Citrix DaaS

快速部署中的网络连接

注意:

自 2023 年 7 月起,Microsoft 已将 Azure Active Directory (Azure AD) 重命名为 Microsoft Entra ID。在本文档中,任何提及 Azure Active Directory、Azure AD 或 AAD 的内容现在均指 Microsoft Entra ID。

简介

本文提供了有关在使用 Citrix 托管 Azure 订阅时如何创建与公司资源的网络连接的详细信息。

使用自己的客户托管 Azure 订阅时,无需创建网络连接。

创建快速部署目录时,可以指示用户是否以及如何从 Citrix 桌面和应用程序访问其公司本地网络中的位置和资源。使用连接时,必须先创建连接,然后再创建目录。

使用 Citrix 托管 Azure 订阅时,可以选择:

创建目录后,无法更改目录的连接类型。

所有网络连接的要求

  • 创建连接时,必须具有有效的 DNS 服务器条目
  • 使用安全 DNS 或第三方 DNS 提供程序时,必须将分配给 Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)使用的地址范围添加到允许列表中的 DNS 提供程序的 IP 地址中。该地址范围是在您创建连接时指定的。
  • 所有使用连接的服务资源(加入域的计算机)必须能够到达网络时间协议 (NTP) 服务器,以确保时间同步。

无连接

当目录配置为“无连接”时,用户将无法访问本地或其他网络上的资源。这是使用快速创建创建目录时唯一的选择。

没有与其他网络的连接

关于 Azure VNet 对等互连连接

虚拟网络对等互连无缝连接下面两个 Azure 虚拟网络 (VNet):您的 VNet 和 Citrix DaaS VNet。对等互连还有助于用户访问您的本地网络中的文件和其他项目。

如下图所示,在贵公司的 Azure 订阅中,您可以使用 Azure VNet 对等互连从 Citrix 托管 Azure 订阅到 vNet 的 Azure VNet 对等连接。

客户本地网络的部署方案

以下是 vNet 对等互连的另一个例证。

VNet 对等互连关系图

创建目录时,用户可以通过加入本地域来访问其网络资源(例如文件服务器)。(也就是说,您加入了文件共享和其他所需资源所在的 AD 域。)您的 Azure 订阅连接到这些资源(在图形中,使用 VPN 或 Azure ExpressRoute)。创建目录时,您需要提供域、OU 和帐户凭据。

重要:

  • 请在此服务中使用 Azure VNet 对等互连之前了解其信息。
  • 在创建使用 VNet 对等互连连接的目录之前创建 VNet 对等连接。

Azure vNet 对等互连自定义路由

自定义或用户定义的路由会覆盖 Azure 的默认系统路由,用于定向 VNet 对等互连中的虚拟机、本地网络和 Internet 之间的流量。如果 Citrix DaaS 资源期望访问某些网络,但某些网络不是通过 VNet 对等互连直接连接的,则可以使用自定义路由。例如,您可以创建自定义路由,将流量强制通过网络设备传入 Internet 或本地网络子网。

要使用自定义路由,请执行以下操作:

  • 您必须在 Citrix DaaS 环境中拥有现有的 Azure 虚拟网络网关或网络设备,例如 Citrix SD-WAN。
  • 添加自定义路由时,必须使用 Citrix DaaS 的目标 VNet 信息更新公司的路由表,以确保端到端连接。
  • 自定义路由将按输入路由的顺序在 Citrix DaaS 中显示。此显示顺序不影响 Azure 选择路由的顺序。

在使用自定义路由之前,请查看 Microsoft 文章 Virtual network traffic routing(虚拟网络流量路由),了解如何使用自定义路由、下一个跃点类型以及 Azure 如何为出站流量选择路由。

可以在创建 Azure VNet 对等互连连接时添加自定义路由,也可以添加到 Citrix DaaS 环境中的现有路由。准备好在 VNet 对等互连中使用自定义路由时,请参阅本文中的以下部分:

Azure VNet 对等互连的要求和准备工作

  • Azure 订阅所有者的凭据。这必须是 Azure Active Directory 帐户。此服务不支持其他帐户类型,例如 live.com 或外部 Azure AD 帐户(在不同租户中)。
  • Azure 订阅、资源组和虚拟网络 (VNet)。
  • 设置 Azure 网络路由,以便 Citrix 托管 Azure 订阅中的 VDA 可以与网络位置通信。
  • 将 Azure 网络安全组从您的 vNet 打开到指定的 IP 范围。
  • Active Directory: 对于加入了域的场景,我们建议您在对等互连的 VNet 中运行某种形式的 Active Directory 服务。这利用了 Azure vNet 对等互连技术的低延迟特性。

