适用于 Citrix Virtual Apps and Desktops 的 SD-WAN 配置 Azure 集成的标准

Citrix SD-WAN 是下一代广域网边缘解决方案,通过针对 SaaS、云和虚拟应用程序的灵活、自动化和安全的连接和性能来加速数字化转型,从而确保始终在线的 Workspace 体验。

Citrix SD-WAN 是组织通过快速轻松的设置连接到 Citrix Virtual Apps and Desktops 标准的推荐也是最佳方式。有关详细信息,请参阅 Citrix 博客

优势

  • 通过引导式自动化工作流程,易于在 Citrix Virtual Apps and Desktops 标准中设置 SD-WAN
  • 通过先进的 SD-WAN 技术始终在线的高性能连接
  • 所有连接(VDA 到 DC、用户到 VDA、VDA 到云以及用户到云)的优势
  • 与将流量回传到数据中心相比,可减少延迟
  • 流量管理以确保服务质量 (QoS)

    • 跨 HDX/ICA 流量流(单端口 HDX AutoQoS)的服务质量
    • HDX 和其他流量之间的 QoS
    • 用户之间的 HDX QoS 公平
    • 端到端 QoS
  • 链路绑定可提供更多带宽以提高性能
  • Azure 上具有无缝链路故障切换和 SD-WAN 冗余的高可用性 (HA)
  • 优化的 VoIP 体验(数据包竞速以减少抖动和最小的数据包丢失、QoS、本地突破以减少延迟)
  • 与 ExpressRoute 相比,节省了大量成本并且部署更快、更容易

必备条件

要评估这些新功能,必须遵守以下先决条件:

  1. 您必须拥有具有 Orchestrator 授权的现有 SD-WAN 网络。如果您没有现有的 SD-WAN 网络,则必须使用 SD-WAN Orchestrator 设置一个网络。有关更多详细信息,请参阅配置主控制节点 (MCN)

  2. 您必须订阅 Citrix Virtual Apps and Desktops 标准。
  3. 目前,此集成支持仅适用于客户。如果您是合作伙伴或 MSP,并且必须尝试此服务,则必须以客户身份订阅 Citrix Virtual Apps and Desktops 标准版。只有这样,才能启用此集成。
  4. 要使用 SD-WAN 功能(例如 MSI 的 QoS、应用程序可见性),必须为网络中的所有 SD-WAN 站点配置网络定位服务 (NLS)。
  5. 你必须将 DNS 服务器和 AD 部署在客户端终端节点的位置(位于数据中心环境中,该环境也有 MCN),或者还可以使用 Azure Active Directory (AAD)。
  6. DNS 服务器必须能够解析内部(私有)和外部(公共)IP。
  7. 确保 FQDN sdwan-位.citrixnetworkapi.net 已在防火墙中列入白名单。这是用于网络定位服务的 FQDN,对于通过 SD-WAN 虚拟路径发送流量至关重要。

有关必须在防火墙上列入白名单的云服务列表,请参阅 Orchestrator 使用的先决条件

部署架构

高级部署

任何部署都将具有以下实体:

  • 托管 SD-WAN 设备的本地位置,可以在分支模式下部署,也可以作为 MCN 进行部署。此位置包含客户端计算机、活动目录和 DNS。但是,你也可以选择使用 Azure 的 DNS 和 AD。在大多数情况下,本地位置作为本地数据中心并容纳 MCN。

  • Citrix Virtual Apps and Desktops 标准云服务:此实体提供:

    • 用于为 Citrix Virtual Apps and Desktops 标准启用和监控 SD-WAN 连接的 UI。
    • 在 Azure 中创建 SD-WAN 虚拟机实例。
    • 管理他们的一生。
    • 将 SD-WAN 实例成本与 Citrix Virtual Apps and Desktops 捆绑在一起,用于客户计费的标准费
    • 为 SD-WAN 实例配置本地网络环境(子网、本地路由、防火墙规则等)。
    • 向 SD-WAN Orchestrator 提供 SD-WAN 实例信息,以提供和使用 SD-WAN 监控和其他运营数据。
  • SD-WAN Orchestrator:SD-WAN Orchestrator 为 SD-WAN 管理提供了用户界面:

