网络连接

简介

本文提供了有关使用 Citrix 托管 Azure 订阅时的几种部署方案的详细信息。

创建目录时,应指明用户是否以及如何通过 Citrix DaaS Standard for Azure(以前称为适用于 Azure 的 Citrix Virtual Apps and Desktops Standard )桌面和应用程序访问其公司内部部署网络上的位置和资源。

使用 Citrix 托管 Azure 订阅时,可以选择:

使用自己的客户管理的 Azure 订阅之一时,无需创建与 Citrix DaaS for Azure 的连接。您只需将 Azure 订阅添加到 Citrix DaaS for Azure 中

创建目录后,无法更改目录的连接类型。

所有网络连接的要求

  • 创建连接时,必须具有有效的 DNS 服务器条目
  • 使用安全 DNS 或第三方 DNS 提供程序时,必须将分配给 Citrix DaaS for Azure 使用的地址范围添加到允许列表中的 DNS 提供程序的 IP 地址中。该地址范围是在您创建连接时指定的。
  • 所有使用连接的服务资源(已加入域的计算机)必须能够到达网络时间协议 (NTP) 服务器,以确保时间同步。

无连接

为目录配置了 No connectivity(无连接)时,用户将无法访问其本地或其他网络中的资源。这是使用快速创建创建目录时唯一的选择。

没有与其他网络的连接

关于 Azure VNet 对等互连连接

虚拟网络对等互连无缝连接下面两个 Azure 虚拟网络 (VNet):您的 VNet 和 Citrix DaaS for Azure VNet。对等互连还有助于用户访问您的本地网络中的文件和其他项目。

如下图所示,您可以使用 Azure VNet 对等互连创建从 Citrix 托管 Azure 订阅到贵公司的 Azure 订阅中的 VNet 的连接。

客户本地网络的部署场景

下面是 VNet 对等互连的另一个例证。

VNet 对等关系图

创建目录时,用户可以通过加入本地域来访问其本地网络资源(例如文件服务器)。(也就是说,您加入了文件共享和其他所需资源所在的 AD 域。)您的 Azure 订阅连接到这些资源(在图形中,使用 VPN 或 Azure ExpressRoute)。创建目录时,您需要提供域、OU 和帐户凭据。

重要:

  • 请在 Citrix DaaS for Azure 中使用 VNet 对等互连之前了解其信息。
  • 在创建使用 VNet 对等互连连接的目录之前创建 VNet 对等连接。

Azure VNet 对等互连自定义路由

自定义或用户定义的路由会覆盖 Azure 的默认系统路由,用于定向 VNet 对等互连中的虚拟机、本地网络和 Internet 之间的流量。如果 Citrix DaaS for Azure 资源期望访问某些网络,但某些网络不是通过 VNet 对等互连直接连接的,则可以使用自定义路由。例如,您可以创建自定义路由,将流量强制通过网络设备传入 Internet 或本地网络子网。

要使用自定义路由,请执行以下操作:

  • 您必须在 Citrix DaaS for Azure 环境中拥有现有的 Azure 虚拟网络网关或网络设备,例如 Citrix SD-WAN。
  • 添加自定义路由时,必须使用 Citrix DaaS for Azure 的目标 VNet 信息更新公司的路由表,以确保端到端连接。
  • 自定义路由将按输入路由的顺序在 Citrix DaaS for Azure 中显示。此显示顺序不影响 Azure 选择路由的顺序。

在使用自定义路由之前,请查看 Microsoft 文章 Virtual network traffic routing(虚拟网络流量路由),了解如何使用自定义路由、下一个跃点类型以及 Azure 如何为出站流量选择路由。

可以在创建 Azure VNet 对等互连连接时添加自定义路由,也可以添加到 Citrix DaaS for Azure 环境中的现有路由。准备好在 VNet 对等互连中使用自定义路由时,请参阅本文中的以下部分:

Azure VNet 对等互连的要求和准备工作

  • Azure Resource Manager 订阅所有者的凭据。这必须是 Azure Active Directory 帐户。Citrix DaaS for Azure 不支持其他帐户类型,例如 live.com 或外部 Azure AD 帐户(在不同的租户中)。
  • Azure 订阅、资源组和虚拟网络 (VNet)。
  • 设置 Azure 网络路由,以便 Citrix 托管 Azure 订阅中的 VDA 可以与您的网络位置通信。
  • 将 Azure 网络安全组从您的 VNet 打开到指定的 IP 范围。
  • Active Directory: 对于已加入域的场景,我们建议您在对等互连的 VNet 中运行某种形式的 Active Directory 服务。这利用了 Azure VNet 对等互连技术的低延迟特性。