    例如,配置可能包括 Azure Active Directory 域服务 (AADDS)、vNet 中的域控制器虚拟机或 Azure AD 连接到本地 Active Directory。

    启用 AADDS 后,如果不删除托管域,就无法将托管域移动到其他 VNet。因此,选择正确的 VNet 来启用托管域非常重要。在继续之前,请查看 Microsoft 文章Azure AD 域服务的网络注意事项

  • VNet IP 范围: 创建连接时,必须提供可用的 CIDR 地址空间(IP 地址和网络前缀),该空间在网络资源与正在连接的 Azure VNet 中是唯一的。这是分配给 Citrix DaaS 的对等互连 VNet 中的 VM 的 IP 范围。

    确保指定的 IP 范围不与您在 Azure 和本地网络中使用的任何地址重叠。

    • 例如,如果您的 Azure VNet 的地址空间为 10.0.0.0 /16,请在 Citrix DaaS 中创建 VNet 对等互连连接,例如 192.168.0.0 /24。

    • 在此示例中,创建 IP 范围 10.0.0.0 /24 的对等互连连接将被视为重叠的地址范围。

    如果地址重叠,VNet 对等互连连接可能无法成功创建。对于站点管理任务,它也不能正常运行。

要了解有关 VNet 对等互连的信息,请参阅以下 Microsoft 文章。

创建 Azure VNet 对等互连连接

  1. Manage(管理)> Quick Deploy(快速部署)中,展开右侧的 Network Connections(网络连接)。如果您已设置连接,系统会将其列出。

    连接列表

  2. 选择 Add Connection(添加连接)。
  3. 单击 Add Azure VNet Peering(添加 Azure VNet 对等互连)框中的任意位置。

    添加 VNet 对等互连连接

  4. 选择 Authenticate Azure Account(身份验证 Azure 帐户)。

    验证您的 Azure 订阅

  5. Citrix DaaS 会自动将您引导至 Azure 登录页面对您的 Azure 订阅进行身份验证。登录 Azure(使用全局管理员帐户凭据)并接受条款后,您将返回到连接创建详细信息对话框。

    vNet 对等互连连接创建字段

  6. 键入 Azure vNet 对等体的名称。
  7. 选择 Azure 订阅、资源组和 vNet 对等。
  8. 指明选定的 vNet 是否使用 Azure 虚拟网络网关。有关信息,请参阅 Microsoft 文章 Azure VPN Gateway(Azure VPN 网关)。
  9. 如果在上一步中回答 Yes(是)(VNet 使用 Azure 虚拟网络网关),请指示是否要启用虚拟网络网关路由传播。启用后,Azure 会自动学习(添加)通过网关建立的所有路由。

    您可以稍后在连接的“详细信息”页面上更改此设置。但是,对其进行更改可能会导致路由模式更改和 VDA 流量中断。此外,如果以后将其禁用,则必须手动向 VDA 要使用的网络添加路由。

  10. 键入 IP 地址并选择网络掩码。将显示要使用的地址范围以及该范围支持的地址数量。确保 IP 范围不会重叠您在 Azure 和本地网络中使用的任何地址。

    • 例如,如果您的 Azure VNet 的地址空间为 10.0.0.0 /16,请在 Citrix DaaS 中创建 VNet 对等互连连接,例如 192.168.0.0 /24。
    • 在此示例中,创建 IP 地址范围为 10.0.0.0 /24 的 VNet 对等互连连接被视为重叠的地址范围。

    如果地址重叠,VNet 对等互连连接可能无法成功创建。对于站点管理任务,它也无法正常工作。

  11. 指明是否要向 vNet 对等连接添加自定义路由。如果选择 ,请输入以下信息:
    1. 为自定义路由键入友好名称。
    2. 输入目标 IP 地址和网络前缀。网络前缀必须介于 16 到 24 之间。
    3. 为要将流量路由到的位置选择下一跳类型。如果选择 Virtual appliance(虚拟设备),请输入设备的内部 IP 地址。

      自定义路由创建字段

      有关下一个跃点类型的详细信息,请参阅 Microsoft 文章 Virtual network traffic routing(虚拟网络流量路由)中的 Custom routes(自定义路由)部分。