    • 包括对 Citrix Virtual Apps and Desktops 标准部署的实例的管理。
    • 实施 Citrix Virtual Apps and Desktops 标准 SD-WAN 实例的初始 Provisioning。
    • 对 SD-WAN 实例管理实施限制,以反映 Citrix Virtual Apps and Desktops 标准配置。
    • 与 Citrix Virtual Apps and Desktops 标准集成,以提供和使用 SD-WAN 监控和其他操作数据。
  • 虚拟和物理 SD-WAN 设备:虚拟和物理 SD-WAN 设备在云 (VM)、数据中心本地和分支机构(物理设备或虚拟机)中作为多个实例运行,以便在这些位置之间以及与公众之间提供连接互联网。

    Citrix Virtual Apps and Desktops 标准订阅中的 SD-WAN 实例由 Citrix Virtual Apps and Desktops 标准订阅领域内的 Citrix Virtual Apps and Desktops 标准云服务在 Citrix 虚拟应用程序和桌面标准订阅范围内创建为单个或一组虚拟设备(如果有 HA 部署)。其他位置(DC 和分支机构)的 SD-WAN 设备由客户创建。所有这些 SD-WAN 设备都由 SD-WAN 管理员通过 SD-WAN Orchestrator 进行管理(在配置和软件升级方面)。

  • Citrix Virtual Apps and Desktops 标准 VDA、连接器 -使用 Citrix Virtual Apps and Desktops 标准 SD-WAN 设备作为 Citrix Virtual Apps and Desktops 标准 VNet 之外的所有资源的 Gateway,包括企业本地资源、某些 Azure 服务、以及公共互联网上的 SaaS 应用程序。

用户角色

  1. Citrix Virtual Apps and Desktops 标准管理员:决定使用 SD-WAN 连接并从 SD-WAN 管理员(或其他网络管理员角色)处获取必要的联网信息:
  • 通过 Citrix Virtual Apps and Desktops 标准 UI 启动 SD-WAN 连接配置。
  • 完全启用 SD-WAN 连接后,使用 SD-WAN 连接管理 Citrix Virtual Apps and Desktops 标准目录。
  • 与 SD-WAN 管理员一起监控 SD-WAN 连接,并根据需要采取更多措施。
  1. SD-WAN 管理员:向 Citrix Virtual Apps and Desktops 标准管理员提供 SD-WAN 配置信息:
  • 在 Citrix Virtual Apps and Desktops 标准中激活 SD-WAN 实例以启用与其他网络元素的连接,并执行额外的配置活动。
  • 与 SD-WAN 管理员一起监控 SD-WAN 连接,并根据需要采取额外措施。

Citrix Virtual Apps and Desktops 标准-SDWAN 集成中的不同实体和用户角色之间的交互

SD-WAN Citrix Virtual Apps and Desktops 的访问管理标准集成

  • Citrix Virtual Apps and Desktops 标准版和 SD-WAN Orchestrator 都依赖 Citrix Cloud IDAM 将用户识别为具有只读读写访问权限。
  • 此外,SD-WAN Orchestrator 还能够将类似的访问权限分配给 Orchestrator 中的用户。两种授权机制与 OR 逻辑相结合:在 Citrix Cloud 或 SD-WAN Orchestrator 中拥有管理员访问权限就足以访问 SD-WAN 配置管理。

部署和配置

典型的部署和涉及的实体

在典型部署中,客户将 Citrix SD-WAN 设备(H/W 或 VPX)作为 MCN 部署在其数据中心/大型办公室中。客户数据中心通常会托管本地用户和资源,例如 AD 和 DNS 服务器。在某些情况下,客户可以使用 Azure Active Directory 服务 (AADS) 和 DNS,两者均受 Citrix SD-WAN 和 Citrix Virtual Apps and Desktops 标准集成的支持。

在 Citrix 托管 Azure 订阅中,客户需要部署 Citrix SD-WAN 虚拟设备和 VDA。SD-WAN 设备通过 SD-WAN Orchestrator 进行管理。但是,出于此集成的目的,Citrix 托管 Azure 订阅中的 SD-WAN 设备是通过 Citrix Virtual Apps and Desktops 标准用户界面/工作流进行配置的。配置 SD-WAN 设备后,它将连接到现有的 Citrix SD-WAN 网络,并通过 SD-WAN Orchestrator 处理配置、可见性和管理等其他任务。SD-WAN Orchestrator 和 Citrix Virtual Apps and Desktops 标准版都使用 API 相互通信。