    例如,配置可能包括 Azure Active Directory 域服务 (AADDS)、VNet 中的域控制器 VM 或 Azure AD 连接到您的本地 Active Directory。

    启用 AADDS 后,如果不删除托管域,则无法将您的托管域移动到其他 VNet。因此,选择正确的 VNet 来启用托管域非常重要。在继续之前,请查看 Microsoft 文章 Networking considerations for Azure AD Domain Services(Azure AD 域服务的网络连接注意事项)。

  • VNet IP range(VNet IP 范围):创建连接时,必须提供可用的 CIDR 地址空间(IP 地址和网络前缀),该空间在网络资源与正在连接的 Azure VNet 中是唯一的。这是分配给 Citrix DaaS for Azure 的对等互连 VNet 中的 VM 的 IP 范围。

    确保指定的 IP 范围不与您在 Azure 和本地网络中使用的任何地址重叠。

    • 例如,如果您的 Azure VNet 的地址空间为 10.0.0.0 /16,请在 Citrix DaaS for Azure 中创建 VNet 对等互连连接,例如 192.168.0.0 /24。

    • 在此示例中,创建 IP 范围 10.0.0.0 /24 的对等互连连接将被视为重叠的地址范围。

    如果地址重叠,VNet 对等互连连接可能无法成功创建。对于站点管理任务,它也不能正常运行。

要了解有关 VNet 对等互连的信息,请参阅以下 Microsoft 文章。

创建 Azure VNet 对等互连连接

  1. 在 Citrix DaaS for Azure 中的管理 > Azure 快速部署控制板中,展开右侧的网络连接。如果您已设置连接,系统会将其列出。

    连接列表

  2. 单击添加连接
  3. 单击 添加 Azure VNet 对等互连框中的 任意位置。

    添加 VNet 对等连接

  4. 单击验证 Azure 帐户

    验证您的 Azure 订阅

  5. Citrix DaaS for Azure 会自动将您引导至 Azure 登录页面对您的 Azure 订阅进行身份验证。登录 Azure(使用全局管理员帐户凭据)并接受条款后,您将返回到连接创建详细信息对话框。

    VNet 对等互连连接创建字段

  6. 键入 Azure VNet 对等方的名称。
  7. 选择 Azure 订阅、资源组以及要建立对等连接的 VNet。
  8. 指示选定的 VNet 是否使用 Azure 虚拟网络网关。有关信息,请参阅 Microsoft 文章 Azure VPN 网关
  9. 如果在上一步中回答 (选定的 VNet 使用 Azure 虚拟网络网关),请指明是否要启用虚拟网络网关路由传播。启用后,Azure 会自动学习(添加)通过网关的所有路由。

    您可以稍后在连接的 Details(详细信息)页面上更改此设置。但是,更改它可能会导致路由模式更改和 VDA 流量中断。此外,如果稍后禁用它,则必须手动向 VDA 将使用的网络添加路由。

  10. 键入 IP 地址并选择网络掩码。系统将显示要使用的地址范围以及该范围支持的地址数量。确保 IP 范围不会与 Azure 和本地网络中使用的任何地址重叠。

    • 例如,如果 Azure VNet 的地址空间为 10.0.0.0 /16,则在 Citrix Virtual Apps and Desktops Standard 中创建 VNet 对等连接,例如 192.168.0.0 /24。
    • 在此示例中,创建具有 10.0.0.0 /24 IP 范围的 VNet 对等连接将被视为重叠的地址范围。

    如果地址重叠,VNet 对等连接可能无法成功创建。对于站点管理任务,它也无法正常运行。

  11. 指示是否要向 VNet 对等互连连接添加自定义路由。如果选择 Yes(是),请输入以下信息:
    1. 为自定义路由键入友好名称。
    2. 输入目标 IP 地址和网络前缀。网络前缀必须介于 16 到 24 之间。
    3. 为要将流量路由到的位置选择下一个跃点类型。如果选择 Virtual appliance(虚拟设备),请输入设备的内部 IP 地址。