    4. 要为连接创建另一个自定义路由,请选择 Add route(添加路由)。
  12. 选择 Add VNet Peering(添加 VNet 对等互连)。

创建连接后,此连接将在 Manage(管理)> Quick Deploy(快速部署)控制板右侧的 Network Connections(网络连接)> Azure VNet Peers(Azure VNet 对等方)下列出。创建目录时,此连接将包含在可用网络连接列表中。

查看 Azure vNet 对等连接详细信息

VNet 对等互连连接详细信息

  1. Manage(管理)> Quick Deploy(快速部署)中,展开右侧的 Network Connections(网络连接)。
  2. 选择要显示的 Azure VNet 对等互连连接。

详细信息包括:

  • 使用此连接的目录、计算机、映像和堡垒的数量。
  • 区域、分配的网络空间和对等互连的 VNet。
  • 当前为 vNet 对等连接配置的路由。

管理现有 Azure vNet 对等连接的自定义路由

您可以向现有连接添加新的自定义路由或修改现有自定义路由,包括禁用或删除自定义路由。

重要:

修改、禁用或删除自定义路由会更改连接的流量,并可能会中断可能处于活动状态的任何用户会话。

要添加自定义路由,请执行以下操作:

  1. Manage(管理)> Quick Deploy(快速部署)中,展开右侧的 Network Connections(网络连接)。
  2. 选择要删除的连接。
  3. 在连接详细信息中,选择 Routes(路由),然后选择 Add Route(添加路由)。
  4. 输入友好名称、目标 IP 地址和前缀以及要使用的下一个跃点类型。如果选择 虚拟设备 作为下一跳类型,请输入设备的内部 IP 地址。
  5. 指明是否要启用自定义路由。默认情况下,自定义路由处于启用状态。
  6. 选择 Add Route(添加路由)。

要修改或禁用自定义路由,请执行以下操作:

  1. Manage(管理)> Quick Deploy(快速部署)中,展开右侧的 Network Connections(网络连接)。
  2. 选择要删除的连接。
  3. 在连接详细信息中,选择 Routes(路由),然后找到要管理的自定义路由。
  4. 从省略号菜单中,选择 Edit(编辑)。

    vNet 对等互连详细信息页面中的“路由”

  5. 根据需要对目标 IP 地址和前缀或下一跳类型进行任何必要的更改。
  6. 要启用或禁用自定义路由,请在 Enable this route?(启用此路由?)中,选择 Yes(是)或 No(否)。
  7. 选择保存

要删除自定义路由,请执行以下操作:

  1. Manage(管理)> Quick Deploy(快速部署)中,展开右侧的 Network Connections(网络连接)。
  2. 选择要删除的连接。
  3. 在连接详细信息中,选择 Routes(路由),然后找到要管理的自定义路由。
  4. 从省略号菜单中,选择 Delete(删除)。
  5. 选择 Deleting a route may disrupt active sessions(删除路由可能会中断活动的会话),以确认删除自定义路由的影响。
  6. 选择 Delete Route(删除路由)。

删除 Azure VNet 对等互连连接

在删除 Azure VNet 对等互连连接之前,请删除与之关联的所有目录。请参阅删除目录

  1. Manage(管理)> Quick Deploy(快速部署)中,展开右侧的 Network Connections(网络连接)。
  2. 选择要删除的连接。
  3. 从连接详细信息中,选择 Delete Connection(删除连接)。

关于 SD-WAN 连接

Citrix SD-WAN 优化 Citrix DaaS 所需的所有网络连接。Citrix SD-WAN 与 HDX 技术协同工作,为 ICA 和带外 Citrix DaaS 流量提供了服务质量和连接可靠性。Citrix SD-WAN 支持以下网络连接:

  • 用户与虚拟桌面之间的多流 ICA 连接
  • 从虚拟桌面到网站、SaaS 应用程序和其他云属性的 Internet 访问
  • 从虚拟桌面访问本地资源,例如 Active Directory、文件服务器和数据库服务器
  • 实时/交互流量通过RTP 从 Workspace 应用程序中的媒体引擎传输到云托管的统一通信服务(如 Microsoft Teams)
  • 客户端从 YouTube 和 Vimeo 等网站获取视频

如下图所示,您可以从 Citrix 托管 Azure 订阅到站点创建 SD-WAN 连接。在创建连接过程中,SD-WAN VPX 设备是在 Citrix 托管 Azure 订阅中创建的。从 SD-WAN 的角度来看,该位置被视为分支机构。

