网络连接
简介
本文详细介绍了使用 Citrix Managed Azure 订阅时的几个 部署场景 。
创建目录时,您可以指示用户是否以及如何从适用于 Azure 的 Citrix DaaS Standard(以前称为适用于 Azure 的 Citrix Virtual Apps and Desktops Standard)桌面和应用程序访问其公司本地网络上的位置和资源。
使用 Citrix Managed Azure 订阅时,选择如下:
当使用您自己的一个客户管理的 Azure 订阅时,无需创建与 Citrix DaaS for Azure 的连接。 您只需 将 Azure 订阅添加到 Citrix DaaS for Azure。
目录创建后,您无法更改其连接类型。
所有网络连接的要求
- 创建连接时,您必须有 个有效的 DNS 服务器条目。
- 使用安全 DNS 或第三方 DNS 提供程序时,必须将分配给 Citrix DaaS for Azure 使用的地址范围添加到允许列表中的 DNS 提供程序的 IP 地址。 该地址范围是在创建连接时指定的。
- 所有使用该连接的服务资源(加入域的机器)必须能够到达您的网络时间协议 (NTP) 服务器,以确保时间同步。
无连接
当目录配置为 无连接时,用户无法访问其本地或其他网络上的资源。 这是使用快速创建来创建目录时的唯一选择。
关于 Azure VNet 对等连接
虚拟网络对等无缝连接两个 Azure 虚拟网络 (VNet):您的网络和适用于 Azure VNet 的 Citrix DaaS。 对等连接还可以帮助用户从您的内部网络访问文件和其他项目。
如下图所示,您可以使用 Azure VNet 对等连接从 Citrix 托管 Azure 订阅创建到公司 Azure 订阅中的 VNet 的连接。
这是 VNet 对等连接的另一个例证。
当您创建目录时,用户可以通过加入本地域来访问其本地网络资源(例如文件服务器)。 (也就是说,您加入文件共享和其他所需资源所在的 AD 域。)您的 Azure 订阅连接到这些资源(在图中,使用 VPN 或 Azure ExpressRoute)。 创建目录时,您提供域、OU 和帐户凭据。
重要:
- 在 Citrix DaaS for Azure 中使用 VNet 对等之前,请先了解 VNet 对等。
- 在创建使用 VNet 对等连接之前,先创建该连接。
Azure VNet 对等互连自定义路由
自定义或用户定义的路由会覆盖 Azure 的默认系统路由,用于引导 VNet 对等互连、本地网络和 Internet 中的虚拟机之间的流量。 如果 Citrix DaaS for Azure 资源需要访问网络但未通过 VNet 对等直接连接,则可以使用自定义路由。 例如,您可以创建一个自定义路由,强制流量通过网络设备传输到 Internet 或本地网络子网。
要使用自定义路线:
- 您的 Citrix DaaS for Azure 环境中必须具有现有的 Azure VPN 网关或网络设备。
- 添加自定义路由时,您必须使用 Citrix DaaS for Azure 目标 VNet 信息更新公司的路由表,以确保端到端连接。
- 自定义路由按照输入的顺序显示在 Citrix DaaS for Azure 中。 此显示顺序不会影响 Azure 选择路由的顺序。
在使用自定义路由之前,请查看 Microsoft 文章 虚拟网络流量路由 以了解如何使用自定义路由、下一跳类型以及 Azure 如何为出站流量选择路由。
您可以在创建 Azure VNet 对等连接时添加自定义路由,也可以在 Citrix DaaS for Azure 环境中向现有路由添加自定义路由。 当您准备好将自定义路由与 VNet 对等互连一起使用时,请参阅本文中的以下部分:
- 对于具有新 Azure VNet 对等的自定义路由: 创建 Azure VNet 对等连接
- 对于具有现有 Azure VNet 对等连接的自定义路由: 管理现有 Azure VNet 对等连接的自定义路由
Azure VNet 对等要求和准备
- Azure 资源管理器订阅所有者的凭据。 这必须是 Azure Active Directory 帐户。 Citrix DaaS for Azure 不支持其他帐户类型,例如 live.com 或外部 Azure AD 帐户(在不同的租户中)。
- Azure 订阅、资源组和虚拟网络 (VNet)。