      自定义路由创建字段

      有关下一跳类型的更多信息,请参阅 Microsoft 文章虚拟网络流量路由中的自定义路由

    4. 单击 添加路由 可为连接创建另一个自定义路由。
  12. 单击 添加 VNet 对等互连

创建连接后,它会列在 管理 > Azure 快速部署控制板右侧的网络连接 > AzureVNet 对等 项下。创建目录时,此连接将包含在可用网络连接列表中。

查看 Azure VNet 对等互连连接详细信息

VNet 对等互连连接详细信息

  1. 在 Citrix DaaS for Azure 中的管理 > Azure 快速部署控制板中,展开右侧的网络连接
  2. 选择要显示的 Azure VNet 对等互连连接。

详细信息包括:

  • 使用此连接的目录、计算机、映像和堡垒的数量。
  • 区域、分配的网络空间和对等互连的 VNet。
  • 当前为 VNet 对等互连连接配置的路由。

管理现有 Azure VNet 对等互连连接的自定义路由

可以向现有连接添加新的自定义路由或修改现有的自定义路由,包括禁用或删除自定义路由。

重要:

修改、禁用或删除自定义路由会更改连接的流量,并且可能会中断可能处于活动状态的任何用户会话。

要添加自定义路由,请执行以下操作:

  1. 从 VNet 对等连接详细信息中,选择 路由 ,然后单击 添加路由。
  2. 输入友好名称、目标 IP 地址和前缀以及要使用的下一个跃点类型。如果选择 Virtual Appliance(虚拟设备)作为下一个跃点类型,请输入设备的内部 IP 地址。
  3. 指示是否要启用自定义路由。默认情况下,自定义路由处于启用状态。
  4. 单击 添加路由

要修改或禁用自定义路由:

  1. 从 VNet 对等互连连接详细信息中,选择 路由 ,然后找到要管理的自定义路由。
  2. 从省略号菜单中,选择 Edit(编辑)。

    VNet 对等互连详细信息页面中的“Routes”(路由)选项卡

  3. 根据需要对目标 IP 地址和前缀或下一个跃点类型进行任何必要的更改。
  4. 要启用或禁用自定义路由,请在 启用此路由?中,选择“”或“”。
  5. 单击保存

要删除自定义路由,请执行以下操作:

  1. 从 VNet 对等互连连接详细信息中,选择 路由 ,然后找到要管理的自定义路由。
  2. 从省略号菜单中,选择 Delete(删除)。
  3. 选择 删除路由可能会中断活动会话 ,以确认删除自定义路由的影响。
  4. 单击 删除路由

删除 Azure VNet 对等连接

在删除 Azure VNet 对等体之前,请删除与其关联的所有目录。请参阅删除目录

  1. 在 Citrix DaaS for Azure 中的管理 > Azure 快速部署控制板中,展开右侧的网络连接
  2. 选择要删除的连接。
  3. 从连接详细信息中,单击 删除连接

关于 SD-WAN 连接

Citrix SD-WAN 优化了适用于 Azure 的 Citrix Virtual Apps and Desktops Standard 所需的所有网络连接。Citrix SD-WAN 与 HDX 技术协同工作,为 ICA 和带外 Citrix Virtual Apps and Desktops Standard 流量提供了服务质量和连接可靠性。Citrix SD-WAN 支持以下网络连接:

  • 用户与其虚拟桌面之间的多流 ICA 连接
  • 从虚拟桌面到 Web 站点、SaaS 应用程序和其他云属性的 Internet 访问
  • 从虚拟桌面返回访问本地资源,例如 Active Directory、文件服务器和数据库服务器
  • 实时/交互流量通过 RTP 从 Workspace 应用程序中的媒体引擎传输到云托管的统一通信服务(例如 Microsoft Teams)
  • 客户端从 YouTube 和 Vimeo 等站点提取视频

如下图所示,可以创建从 Citrix 托管 Azure 订阅到您的站点的 SD-WAN 连接。在创建连接过程中,SD-WAN VPX 设备是在 Citrix 托管 Azure 订阅中创建的。从 SD-WAN 的角度来看,该位置被视为分支机构。

SD-WAN 连接

SD-WAN 连接要求和准备工作

  • 如果不满足以下要求,则 SD-WAN 网络连接选项不可用。

    • Citrix Cloud 授权:适用于 Azure 和 SD-WAN Orchestrator 的 Citrix Virtual Apps and Desktops Standard。
    • 已安装和配置的 SD-WAN 部署。部署必须包括主控制节点 (MCN)(无论是在云端还是本地),并使用 SD-WAN Orchestrator 进行管理。
  • VNet IP 范围:提供可用的 CIDR 地址空间(IP 地址和网络前缀),该空间在所连接的网络资源中是唯一的。这是分配给 Citrix Virtual Apps and Desktops Standard VNet 中虚拟机的 IP 范围。

