适用于 Azure 的 Citrix Virtual Apps and Desktops Standard 的 SD-WAN 配置集成
Citrix SD-WAN 是下一代广域网边缘解决方案,通过针对 SaaS、云和虚拟应用程序的灵活、自动化和安全的连接和性能来加速数字化转型,从而确保始终在线的 Workspace 体验。
Citrix SD-WAN 是组织通过快速简便的设置连接到 Azure 版 Citrix Virtual Apps and Desktops 标准版的推荐方式,也是最佳方式。有关更多信息,请参阅 Citrix 博客。
优势
- 通过引导式自动化工作流程,在 Citrix Virtual Apps and Desktops 标准版 Azure 中轻松设置 SD-WAN
- 通过先进的 SD-WAN 技术实现始终在线、高性能连接
- 所有连接(VDA 到 DC、用户到 VDA、VDA 到云以及用户到云)的优势
- 与向数据中心回传流量相比,降低了延迟
-
流量管理以确保服务质量 (QoS)
- HDX/ICA 流量流上的 QoS(单端口 HDX AutoQoS)
- HDX 和其他流量之间的 QoS
- 用户之间的 HDX QoS 公平
- 端到端服务质量
- 链路绑定提供更多带宽,实现更快的性能
- Azure 上具有无缝链路故障切换和 SD-WAN 冗余的高可用性 (HA)
- 优化的 VoIP 体验(数据包赛用于减少抖动和减少数据包丢失、QoS、本地突破以减少延迟)
- 与 ExpressRoute 相比,节省了大量成本并且部署更快、更容易
必备条件
要评估这些新功能,必须遵守以下先决条件:
-
您必须拥有一个具有 Citrix SD-WAN Orchestrator 服务授权的现有 SD-WAN 网络。如果您没有 SD-WAN 网络,则必须使用 Citrix SD-WAN Orchestrator 服务设置一个。有关更多详细信息,请参阅 配置主控制节点 (MCN)。
- 你必须订阅适用于 Azure 的 Citrix Virtual Apps and Desktops 标准。
- 目前,此集成支持仅适用于客户。如果您是合作伙伴或 MSP,并且必须尝试此服务,则必须以客户身份订阅适用于 Azure 的 Citrix Virtual Apps and Desktops 标准。只有这样,才能启用此集成。
- 要使用 SD-WAN 功能(例如 MSI 的 QoS、应用程序可见性),必须为网络中的所有 SD-WAN 站点配置网络定位服务 (NLS)。
- 你必须将 DNS 服务器和 AD 部署在客户端终端节点的位置(位于数据中心环境中,该环境也有 MCN),或者还可以使用 Azure Active Directory (AAD)。
- DNS 服务器必须能够解析内部(私有)和外部(公共)IP。
- 确保 FQDN sdwan-位.citrixnetworkapi.net 已在防火墙中列入白名单。这是用于网络定位服务的 FQDN,对于通过 SD-WAN 虚拟路径发送流量至关重要。
有关必须在防火墙上列入白名单的云服务列表,请参阅 使用 Citrix SD-WAN Orchestrator 服务的先决条件。
部署体系结构
任何部署都将具有以下实体:
-
托管 SD-WAN 设备的本地位置,可以在分支模式下部署,也可以作为 MCN 进行部署。此位置包含客户端计算机、活动目录和 DNS。但是,您也可以选择使用 Azure 的 DNS 和 AD。在大多数情况下,本地位置作为本地数据中心并容纳 MCN。
-
适用于 Azure 云服务的 Citrix Virtual Apps and Desktops 标准:该实体提供:
- 用于启用和监视 Citrix Virtual Apps and Desktops 标准版 SD-WAN 连接的用户界Azure。
- 在 Azure 中创建 SD-WAN 虚拟机实例。
- 管理他们的一生。
- 将 SD-WAN 实例成本与 Citrix Virtual Apps and Desktops 标准版客户账单费用捆绑在一起。
- 为 SD-WAN 实例配置本地网络环境(子网、本地路由、防火墙规则等)。
- 向 Citrix SD-WAN Orchestrator 服务提供 SD-WAN 实例信息,以提供和使用 SD-WAN 监控和其他操作数据。
-
Citrix SD-WAN Orchestrator 服务:Citrix SD-WAN Orchestrator 服务为软件定义广域网管理提供用户界面:
- 包括管理在 Citrix 虚拟应用程序和适用于 Azure 的桌面标准中部署的实例。
- 为 Azure SD-WAN 实例实施 Citrix Virtual Apps and Desktops 标准的初始配置。
- 对 SD-WAN 实例管理实施限制,以反映适用于 Azure 配置的 Citrix Virtual Apps and Desktops 标准。
- 与 Azure 的 Citrix Virtual Apps and Desktops 标准集成,以提供和使用 SD-WAN 监控和其他运营数据。
-
虚拟和物理 SD-WAN 设备:虚拟和物理 SD-WAN 设备在云端 (VM)、本地数据中心和分支机构(物理设备或虚拟机)中作为多个实例运行,以提供这些位置之间以及往返公共互联网的连接。
Citrix Virtual Apps and Desktops Standard for Azure 订阅中的 SD-WAN 实例由 Citrix Virtual Apps and Desktops Standard for Azure 云服务在 Citrix Virtual Apps and Desktops 标准领域中创建为单个或一组虚拟设备(如果有 HA 部署)Azure 订阅。其他位置(DC 和分支机构)的 SD-WAN 设备由客户创建。所有这些软件定义广域网设备均由 SD-WAN 管理员通过 Citrix SD-WAN Orchestrator 服务进行管理(在配置和软件升级方面)。
-
适用于 Azure VDA 的 Citrix Virtual Apps and Desktops 标准,Connec tor-使用适用于 Azure SD-WAN 设备的 Citrix Virtual Apps and Desktops 标准作为通往 Azure VNet 的 Citrix Virtual Apps and Desktops 标准之外的所有资源的门户,包括企业本地资源公共互联网上的 Azure 服务和 SaaS 应用程序。
用户角色
-
适用于 Azure 管理员的 Citrix Virtual Apps and Desktops 标准:决定使用 SD-WAN 连接并从 SD-WAN 管理员(或其他网络管理员角色)那里获取必要的网络信息:
- 通过 Azure 用户界面的 Citrix Virtual Apps and Desktops 标准开始配置 SD-WAN 连接。
- 完全启用 SD-WAN 连接后,使用 SD-WAN 连接管理 Azure 目录的 Citrix Virtual Apps and Desktops 标准。
- 与 SD-WAN 管理员一起监控 SD-WAN 连接,并根据需要采取更多措施。
-
SD-WAN 管理员:向适用于 Azure 管理员的 Citrix Virtual Apps and Desktops 标准版提供 SD-WAN 配置信息:
- 在适用于 Azure 的 Citrix Virtual Apps and Desktops 标准版中激活 SD-WAN 实例,以启用与其他网络元素的连接,并执行额外的配置活动。
- 与 SD-WAN 管理员一起监控 SD-WAN 连接,并根据需要采取额外措施。
SD-WAN 的访问管理 Citrix Virtual Apps and Desktops 标准用于 Azure 集成的标准
- 适用于 Azure 的 Citrix Virtual Apps and Desktops 标准以及 Citrix SD-WAN Orchestrator 服务都依靠 Citrix Cloud IDAM 来识别具有 只读或读写 访问权限的用户。
- 此外,Citrix SD-WAN Orchestrator 服务能够仅在 Citrix SD-WAN Orchestrator 服务中为用户分配类似的访问权限。这两种授权机制与 OR 逻辑相结合:在 Citrix Cloud 或 Citrix SD-WAN Orchestrator 服务中拥有管理员访问权限就足以获得对 SD-WAN 配置管理的访问权限。
部署和配置
在典型部署中,客户将 Citrix SD-WAN 设备(H/W 或 VPX)作为 MCN 部署在其数据中心/大型办公室中。客户数据中心通常会托管本地用户和资源,例如 AD 和 DNS 服务器。在某些情况下,客户可以使用 Azure Active Directory 服务 (AADS) 和 DNS,这两者都由 Citrix SD-WAN 和 Citrix Virtual Apps and Desktops 标准支持,用于 Azure 集成。