此集成的第三个组成部分是网络定位服务,它允许内部用户绕过 Gateway 并直接连接到 VDA,从而减少内部网络流量的延迟。对于此集成的第 1 阶段,需要手动配置网络定位服务。有关详细信息,请参阅网络定位服务 (NLS)

配置

  1. 在遵循先决条件部分中突出显示的所有必备条件之后,必须配置的第一个项目是 DNS。这必须在 SD-WAN Orchestrator 中进行配置。您需要管理员权限才能在 Orchestrator 上配置 DNS。要配置 DNS,请导航到 Orchestrator GUI 中的配置 > 应用程序和 DNS 设置 > DNS 服务器,然后单击 +DNS 服务器。在随后的屏幕中输入主 DNS 和辅助 DNS。

添加 DNS 服务器

正如上面的部署和配置部分中所强调的那样,AD 和 DNS 存在于作为数据中心的本地位置,在具有 SD-WAN 的部署中,它可在局域网上的 SD-WAN 后面使用。这是你必须在这里配置的 AD/DNS IP。如果你使用的是 Azure Active Directory 服务/DNS,请将 168.63. 129.16 配置为 DNS IP。

如果您正在使用本地 AD/DNS,请检查是否可以从 SD-WAN 设备 ping DNS 的 IP。您可以通过导航到故障排除 > 诊断来完成此操作。选中随后屏幕中的 Ping 复选框,然后从 SD-WAN 设备的 LAN 接口/默认接口启动 ping 到 AD/DNS 的 IP。

局域网接口默认

如果 ping 成功,则表示可以成功访问您的 AD/DNS。如果没有,则表明您的网络中存在路由问题,这使得您的 AD/DNS 无法访问。如果可能,请尝试将 AD 和 SD-WAN 设备托管在同一 LAN 网段上。如果仍然存在问题,请联系您的网络管理员。如果不成功完成此步骤,目录创建步骤将无法成功,并且您可能会收到一条错误消息,指出未配置全局 DNS IP

注意

确保 DNS 能够解析内部和外部 IP。

  1. 登录 Citrix Virtual Apps and Desktops 标准 UI。您可以查看以下屏幕:

Citrix Virtual Apps and Desktops 标准登录屏

单击网络连接可在本地资源与 Citrix Virtual Apps and Desktops 标准订阅之间创建网络连接。单击 + 添加连接

添加社交网络

仅当您满足以下要求时,SD-WAN 选项才会启用:

  • 您必须拥有具有 Orchestrator 授权的现有 SD-WAN 网络。如果您没有现有的 SD-WAN 网络,请使用 SD-WAN Orchestrator 进行设置。有关更多详细信息,请参阅配置主控制节点 (MCN)

  • 您必须订阅 Citrix Virtual Apps and Desktops 标准。

  • 目前,此集成支持仅适用于客户。如果您是合作伙伴或 MSP 并且必须尝试此服务,则必须以客户身份订阅 Citrix Virtual Apps and Desktops 标准版,只有这样才能启用此集成。否则,此选项将保持禁用状态。

    如果您想尝试此集成并需要 SD-WAN Orchestrator 的试用访问权限,请访问 citrix.cloud.com 或 sdwan.cloud.com 来申请试用。

  1. 满足先决条件中突出显示的条件后,单击 SD-WAN 选项卡以查看整个工作流程:

整体工作流

  1. 输入以下详细信息以配置 SD-WAN:
  • 部署模式:您可以看到两个部署模式选项-独立和高可用性。

    • 独立:在部署单个 SD-WAN 实例的情况下,SD-WAN 的部署模式可以是独立的。如果 SD-WAN 实例因 SD-WAN 固件或底层 Azure INFRA 出现问题而失败,则无法联系 Azure 中 SD-WAN 实例后面部署的资源。换句话说,实例的行为处于失败阻止模式。