SD-WAN 连接

SD-WAN 连接要求和准备

  • 如果不满足以下要求,SD-WAN 网络连接选项将不可用。

    • Citrix Cloud 服务授权:Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)和 SD-WAN Orchestrator。
    • 已安装并配置的 SD-WAN 部署。部署必须包括主控制节点 (MCN),无论是在云端还是本地,并使用 SD-WAN Orchestrator 进行管理。
  • VNet IP range(VNet IP 范围):提供可用的 CIDR 地址空间(IP 地址和网络前缀),该空间在所连接的网络资源中是唯一的。这是分配给 Citrix DaaS 的互连 VNet 中的 VM 的 IP 范围。

    确保指定的 IP 范围不与您在云端和本地网络中使用的任何地址重叠。

    • 例如,如果您的网络的地址空间为 10.0.0.0 /16,请在 Citrix DaaS 中创建该连接,例如 192.168.0.0 /24。
    • 在此示例中,创建 IP 范围 10.0.0.0 /24 的连接将被视为重叠的地址范围。

    如果地址重叠,则可能无法成功创建连接。对于站点管理任务,它也不能正常运行。

  • 连接配置过程包括您(Citrix DaaS 管理员)和 SD-WAN Orchestrator 管理员必须完成的任务。此外,要完成任务,您需要 SD-WAN Orchestrator 管理员提供的信息。

    我们建议您在实际创建连接之前查看本文档中的指南以及 SD-WAN 文档。

创建 SD-WAN 连接

重要:

有关 SD-WAN 配置的详细信息,请参阅适用于 Citrix DaaS 集成的 SD-WAN 配置

  1. Manage(管理)> Quick Deploy(快速部署)中,展开右侧的 Network Connections(网络连接)。
  2. 选择 Add Connection(添加连接)。
  3. Add a network connection(添加网络连接)页面上,单击“SD-WAN”框中的任意位置。
  4. 下一页总结了接下来的操作。阅读完毕后,选择 Start Configuring SD-WAN(开始配置 SD-WAN)。
  5. Configure SD-WAN(配置 SD-WAN)页面上,输入 SD-WAN Orchestrator 管理员提供的信息。

    • 部署模式: 如果选择 高可用性,则会创建两个 VPX 设备(建议用于生产环境)。如果选择 独立,则会创建一个设备。以后不能更改此设置。要更改到部署模式,必须删除并重新创建分支和所有关联的目录。
    • 名称: 键入 SD-WAN 站点的名称。
    • 吞吐量和办公室数量: 此信息由您的 SD-WAN Orchestrator 管理员提供。
    • 地区: 将创建 VPX 设备的区域。
    • VDA 子网和 SD-WAN 子网: 此信息由您的 SD-WAN Orchestrator 管理员提供。有关避免冲突的信息,请参阅 SD-WAN 连接要求和准备工作
  6. 完成后,选择 Create Branch(创建分支)。
  7. 下一页总结了在 Manage(管理)> Quick Deploy(快速部署)控制板上查找的内容。阅读完毕后,选择 Got it(明白了)。
  8. Manage(管理)> Quick Deploy(快速部署)中,Network Connections(网络连接)下的新 SD-WAN 条目显示了配置过程的进度。当该条目随消息“Awaiting activation by SD-WAN administrator”变为橙色时,请通知您的 SD-WAN Orchestrator 管理员。
  9. 有关 SD-WAN Orchestrator 管理员任务,请参阅 SD-WAN Orchestrator 产品文档
  10. SD-WAN Orchestrator 管理员完成时,Network Connections(网络连接)下的 SD-WAN 条目将变为绿色,并显示消息“You can create catalogs using this connection”。

查看 SD-WAN 连接详细信息

  1. Manage(管理)> Quick Deploy(快速部署)中,展开右侧的 Network Connections(网络连接)。
  2. 如果该选项不是唯一的选择,请选择 SD-WAN
  3. 选择要显示的连接。

展示内容包括:

  • 详细信息选项卡: 配置连接时指定的信息。
  • 分支机构连接选项卡: 每个分支机构和 MCN 的名称、云连接性、可用性、带宽层、角色和位置。

删除 SD-WAN 连接

在删除 SD-WAN 连接之前,请删除与其关联的所有目录。请参阅删除目录

  1. Manage(管理)> Quick Deploy(快速部署)中,展开右侧的 Network Connections(网络连接)。
  2. 如果该选项不是唯一的选择,请选择 SD-WAN。
  3. 选择要删除的连接,以展开其详细信息。
  4. Details(详细信息)选项卡上,选择 Delete Connection(删除连接)。
  5. 确认删除。