    确保您指定的 IP 范围不与云和本地网络中使用的任何地址重叠。

    • 例如,如果您的网络的地址空间为 10.0.0.0 /16,则在 Citrix Virtual Apps and Desktops Standard 中创建连接,例如 192.168.0.0 /24。
    • 在本示例中,创建具有 10.0.0.0 /24 IP 范围的连接将被视为重叠的地址范围。

    如果地址重叠,则可能无法成功创建连接。对于站点管理任务,它也不能正常运行。

  • 连接配置过程包括您(Citrix DaaS for Azure 管理员)和 SD-WAN Orchestrator 管理员必须完成的任务。此外,要完成任务,您需要 SD-WAN Orchestrator 管理员提供的信息。

    我们建议您在实际创建连接之前查看本文档中的指南以及 SD-WAN 文档。

创建 SD-WAN 连接

重要:

有关 SD-WAN 配置的详细信息,请参阅适用于 Azure 的 Citrix Virtual Apps and Desktops Standard 集成的 SD-WAN 配置

  1. 在 Citrix DaaS for Azure 中的管理 > Azure 快速部署控制板中,展开右侧的网络连接
  2. 单击添加连接
  3. 添加网络连接 页面上,单击 SD-WAN 框中的任意位置。
  4. 下一页总结了未来的情况。阅读完毕后,单击 开始配置 SD-WAN
  5. 配置 SD-WAN 页面上,输入 SD-WAN Orchestrator 管理员提供的信息。

    • Deployment mode(部署模式):如果选择 High availability(高可用性),则会创建两个 VPX 设备(建议用于生产环境)。如果选择 Standalone(独立),则会创建一个设备。以后不能更改此设置。要更改到部署模式,必须删除并重新创建分支和所有关联的目录。
    • Name(名称):键入 SD-WAN 站点的名称。
    • Throughput and number of offices(吞吐量和办公室数量):此信息由您的 SD-WAN Orchestrator 管理员提供。
    • Region(区域):将创建 VPX 设备所在的区域。
    • VDA subnet and SD-WAN subnet(VDA 子网和 SD-WAN 子网):此信息由您的 SD-WAN Orchestrator 管理员提供。有关避免冲突的信息,请参阅 SD-WAN 连接要求和准备工作
  6. 完成后,单击 创建分支
  7. 下一页总结了要在“管理”>“Azure 快速部署”控制板上查找的内容。阅读完毕后,点击 获取它
  8. 管理 > Azure 快速部署 控制板上, 网络连接 下的新 SD-WAN 条目显示配置过程的进度。当条目变成橙色并显示“等待 SD-WAN 管理员激活”消息时,请通知您的 SD-WAN Orchestrator 管理员。
  9. 有关 SD-WAN Orchestrator 管理员任务,请参阅 SD-WAN Orchestrator 产品文档
  10. SD-WAN Orchestrator 管理员完成后, 网络连接 下的 SD-WAN 条目变为绿色,并显示消息 您可以使用此连接创建目录。

查看 SD-WAN 连接详细信息

  1. 在 Citrix DaaS for Azure 中的管理 > Azure 快速部署控制板中,展开右侧的网络连接
  2. 如果该选项不是唯一的选择,请选择 SD-WAN
  3. 单击要显示的连接。

该展示包括:

  • Details(详细信息)选项卡:配置连接时指定的信息。
  • Branch Connectivity(分支机构连接)选项卡:每个分支机构和 MCN 的名称、云连接性、可用性、带宽层、角色和位置。

删除 SD-WAN 连接

在删除 SD-WAN 连接之前,请删除与之关联的所有目录。请参阅删除目录

  1. 在 Citrix DaaS for Azure 中的管理 > Azure 快速部署控制板中,展开右侧的网络连接
  2. 如果该选项不是唯一的选择,请选择 SD-WAN。
  3. 单击要删除的连接,以展开其详细信息。
  4. 详细信息 选项卡上,单击 删除连接
  5. 确认删除。