- 设置 Azure 网络路由,以便 Citrix Managed Azure 订阅中的 VDA 可以与您的网络位置通信。
- 打开从 VNet 到指定 IP 范围的 Azure 网络安全组。
-
Active Directory: 对于加入域的场景,我们建议您在对等 VNet 中运行某种形式的 Active Directory 服务。 这利用了 Azure VNet 对等技术的低延迟特性。
例如,配置可能包括 Azure Active Directory 域服务 (AADDS)、VNet 中的域控制器 VM 或 Azure AD Connect 到您的本地 Active Directory。
启用 AADDS 后,如果不删除托管域,则无法将托管域移动到其他 VNet。 因此,选择正确的 VNet 来启用托管域非常重要。 继续之前,请查看 Microsoft 文章 Azure AD 域服务的网络注意事项。
-
VNet IP 范围: 创建连接时,必须提供可用的 CIDR 地址空间(IP 地址和网络前缀),该地址空间在网络资源和所连接的 Azure VNet 之间是唯一的。 这是分配给 Citrix DaaS for Azure 对等 VNet 中的 VM 的 IP 范围。
确保指定的 IP 范围不与您在 Azure 和本地网络中使用的任何地址重叠。
-
例如,如果您的 Azure VNet 的地址空间为 10.0.0.0 /16,请在 Citrix DaaS for Azure 中创建 VNet 对等连接,例如 192.168.0.0 /24。
-
在此示例中,创建具有 10.0.0.0 /24 IP 范围的对等连接将被视为重叠地址范围。
如果地址重叠,VNet 对等连接可能无法成功创建。 它也无法正确地执行站点管理任务。
-
要了解 VNet 对等互连,请参阅以下 Microsoft 文章。
创建 Azure VNet 对等连接
-
从 Citrix DaaS for Azure 中的 管理 > Azure 快速部署 仪表板,展开右侧的 网络连接 。 如果您已经设置了连接,它们就会被列出。
- 单击 添加连接。
-
单击 添加 Azure VNet Peering 框中的任意位置。
-
单击 验证 Azure 帐户。
-
Citrix DaaS for Azure 会自动将您带到 Azure 登录页面来验证您的 Azure 订阅。 登录 Azure(使用全局管理员帐户凭据)并接受条款后,您将返回到连接创建详细信息对话框。
- 键入 Azure VNet 对等体的名称。
- 选择 Azure 订阅、资源组和要对等连接的 VNet。
- 指示所选 VNet 是否使用 Azure 虚拟网络网关。 有关信息,请参阅 Microsoft 文章 Azure VPN 网关。
-
如果您在上一步中回答 是 (选定的 VNet 使用 Azure 虚拟网络网关),请指明是否要启用虚拟网络网关路由传播。 启用后,Azure 会自动学习(添加)通过网关的所有路由。
您可以稍后在连接的 详细信息 页面上更改此设置。 然而,改变它可能会导致路线模式改变和 VDA 交通中断。 此外,如果您稍后禁用它,则必须手动添加 VDA 将使用的网络路由。
-
键入 IP 地址并选择网络掩码。 显示要使用的地址范围,以及该范围支持的地址数。 确保 IP 范围不与您在 Azure 和本地网络中使用的任何地址重叠。
- 例如,如果您的 Azure VNet 的地址空间为 10.0.0.0 /16,请在 Citrix Virtual Apps and Desktops Standard 中创建 VNet 对等连接,例如 192.168.0.0 /24。
- 在此示例中,创建具有 10.0.0.0 /24 IP 范围的 VNet 对等连接将被视为重叠地址范围。
如果地址重叠,VNet 对等连接可能无法成功创建。 它也不能正确执行站点管理任务。
- 指示是否要向 VNet 对等连接添加自定义路由。 如果您选择 是,请输入以下信息:
- 单击 添加 VNet Peering。
创建连接后,它将列在 管理 > Azure 快速部署 仪表板右侧的 网络连接 > Azure VNet 对等体 下。 当您创建目录时,此连接将包含在可用的网络连接列表中。
查看 Azure VNet 对等连接详细信息
- 从 Citrix DaaS for Azure 中的 管理 > Azure 快速部署 仪表板,展开右侧的 网络连接 。
