“完整配置”界面中:

  • 目录: 大多数目录管理操作不可用。您无法删除目录。
  • 交付组: 大多数交付组管理操作都可用。您无法删除交付组。
  • 连接: 大多数连接管理操作不可用。您无法删除连接。不能创建基于具有 Citrix managed object 作用域的连接的连接。

如果您使用自己的 Azure 订阅(已添加到“快速部署”中)在“快速部署”中创建目录,并且想要完全在“完整配置”中管理目录(及其交付组和连接),则可以转换目录。

  • 转换目录会将其管理限制为仅限于“完整配置”界面。转换目录后,您将无法再使用“快速部署”界面来管理该目录。
  • 转换目录后,可以选择以前在“完整配置”中不可用的操作。(Citrix managed object 作用域将从转换后的目录、交付组和托管连接中删除。)
  • 要转换目录,请执行以下操作:

    在 Citrix DaaS for Azure 中的“管理”>“Azure 快速部署”控制板中,单击目录条目中的任意位置。在详细信息选项卡的高级设置下,选择转换目录。出现提示时,确认转换。

  • 不能转换使用 Citrix 托管 Azure 订阅在“快速部署”中创建的目录。

有关如何在完整配置中管理转换后的目录的信息,请参阅:

更多信息

有关技术详细信息,请参阅:

有关自动部署的信息,请参阅 托管桌面公共 API 预览

准备好后, 开始吧。

Citrix DaaS Standard for Azure