Azure VPN技术预览版

Azure VPN 功能可用于技术预览版。

关于 Azure VPN 网关连接

Azure VPN 网关连接在 Citrix 托管的 Azure VDA(桌面和应用程序)与贵公司的资源(例如本地网络或其他云位置中的资源)之间提供通信链接。这类似于设置和连接远程分支机构。

安全连接使用业界标准的协议互联网协议安全 (IPsec) 和互联网密钥交换 (IKE)。

在连接创建过程中:

  • 您将提供 Citrix 用于创建网关和连接的信息。

  • Citrix 创建基于站点到站点路由的 Azure VPN 网关。VPN 网关在 Citrix 管理的 Azure 订阅和您的 VPN 的主机设备之间形成一个直接的互联网协议安全 (IPsec) 隧道。

  • Citrix 创建 Azure VPN 网关和连接后,您将更新 VPN 的配置、防火墙规则和路由表。在此过程中,您将使用 Citrix 提供的公有 IP 地址以及为创建连接提供的预共享密钥 (PSK)。

创建 Azure VPN 网关连接中说明了一个示例连接

创建此类连接不需要自己的 Azure 订阅。

您也可以选择将自定义路由用于此连接类型。

Azure VPN网关自定义路由

自定义或用户定义的路由会覆盖默认的系统路由,用于在网络中的虚拟机和 Internet 之间引导流量。如果存在 Citrix Virtual Apps and Desktops 标准资源应访问但未通过 Azure VPN 网关直接连接的网络,则可以使用自定义路由。例如,您可以创建自定义路由,将流量强制通过网络设备传入 Internet 或本地网络子网。

向连接添加自定义路由时,这些路由将应用于使用该连接的所有计算机。

要使用自定义路由,请执行以下操作:

  • 您必须在 Citrix Virtual Apps and Desktops Standard 环境中拥有现有的虚拟网络网关或网络设备(如 Citrix SD-WAN)。
  • 添加自定义路由时,必须使用目标 VPN 信息更新公司的路由表,以确保端到端连接。
  • 自定义路由按输入顺序显示在 连接 > 路由 选项卡上。此显示顺序不会影响选择路径的顺序。

在使用自定义路由之前,请查看 Microsoft 文章 Virtual network traffic routing(虚拟网络流量路由),了解如何使用自定义路由、下一个跃点类型以及 Azure 如何为出站流量选择路由。

您可以在创建 Azure VPN 网关连接时添加自定义路由,也可以添加至服务环境中的现有连接。

Azure VPN 网关连接要求和准备工作

  • 要了解 Azure VPN 网关,请参阅微软文章 什么是 VPN 网关?

  • 查看 所有网络连接的要求

  • 您必须有配置好的 VPN。虚拟网络必须能够通过 VPN 网关发送和接收流量。一个虚拟网络不能与多个虚拟网络网关关联。

  • 您必须拥有具有公有 IP 地址的 IPsec 设备。要了解经过验证的 VPN 设备,请参阅 Microsoft 文章 关于 VPN 设备

  • 在实际启动 创建 Azure VPN 网关连接 过程之前,请查看该过程,以便收集所需的信息。例如,您需要网络中允许的地址、VDA 和网关的 IP 范围、所需的吞吐量和性能级别以及 DNS 服务器地址。

创建 Azure VPN 网关连接

在实际开始之前,请务必查看此过程。

下图显示了配置 Azure VPN 网关连接的示例。通常,Citrix 在图的左侧管理资源,而您在右侧管理资源。以下过程中的一些描述包括对示意图示例的引用。

Azure VPN 网关连接图

  1. 在 Citrix DaaS for Azure 中的管理控制板中,展开右侧的网络连接

  2. 单击添加连接

  3. 单击 Azure VPN 网关 框中的任意位置。

  4. 查看“添加 VPN 连接”页面上的信息,然后单击“开始配置 VPN”。

  5. 添加连接 页面上,提供以下信息。

    • 名称: 连接的名称。(在图中,名称是 TestVPNGW1。)