- 选择要显示的 Azure VNet 对等连接。
详细信息包括:
- 使用此连接的目录、机器、图像和堡垒的数量。
- 区域、分配的网络空间和对等 VNet。
- 当前为 VNet 对等连接配置的路由。
管理现有 Azure VNet 对等连接的自定义路由
您可以向现有连接添加新的自定义路由或修改现有的自定义路由,包括禁用或删除自定义路由。
重要:
修改、禁用或删除自定义路由会改变连接的流量,并可能中断任何可能处于活动状态的用户会话。
要添加自定义路线:
- 从 VNet 对等连接详细信息中,选择 路由 ,然后单击 添加路由。
- 输入一个友好名称、目标 IP 地址和前缀以及要使用的下一跳类型。 如果选择 虚拟设备 作为下一跳类型,请输入设备的内部 IP 地址。
- 指示是否要启用自定义路线。 默认情况下,自定义路由是启用的。
- 点击 添加路线。
要修改或禁用自定义路线:
- 从 VNet 对等连接详细信息中,选择 路由 ,然后找到要管理的自定义路由。
-
从省略号菜单中,选择 编辑。
- 根据需要对目标 IP 地址和前缀或下一跳类型进行必要的更改。
- 要启用或禁用自定义路线,请在 启用此路线?中选择 是 或 否。
- 点击 保存。
要删除自定义路线:
- 从 VNet 对等连接详细信息中,选择 路由 ,然后找到要管理的自定义路由。
- 从省略号菜单中,选择 删除。
- 选择 删除路线可能会中断活动会话 以确认删除自定义路线的影响。
- 单击 删除路线。
删除 Azure VNet 对等连接
删除 Azure VNet 对等体之前,请先删除与其关联的所有目录。 参见 删除目录。
- 从 Citrix DaaS for Azure 中的 管理 > Azure 快速部署 仪表板,展开右侧的 网络连接 。
- 选择要删除的连接。
- 从连接详细信息中,单击 删除连接。
Azure VPN 网关
Azure VPN 功能目前可供技术预览。
关于 Azure VPN 网关连接
Azure VPN 网关连接在 Citrix 管理的 Azure VDA(桌面和应用程序)与您公司的资源(例如本地网络或其他云位置的资源)之间提供了通信链接。 这类似于设置并连接远程分支机构。
安全连接使用行业标准协议互联网协议安全 (IPsec) 和互联网密钥交换 (IKE)。
在连接创建过程中:
-
您提供 Citrix 用于创建网关和连接的信息。
-
Citrix 创建基于站点到站点路由的 Azure VPN 网关。 VPN 网关在 Citrix 管理的 Azure 订阅和您的 VPN 主机设备之间形成直接 Internet 协议安全 (IPsec) 隧道。
-
Citrix 创建 Azure VPN 网关和连接后,您可以更新 VPN 的配置、防火墙规则和路由表。 对于此过程,您使用 Citrix 提供的公共 IP 地址和您为创建连接提供的预共享密钥 (PSK)。
示例连接如 中所示,创建 Azure VPN 网关连接。
您不需要自己的 Azure 订阅来创建此类连接。
您还可以选择将此连接类型用于自定义路线。
Azure VPN 网关自定义路由
自定义或用户定义的路由会覆盖默认系统路由,以引导网络中的虚拟机与 Internet 之间的流量。 如果 Citrix Virtual Apps and Desktops Standard 资源需要访问某些网络,但这些网络并非通过 Azure VPN 网关直接连接,则您可以使用自定义路由。 例如,您可以创建一个自定义路由,强制流量通过网络设备传输到 Internet 或本地网络子网。
当您向连接添加自定义路由时,这些路由将应用于使用该连接的所有机器。
要使用自定义路线:
- 您的 Citrix Virtual Apps and Desktops Standard 环境中必须具有现有的虚拟网络网关或网络设备。
- 添加自定义路由时,您必须使用目标 VPN 信息更新公司的路由表,以确保端到端连接。
- 自定义路线按照输入顺序显示在 连接 > 路线 选项卡上。 此显示顺序不会影响选择路线的顺序。
在使用自定义路由之前,请查看 Microsoft 文章 虚拟网络流量路由 以了解如何使用自定义路由、下一跳类型以及 Azure 如何为出站流量选择路由。
您可以在创建 Azure VPN 网关连接时或向服务环境中的现有连接添加自定义路由。
Azure VPN 网关连接要求和准备
-
要了解 Azure VPN 网关,请参阅 Microsoft 文章 什么是 VPN 网关?