    • 高可用性:为防止 SD-WAN 实例的软件故障,您可以选择以高可用性模式部署实例,该模式将两个 SD-WAN 实例部署在活动备用模式下。Citrix 建议以高可用性模式为生产网络部署实例。

  • 输入 SD-WAN 站点名称:输入站点名称以标识 SD-WAN 网络中的站点。确保您选择的名字是唯一且容易回忆起的。

  • 吞吐量和办公室数量:目前只支持 D3_V2 选项。D3_V2 支持高达 200 Mbps 的吞吐量,可以建立与 16 个站点的直接连接。非直接连接通过 MCN。

  • 区域:选择要在其中部署 SD-WAN 实例的 Azure 区域。这需要与您打算部署 Citrix Virtual Apps and Desktops 标准资源的区域相同。

  • VDA 子网:VDA 子网是要在 Azure 中部署 VDA 和其他 Citrix Virtual Apps and Desktops 标准资源的子网。

  • SD-WAN 子网:SD-WAN 子网是您要在其中部署 SD-WAN 设备的子网。

    注意

    此集成仅支持加入域的目录,截至今天,不支持非域加入。

  1. 一旦您提供了上一步中要求的所有信息,即可进行 Provisioning 和部署,该过程需要大约 20 奇数分钟的时间才能完成。在此期间,幕后会执行以下步骤:
  • 虚拟 SD-WAN 设备 (VPX) 将开始根据你选择的配置在 Azure 中进行预配。置备成功后,SD-WAN VPX 将显示所选的 CPU 和内存 Provisioning 文件以及上一步中提供的网络配置。

  • 置备成功后,VPX 设备将通过公共互联网与 SD-WAN Orchestrator 联系以请求 Provisioning 包。

    SD-WAN 分支机构摘要

  1. 配置 SD-WAN 分支后,您可以查看配置详细信息。

配置详情

  1. 配置实例后,您可以看到以下屏幕。此时,网络管理员必须登录 SD-WAN Orchestrator 才能将 SD-WAN VPX 设备添加到网络中。

预配置的实例

  1. 网络管理员必须登录 SD-WAN Orchestrator 并导航到“网络配置”主页,在此您可以在 Citrix Virtual Apps and Desktops 标准中查看 SD-WAN 站点的行项目。

SD-WAN 站点的行项目

  1. 网络管理员必须在此阶段部署站点。单击部署配置/软件进行部署。

部署配置或软件

  1. 部署配置/软件步骤成功后,您可以看到 Citrix Virtual Apps and Desktops 标准屏幕上的状态更改为现在可以使用 SD-WAN 创建目录

网络定位服务

借助 Citrix Cloud 中的网络定位服务,您可以优化向订阅者工作区提供的应用程序和桌面的内部流量,从而加快 HDX 会话速度。

内部和外部网络上的用户必须通过外部网关连接到 VDA。尽管外部用户可以这样做,但内部用户与虚拟资源的连接较慢。网络定位服务允许内部用户绕过 Gateway 并直接连接到 VDA,从而减少内部网络流量的延迟。

配置

要设置网络定位服务,请使用 Citrix 提供的网络定位服务 PowerShell 模块配置与环境中的 VDA 对应的网络位置。这些网络位置包括内部用户连接的网络的公共 IP 范围。

当订阅者从其 Workspace 启动 Virtual Apps 程序和桌面会话时,Citrix Cloud 会根据用户连接的网络的公有 IP 地址检测订阅者是公司网络的内部还是外部。

  • 如果订阅者从内部网络连接,Citrix Cloud 会绕过 Citrix Gateway 直接将连接路由到 VDA。

  • 如果订阅者在外部连接,Citrix Cloud 会按预期通过 Citrix Gateway 路由订阅者,然后将订阅者重定向到内部网络中的 VDA。

注意

需要在网络定位服务中配置的公有 IP 必须是分配给 WAN 链路的公有 IP。

分配给 SD-WAN 设备的公有 IP

需要在 NLS 中配置的公有 IP 必须是用于通过虚拟路径发送流量的所有链路的 WAN 链路 IP。您可以通过导航到“站点”>“报告”>“实时”>“统计”>“访问界面”找到此信息。

公用 IP

适用于 Citrix Virtual Apps and Desktops 的 SD-WAN 配置 Azure 集成的标准