    • VPN IP地址: 您的面向公众的IP地址。

      在图中,地址是 40.71.184.214。

    • 允许的网络: 允许 Citrix 服务在您的网络上访问的一个或多个地址范围。通常,此地址范围包含用户需要访问的资源,例如文件服务器。

      要添加多个范围,请单击 添加更多 IP 地址 并输入一个值。根据需要重复。

      在图中,地址范围是 192.168.3.0/24。

    • 预共享密钥: VPN 两端用于身份验证的值(类似于密码)。您决定这个值是多少。请务必记下该值。稍后在使用连接信息配置 VPN 时将需要它。

    • 性能和吞吐量: 用户访问网络上的资源时使用的带宽级别。

      所有选项不一定支持边界网关协议 (BGP)。在这种情况下, BCP 设置 字段不可用。

    • 区域: 当您创建使用此连接的目录时,Citrix 将在其中部署交付桌面和应用程序 (VDA) 的计算机的 Azure 区域。创建连接后,无法更改此选择。如果您稍后决定使用其他区域,则必须创建或使用另一个指定所需区域的连接。

      在图中,该区域是美国东部。

    • 主动-主动(高可用性)模式: 是否创建两个 VPN 网关以实现高可用性。启用此模式时,一次只有一个网关处于活动状态。在 Microsoft 文档 高可用性跨本地连接中了解主动-主动 Azure VPN 网关。

    • BGP 设置: (仅当选定的 性能和吞吐量 支持 BGP 时才可用。)是否使用边界网关协议 (BGP)。在微软文档: 关于使用 Azure VPN 网关的 BGP中了解 BGP。如果启用 BGP,请提供以下信息:

      • 自治系统编号 (ASN): Azure 虚拟网络网关分配的默认 ASN 为 65515。两个网关之间启用 BGP 的连接要求它们的 ASN 不同。如果需要,您可以立即更改ASN,也可以在创建网关后更改 ASN。

      • BGP IP 对等 IP 地址: Azure 支持 169.254.21 范围内的 BGP IP。x 到 169.254.22。x

    • VDA 子网: 创建使用此连接的目录时 Citrix VDA(交付桌面和应用程序的计算机)和云连接器所在的地址范围。输入 IP 地址并选择网络掩码后,将显示地址范围以及该范围支持的地址数量。

      尽管此地址范围保留在 Citrix 管理的 Azure 订阅中,但其功能就像是网络的扩展一样。

      • IP 范围不得与您在本地或其他云网络中使用的任何地址重叠。如果地址重叠,则可能无法成功创建连接。此外,重叠的地址对于站点管理任务也无法正常工作。

      • VDA 子网范围必须与网关子网地址不同。

      • 创建连接后,无法更改此值。要使用其他值,请创建另一个连接。

      在图中,VDA 子网为 10.11.0.0/16。

    • 网关子网: 创建使用此连接的目录时 Azure VPN 网关将驻留的地址范围。

      • IP 范围不得与您在本地或其他云网络中使用的任何地址重叠。如果地址重叠,则可能无法成功创建连接。此外,重叠的地址对于站点管理任务也无法正常工作。

      • 网关子网范围必须不同于 VDA 子网地址。

      • 创建连接后,无法更改此值。要使用其他值,请创建另一个连接。

      在图中,网关子网为 10.12.0.9/16。

    • 路由: 指明是否要向连接添加自定义路由。如果要添加自定义路由,请提供以下信息:

      • 为自定义路由键入友好名称。

      • 输入目标 IP 地址和网络前缀。网络前缀必须介于 16 到 24 之间。

      • 为要将流量路由到的位置选择下一个跃点类型。如果选择 **虚拟设备,请输入设备的内部 IP 地址。有关下一跳类型的更多信息,请参阅 Microsoft 文章虚拟网络流量路由中的自定义路由

    要添加多条路径,请单击 添加路径 并输入请求的信息。

    • DNS 服务器: 输入 DNS 服务器的地址,并指明首选服务器。尽管您可以在以后更改 DNS 服务器条目,但请记住,更改这些条目可能会导致使用此连接的目录中的计算机出现连接问题。

      要添加两个以上的 DNS 服务器地址,请单击“添加备用 DNS”,然后输入请求的信息。

  6. 单击 创建 VPN 连接

Citrix 创建连接后,该连接将在 Citrix DaaS for Azure 中的管理控制板上的网络连接 > Azure VPN 网关下列出。连接卡包含一个公有 IP 地址。(在图中,地址是 131.1.1.1。)

  • 使用此地址(以及您在创建连接时指定的预共享密钥)来配置您的 VPN 和防火墙。如果您忘记了预共享密钥,可以在连接的 详细信息 页面上进行更改。您需要使用新密钥来配置您的 VPN 网关端。