-
查看所有网络连接</a>的
要求。</p></li>
-
您必须已配置 VPN。 虚拟网络必须能够通过 VPN 网关发送和接收流量。 一个虚拟网络不能与多个虚拟网络网关关联。
-
您必须拥有一个带有公共 IP 地址的 IPsec 设备。 要了解经过验证的 VPN 设备,请参阅 Microsoft 文章 关于 VPN 设备。
-
在实际启动之前,请查看 创建 Azure VPN 网关连接 过程,以便收集所需的信息。 例如,您需要网络中允许的地址、VDA 和网关的 IP 范围、所需的吞吐量和性能级别以及 DNS 服务器地址。</ul>
创建 Azure VPN 网关连接
在实际开始之前请务必检查此过程。
下图显示了配置 Azure VPN 网关连接的示例。 通常,Citrix 在图表左侧管理资源,而您在右侧管理资源。 以下过程中的某些描述包括对图表示例的引用。
-
从 Citrix DaaS for Azure 中的 管理 仪表板,展开右侧的 网络连接 。
-
单击 添加连接。
-
单击 Azure VPN 网关 框中的任意位置。
-
查看 添加 VPN 连接 页面上的信息,然后单击 开始配置 VPN。
-
在 添加连接 页面上,提供以下信息。
-
名称: 连接的名称。 (图中名称为TestVPNGW1。)
-
VPN IP 地址: 您的面向公众的 IP 地址。
图中,地址为40.71.184.214。
- 允许的网络: Citrix 服务被允许在您的网络上访问的一个或多个地址范围。 通常,此地址范围包含您的用户需要访问的资源,例如文件服务器。
要添加多个范围,请单击 添加更多 IP 地址 并输入一个值。 根据需要重复。
图中,地址范围是192.168.3.0/24。
-
预共享密钥: VPN 两端用于身份验证的值(类似于密码)。 您决定这个值是多少。 请务必记下该值。 当您稍后使用连接信息配置 VPN 时,您将需要它。
-
性能和吞吐量: 当您的用户访问网络上的资源时使用的带宽级别。
所有选择不一定都支持边界网关协议(BGP)。 在这些情况下, BCP 设置 字段不可用。
- 区域: 当您创建使用此连接的目录时,Citrix 会在 Azure 区域内部署用于交付桌面和应用程序 (VDA) 的计算机。 创建连接后,您无法更改此选择。 如果您稍后决定使用其他区域,则必须创建或使用指定所需区域的另一个连接。
在图中,该区域是美国东部。
-
主动-主动(高可用性)模式: 是否创建两个 VPN 网关以实现高可用性。 启用此模式时,一次只有一个网关处于活动状态。 在 Microsoft 文档 高可用性跨场所连接中了解主动-主动 Azure VPN 网关。
-
BGP 设置: (仅当选定的 性能和吞吐量 支持 BGP 时可用。)是否使用边界网关协议(BGP)。 在 Microsoft 文档中了解 BGP: 关于使用 Azure VPN 网关的 BGP。 如果启用 BGP,请提供以下信息:
- **自治系统编号 (ASN):** Azure 虚拟网络网关分配的默认 ASN 为 65515。 两个网关之间启用 BGP 的连接要求它们的 ASN 不同。 如果需要,您可以现在或在创建网关后更改 ASN。- BGP IP 对等 IP 地址: Azure 支持范围为 169.254.21.x 到 169.254.22.x的 BGP IP。
-
VDA 子网: 当您创建使用此连接的目录时,Citrix VDA(提供桌面和应用程序的机器)和 Cloud Connectors 将驻留的地址范围。 输入 IP 地址并选择网络掩码后,将显示地址范围以及该范围支持的地址数。
Although this address range is maintained in the Citrix-managed Azure subscription, it functions as if it is an extension of your network. - IP 范围不得与您在本地或其他云网络中使用的任何地址重叠。 如果地址重叠,则连接可能无法成功建立。 此外,重叠的地址无法正确执行站点管理任务。-
VDA 子网范围必须与网关子网地址不同。
-
创建连接后,您无法更改此值。 要使用不同的值,请创建另一个连接。
在图中,VDA 子网是 10.11.0.0/16。
-
-
网关子网: 创建使用此连接的目录时,Azure VPN 网关将驻留的地址范围。
- IP 范围不得与您在本地或其他云网络中使用的任何地址重叠。 如果地址重叠,则连接可能无法成功建立。 此外,重叠的地址无法正确执行站点管理任务。-
网关子网范围必须与 VDA 子网地址不同。
-
创建连接后,您无法更改此值。 要使用不同的值,请创建另一个连接。
图中,网关子网为 10.12.0.9/16。
-
-
路线: 指示是否要向连接添加自定义路线。 如果要添加自定义路线,请提供以下信息:
- 为自定义路线输入一个友好名称。
-