在 Citrix 托管 Azure 订阅中,客户需要部署 Citrix SD-WAN 虚拟设备和 VDA。SD-WAN 设备通过 Citrix SD-WAN Orchestrator 服务进行管理。但是,出于这种集成的目的,Citrix Managed Azure 订阅中的 SD-WAN 设备是通过 Azure UI/Workflow 的 Citrix Virtual Apps and Desktops 标准配置的。配置 SD-WAN 设备后,它将连接到现有的 Citrix SD-WAN 网络,配置、可见性和管理等其他任务将通过 Citrix SD-WAN Orchestrator 服务处理。Citrix SD-WAN Orchestrator 服务和适用于 Azure 的 Citrix Virtual Apps and Desktops 标准都使用 API 相互通信。
此集成的第三个组成部分是网络定位服务,它允许内部用户绕过 Gateway 并直接连接到 VDA,从而减少内部网络流量的延迟。对于此集成的第 1 阶段,需要手动配置网络定位服务。有关更多信息,请参阅 网络定位服务 (NLS)。
配置
-
在您完成了先决条件部分中突出显示的所有 先决条件 后,必须配置的第一项是 DNS。这必须在 Citrix SD-WAN Orchestrator 服务中进行配置。你需要管理员权限才能在 Citrix SD-WAN Orchestrator 服务上配置 DNS。要配置 DNS,请在 Citrix S D-WAN Orchestrator 服务 GUI 中导航到配置 > 应用程序和 DNS 设置 > DNS 服务器 ,然后单击 +DNS 服务器。在随后的屏幕中输入主 DNS 和辅助 DNS。
正如上文 部署和配置 部分所强调的那样,AD 和 DNS 位于本地位置充当数据中心,而在以 SD-WAN 为特色的部署中,AD 和 DNS 位于局域网上的 SD-WAN 后面。这是你必须在这里配置的 AD/DNS IP。如果你使用的是 Azure Active Directory 服务/DNS,请将 168.63. 129.16 配置为 DNS IP。
如果您正在使用本地 AD/DNS,请检查是否可以从 SD-WAN 设备 ping DNS 的 IP。您可以通过导航到“疑难解答”>“诊断”来完成此操作。在随后的屏幕中选中 Ping 复选框,然后从 SD-WAN 设备的局域网接口/默认接口启动 ping 您的 AD/DNS 的 IP。
如果 ping 成功,则表示可以成功访问您的 AD/DNS。如果没有,则表明您的网络中存在路由问题,这使得您的 AD/DNS 无法访问。如果可能,请尝试将您的 AD 和 SD-WAN 设备置置于同一个 LAN 网段上。如果仍然存在问题,请联系您的网络管理员。如果不成功完成此步骤,目录创建步骤将不会成功,并且您可能会收到一条错误消息,指出 未配置全球 DNS IP。
注意:
确保 DNS 能够同时解析内部和外部 IP。
-
登录 Azure 用户界面的 Citrix Virtual Apps and Desktops 标准。您可以查看以下屏幕:
单击 “ 网络连接 ”,在您的本地资源与 Azure 订阅的 Citrix Virtual Apps and Desktops 标准版之间创建网络连接。单击 + 添加连接。
仅当您满足以下要求时,SD-WAN 选项才会启用:
-
您必须拥有一个具有 Citrix SD-WAN Orchestrator 服务授权的现有 SD-WAN 网络。如果您没有 SD-WAN 网络,请使用 Citrix SD-WAN Orchestrator 服务设置一个。有关更多详细信息,请参阅 配置主控制节点 (MCN)。
-
你必须订阅适用于 Azure 的 Citrix Virtual Apps and Desktops 标准。
-
目前,此集成支持仅适用于客户。如果您是合作伙伴或 MSP 并且必须尝试此服务,则必须以客户身份订阅适用于 Azure 的 Citrix Virtual Apps and Desktops 标准,只有这样才能启用此集成。否则,此选项将保持禁用状态。
如果你想尝试这种集成并且需要试用 Citrix SD-WAN Orchestrator 服务,请访问 citrix.cloud.com 或 sdwan.cloud.com 申请试用版。
-
-
满足先决条件中突出显示的条件后,单击 SD-WAN 选项卡查看整体工作流程:
-
输入以下详细信息以配置 SD-WAN:
-