    例如,允许您配置的 VDA 和网关子网 IP 地址范围在防火墙中出现例外。

  • 使用 Azure VPN 网关连接信息更新公司的路由表,以确保端到端连接。

    在图中,从 192.168.3.0/24 到 10.11.0.0/16 和 10.12.0.9/16 的流量(VDA 和网关子网)需要新路由。

  • 如果您配置了自定义路由,也要为它们进行相应的更新。

成功配置连接的两端后, 网络连接 > Azure VPN 网关中的连接 条目将显示 准备使用

查看 Azure VPN 网关连接

  1. 在 Citrix DaaS for Azure 中的管理控制板中,展开右侧的网络连接

  2. 选择要显示的连接。

    显示:

  • 详细信息 选项卡显示使用此连接的目录、计算机、映像和堡垒的数量。它还包含您为此连接配置的大部分信息。

  • 路由 选项卡列出了连接的自定义路由信息。

管理 Azure VPN 网关连接的自定义路由

在现有的 Azure VPN 网关连接中,可以添加、修改、禁用和删除自定义路由。

有关在创建连接时添加自定义路由的信息,请参阅创建 Azure VPN 网关连接

重要:

修改、禁用或删除自定义路由会更改连接的通信流,并可能中断活动的用户会话。

  1. 在 Citrix DaaS for Azure 中的管理控制板中,展开右侧的网络连接

  2. 选择要显示的连接。

    • 要添加自定义路由,请执行以下操作:

      1. 在连接的 路由 选项卡中,单击 添加路由

      2. 输入友好名称、目标 IP 地址和前缀以及要使用的下一个跃点类型。如果选择 Virtual Appliance(虚拟设备)作为下一个跃点类型,请输入设备的内部 IP 地址。

      3. 指示是否要启用自定义路由。默认情况下,自定义路由处于启用状态。

      4. 单击 添加路由

    • 要修改或启用/禁用自定义路由,请执行以下操作:

      1. 在连接的“路由”选项卡中,找到要管理的自定义路由。

      2. 从省略号菜单中,选择 Edit(编辑)。

      3. 根据需要更改目标 IP 地址和前缀或下一跳类型。

      4. 指明是否要启用路由。

      5. 单击保存

    • 要删除自定义路由,请执行以下操作:

      1. 在连接的“路由”选项卡中,找到要管理的自定义路由。

      2. 从省略号菜单中,选择 Delete(删除)。

      3. 选择 删除路由可能会中断活动会话 ,以确认删除自定义路由的影响。

      4. 单击 删除路由

重置或删除 Azure VPN 网关连接

重要:

  • 重置连接会导致当前连接丢失,两端都必须重新建立连接。重置会中断活动用户会话。

  • 删除连接之前,请先删除使用该连接的所有目录。请参阅删除目录

要重置或删除连接,请执行以下操作:

  1. 在 Citrix DaaS for Azure 中的管理控制板中,展开右侧的网络连接

  2. 选择要重置或删除的连接。

  3. 在连接的 详细信息 选项卡中:

    • 要重置连接,请单击“重置连接”。

    • 要删除连接,请单击“删除连接”。

  4. 如果出现提示,请确认操作。

创建公共静态 IP 地址

如果希望连接上的所有计算机 VDA 都使用单个出站公有静态 IP 地址(网关)到 Internet,请启用 NAT 网关。您可以为已加入域或未加入域的目录的连接启用 NAT 网关。

要为连接启用 NAT 网关,请执行以下操作:

  1. 在 Citrix DaaS for Azure 中的管理 > Azure 快速部署控制板中,展开右侧的网络连接
  2. 在“网络连接”下,选择 CITRIX MANAGEDAZURE VNet 对等关系下的连接。
  3. 在连接详细信息卡中,单击 启用 NAT 网关
  4. 在启用 NAT 网关页面中,将滑块移至 并配置空闲时间。
  5. 单击“确认更改”。

启用 NAT 网关时:

  • Azure 会自动为网关分配一个公共静态 IP 地址。(您无法指定此地址。)使用此连接的所有目录中的所有 VDA 都将使用该地址进行出站连接。

  • 您可以指定空闲超时值。该值表示通过 NAT 网关打开的出站连接在连接关闭之前可以保持空闲状态的分钟数。

  • 您必须在防火墙中允许公用静态 IP 地址。

您可以返回连接详细信息卡以启用或禁用 NAT 网关并更改超时值。