要添加多条路线,请单击 添加路线 并输入所需信息。
- **DNS 服务器:** 输入您的 DNS 服务器地址,并指明首选服务器。 虽然您可以稍后更改 DNS 服务器条目,但请记住,更改它们可能会导致使用此连接的目录中的计算机出现连接问题。
要添加两个以上的 DNS 服务器地址,请单击“ **添加备用 DNS** ”,然后输入所需的信息。
- 单击 创建 VPN 连接。
Citrix 创建连接后,它将列在 Citrix DaaS for Azure 中 管理 仪表板上的 网络连接 > Azure VPN 网关 下。 连接卡包含一个公共IP地址。 (图中地址为131.1.1.1。)
- 使用此地址(以及创建连接时指定的预共享密钥)来配置您的 VPN 和防火墙。 如果您忘记了预共享密钥,您可以在连接的 详细信息 页面上更改它。 您将需要新的密钥来配置您的 VPN 网关端。
例如,允许您配置的 VDA 和网关子网 IP 地址范围在防火墙中例外。
- 使用 Azure VPN 网关连接信息更新公司的路由表,以确保端到端连接。
在图中,从 192.168.3.0/24 到 10.11.0.0/16 和 10.12.0.9/16(VDA 和网关子网)的流量需要新的路由。
- 如果您配置了自定义路线,也请对其进行适当的更新。
当连接的两端都成功配置后, 网络连接 > Azure VPN 网关 中的连接条目指示 可供使用。
查看 Azure VPN 网关连接
-
从 Citrix DaaS for Azure 中的 管理 仪表板,展开右侧的 网络连接 。
-
选择您想要显示的连接。
显示:
-
详细信息 选项卡显示使用此连接的目录、机器、图像和堡垒的数量。 它还包含您为此连接配置的大部分信息。
-
Routes 选项卡列出了连接的自定义路线信息。
管理 Azure VPN 网关连接的自定义路由
在现有的 Azure VPN 网关连接中,你可以添加、修改、禁用和删除自定义路由。
有关在创建连接时添加自定义路由的信息,请参阅 创建 Azure VPN 网关连接。
重要:
修改、禁用或删除自定义路由会改变连接的流量,并可能中断活动用户会话。
-
从 Citrix DaaS for Azure 中的 管理 仪表板,展开右侧的 网络连接 。
-
选择您想要显示的连接。
-
要添加自定义路线:
1. 从连接的 **路由** 选项卡中,单击 **添加路由**。-
输入一个友好名称、目标 IP 地址和前缀以及要使用的下一跳类型。 如果选择 虚拟设备 作为下一跳类型,请输入设备的内部 IP 地址。
-
指示是否要启用自定义路线。 默认情况下,自定义路由是启用的。
-
点击 添加路线。
-
-
要修改或启用/禁用自定义路线:
1. 从连接的 **路由** 选项卡中,找到您想要管理的自定义路由。-
从省略号菜单中,选择 编辑。
-
根据需要更改目标 IP 地址和前缀或下一跳类型。
-
指示是否要启用该路线。
-
点击 保存。
-
-
要删除自定义路线:
1. 从连接的 **路由** 选项卡中,找到您想要管理的自定义路由。-
从省略号菜单中,选择 删除。
-
选择 删除路线可能会中断活动会话 以确认删除自定义路线的影响。
-
单击 删除路线。
-
-
重置或删除 Azure VPN 网关连接
重要:
重置连接会导致当前连接丢失,两端必须重新建立连接。 重置会中断活动用户会话。
删除连接之前,请先删除所有使用该连接的目录。 参见 删除目录。
要重置或删除连接:
-
从 Citrix DaaS for Azure 中的 管理 仪表板,展开右侧的 网络连接 。
-
选择您想要重置或删除的连接。
-
从连接的 详细信息 选项卡:
-
要重置连接,请单击 重置连接。
-
要删除连接,请单击 删除连接。
-
-
如果出现提示,请确认操作。
创建公共静态 IP 地址
如果希望连接上的所有计算机 VDA 使用单个出站公共静态 IP 地址(网关)连接到 Internet,请启用 NAT 网关。 您可以启用 NAT 网关来连接已加入域或未加入域的目录。
要为连接启用 NAT 网关:
- 从 Citrix DaaS for Azure 中的 管理 > Azure 快速部署 仪表板,展开右侧的 网络连接 。
- 在 网络连接下,选择 CITRIX MANAGED 或 AZURE VNET PEERINGS下的连接。
- 在连接详细信息卡中,单击 启用 NAT 网关。
- 在启用 NAT 网关页面中,将滑块移动到 是 并配置空闲时间。
- 单击 确认更改。
启用 NAT 网关时:
-
Azure 自动为网关分配一个公共静态 IP 地址。 (您无法指定此地址。)所有目录中使用此连接的所有 VDA 都将使用该地址进行出站连接。
-
您可以指定空闲超时值。 该值表示通过 NAT 网关打开的出站连接在关闭之前可以保持空闲的分钟数。
-
您必须在防火墙中允许公共静态 IP 地址。
您可以返回连接详细信息卡来启用或禁用 NAT 网关并更改超时值。