部署模式:您可以看到两个部署模式选项-独立和高可用性。
-
独立:SD-WAN 的部署模式可以是独立的,即部署单个 SD-WAN 实例。如果 SD-WAN 实例因 SD-WAN 固件或底层 Azure INFRA 出现问题而失败,则无法联系 Azure 中 SD-WAN 实例后面部署的资源。换句话说,实例的行为处于失败阻止模式。
-
高可用性:为了防止 SD-WAN 实例出现软件故障,您可以选择在高可用性模式下部署实例,即在活动待机模式下部署两个 SD-WAN 实例。Citrix 建议以高可用性模式为生产网络部署实例。
-
-
输入 SD-WAN 站点名称:输入站点名称以标识 SD-WAN 网络中的站点。确保您选择的名字是唯一且容易回忆起的。
-
吞吐量和办公室数量:目前,仅支持 D3_V2 选项。D3_V2 支持高达 200 Mbps 的吞吐量,可以建立与 16 个站点的直接连接。非直接连接通过 MCN。
-
区域:选择要部署 SD-WAN 实例的 Azure 区域。这必须与你打算部署 Azure 资源的 Citrix Virtual Apps and Desktops 标准版的区域相同。
-
VDA 子网:VDA 子网是你想要在 Azure 中部署 VDA 和其他 Citrix Virtual Apps and Desktops 标准版 Azure 资源的子网。
-
SD-WAN 子网:SD-WAN 子网是您要在其中部署 SD-WAN 设备的子网。
注意
此集成仅支持已加入域的目录,目前尚不支持未加入域的目录。
-
-
一旦您提供了上一步中要求的所有信息,即可进行 Provisioning 和部署,该过程需要大约 20 奇数分钟的时间才能完成。在此期间,幕后会执行以下步骤:
-
虚拟 SD-WAN 设备 (VPX) 将开始根据你选择的配置在 Azure 中进行预配。置备成功后,SD-WAN VPX 将显示所选的 CPU 和内存 Provisioning 文件以及上一步中提供的网络配置。
-
配置成功后,VPX 设备将通过公共互联网与 Citrix SD-WAN Orchestrator 服务联系,请求配置包。
-
-
配置 SD-WAN 分支后,您可以查看配置详细信息。
-
配置实例后,您可以看到以下屏幕。此时,网络管理员必须登录 Citrix SD-WAN Orchestrator 服务才能将 SD-WAN VPX 设备添加到网络中。
-
网络管理员必须登录 Citrix SD-WAN Orchestrator 服务并导航到网络配置主页,在那里你可以在 Citrix Virtual Apps 和 Azure 桌面标准中看到 SD-WAN 站点的行项目。
-
网络管理员必须在此阶段部署站点。单击 “ 部署要部署的配置/软件 ”。
-
部署配置/软件 步骤成功后,你可以看到 Citrix Azure 虚拟应用程序和桌面标准屏幕上的状态更改为 现在可以使用 SD-WAN 创建目录。
网络定位服务
借助 Citrix Cloud 中的 网络定位 服务,您可以优化向订阅者工作区提供的应用程序和桌面的内部流量,从而加快 HDX 会话速度。
内部和外部网络上的用户必须通过外部网关连接到 VDA。虽然外部用户需要这样做,但内部用户与虚拟资源的连接速度较慢。 网络定位 服务允许内部用户绕过网关直接连接到 VDA,从而减少内部网络流量的延迟。
配置
要设置 网络定位 服务,请使用 Citrix 提供的网络定位服务 PowerShell 模块配置与环境中的 VDA 相对应的 网络位置 。这些网络位置包括内部用户连接的网络的公有 IP 范围。
当订阅者从其工作区启动 Citrix Virtual Apps and Desktops Desktops Standard for Azure 会话时,Citrix Cloud 会根据他们连接的网络的公共 IP 地址来检测订阅者是公司网络的内部还是外部。
-
如果用户从内部网络连接,Citrix Cloud 会将连接直接路由到 VDA,而绕过 Citrix Gateway。
-
如果订阅者通过外部连接,Citrix Cloud 会按预期方式通过 Citrix Gateway 将订阅者路由,然后将该订阅者重定向到内部网络中的 VDA。
注意
需要在网络定位服务中配置的公用 IP 必须是分配给 WAN 链接的公用 IP。
分配给 SD-WAN 设备的公有 IP
需要在 NLS 中配置的公有 IP 必须是用于通过虚拟路径发送流量的所有链路的 WAN 链路 IP。您可以通过导航到 “ 站点” > “报告” > “实时” > “统计” > “访问接口” 来找到此信息。
