Citrix SD-WAN

Citrix Virtual Apps and Desktops 工作负载配置指南

Citrix SD-WAN 是新一代 WAN Edge 解决方案,通过针对 SaaS、云和虚拟应用程序的灵活、自动化、安全的连接和性能加快数字化转型,从而确保始终在线的 Workspace 体验。

Citrix SD-WAN 是使用 Citrix 虚拟应用程序和桌面 (CVAD) 服务连接到云中的 CVAD 工作负载的组织推荐的最佳方式。有关详细信息,请参阅 Citrix 博客

本文档重点介绍配置 Citrix SD-WAN 以便连接到/从 Azure 上的 CVAD 工作负载。

优势

  • 通过引导式工作流在 CVAD 中轻松设置 SD-WAN
  • 通过先进的 SD-WAN 技术实现始终在线、高性能连接
  • 跨所有连接(VDA 到 DC、用户到 VDA、VDA 到云、用户到云)的优势
  • 与向数据中心回传流量相比,降低了延迟
  • 流量管理以确保服务质量 (QoS)
    • 跨 HDX/ICA 流量流的 QoS(单端口多流 HDX 自动 QoS)
    • HDX 和其他流量之间的 QoS
    • HDX 用户之间的 QoS 公平性
    • 端到端服务质量
  • 链路绑定提供更多带宽,实现更快的性能
  • 高可用性,具有无缝链路故障切换和 Azure 上的 SD-WAN 冗余
  • 优化的 VoIP 体验(数据包赛用于减少抖动和减少数据包丢失、QoS、本地突破以减少延迟)
  • 与 Azure 快速路由相比,可节省大量成本,并且必须更快、更容易部署

必备条件

遵守以下先决条件来评估和部署 CVAD 工作负载功能:

  • 您必须拥有现有 SD-WAN 网络或构建新网络。
  • 您必须订阅 CVAD 服务。
  • 要使用 SD-WAN 功能(如多流 HDX AutoQoS 和深度可见性),必须为网络中的所有 SD-WAN 站点配置网络定位服务 (NLS)。
  • 您必须在客户端终端节点所在的位置部署 DNS 服务器和 AD(通常位于数据中心环境中),或者可以使用 Azure Active Directory (AAD)。
  • DNS 服务器必须能够同时解析内部 (pvt) 和外部 (公共) IP。
  • 确保 FQDN(SDWN 位置 .Citrixnetapi.net)已在防火墙中列入白名单。这是网络定位服务的 FQDN,对于通过 SD-WAN 虚拟路径发送流量至关重要。另外,如果您喜欢将通配符 FQDN 列入白名单,更好的方法是将 *.citrixnetworkapi.net 列入白名单,因为这是其他 Citrix 云服务(如零接触 Provisioning)的子域。
  • 在 sdwan.cloud.com 注册,以使用 SD-WAN 编排器管理您的 SD-WAN 网络。SD-WAN Orchestrator 是一个基于 Citrix 云的多租户管理平台,用于 Citrix SD-WAN.

部署体系结构

部署体系结构

部署需要以下实体:

  • 一个托管 SD-WAN 设备的内部部署位置,可以部署在分支模式下,也可以作为 MCN (主控制节点)部署。分支模式或 MCN 包含客户端计算机、活动目录和 DNS。但是,你也可以选择使用 Azure 的 DNS 和 AD。在大多数情况下,本地位置充当数据中心并容纳 MCN。

  • CVAD 云服务 — Citrix 虚拟应用程序和桌面提供虚拟化解决方案,使 IT 部门能够控制虚拟机、应用程序和安全性,同时为任何设备提供随时随地访问。最终用户可以独立于设备的操作系统和界面使用应用程序和桌面。

    使用 Citrix Virtual Apps and Desktops 服务,您可以将安全的虚拟应用程序和桌面交付到任何设备,并将大部分产品安装、设置、配置、升级和监控保留给 Citrix。您负责在任何设备上交付最佳用户体验的同时维护对应用程序、策略和用户的完全控制。

  • Citrix 连接器/云连接器 -您可以通过 Citrix 云连接器将资源连接到服务,该连接器用作 Citrix Cloud 和您的资源位置之间的通信渠道。借助 Cloud Connector,不需要诸如 VPN 或 IPsec 通道等任何复杂的网络连接或基础结构配置即可实现云管理。资源位置包含向您的订阅者交付应用程序和桌面的计算机及其他资源。

  • SD-WAN Orchestrator — Citrix SD-WAN Orchestrator 是一种云托管的多租户管理服务,可供 DIY 企业和 Citrix 合作伙伴使用。Citrix 合作伙伴可以使用 SD-WAN Orchestrator 管理多个客户,通过单个窗格和适当的基于角色的访问控制来管理多个客户。

  • 虚拟和物理 SD-WAN 设备 — 它作为多个实例在云 (VM) 内和数据中心内部部署和分支机构(物理设备或虚拟机)中运行,以便在这些位置之间以及与公共互联网之间提供连接。CVAD 中的 SD-WAN 实例创建为单个或一组虚拟设备(在 HA 部署的情况下),方法是通过 Azure 市场 Provisioning 这些实例。其他位置(DC 和分支机构)的 SD-WAN 设备由客户创建。所有这些 SD-WAN 设备都由 SD-WAN 管理员通过 SD-WAN 编排器进行管理(在配置和软件升级方面)。

部署和配置

部署和配置

在常见部署中,客户可以将 Citrix SD-WAN 设备(H/W 或 VPX)作为 MCN 部署在其 DC/大型办公室中。客户 DC 通常会托管内部部署用户和资源,如 AD 和 DNS 服务器。在某些情况下,客户可以使用 Azure Active Directory 服务 (AADS) 和 DNS,这两者都受到 Citrix SD-WAN 和 CMD 集成的支持。

在客户管理的 Azure 订阅中,客户需要部署 Citrix SD-WAN 虚拟设备和 VDA。SD-WAN 设备通过 SD-WAN Orchestrator 理。配置 SD-WAN 设备后,它将连接到现有的 Citrix SD-WAN 网络,并通过 SD-WAN Orchestrator 处理配置、可见性和管理等其他任务。

此集成的第三个组件是 网络定位服务 (NLS) ,它允许内部用户绕过 Gateway 并直接连接到 VDA,从而减少内部网络流量的延迟。对于此集成的第 1 阶段,需要手动配置网络定位服务,其中的说明可在后面的章节中找到。有关详细信息,请参阅 NLS

配置

Citrix SD-WAN 虚拟机部署在指定区域内(根据客户的需要),并且可以通过 MPLS、Internet 或 4G/LTE 连接到多个分支机构位置。在虚拟网络 (VNET) 基础架构中,SD-WAN 标准版 (SE) 虚拟机以 Gateway 模式进行部署。VNET 具有通向 Azure Gateway 的路由。SD-WAN 实例有一条通向 Azure Gateway 的路由,用于互联网连接。此路由需要手动创建。

  1. 在 Web 浏览器中,转到 Azure 门户。登录到微软 Azure 帐户并搜索 Citrix SD-WAN 标准版。

  2. 在搜索结果中,选择 Citrix SD-WAN 标准版解决方案。完成描述并确保所选解决方案正确无误后,单击创建

Azure 搜索选项

单击创建时,将显示向导,提示创建虚拟机所需的详细信息。

  1. 在“基本设置”页面中,选择要在其中部署 SD-WAN SE 解决方案的资源组。

资源组是一个容器,用于保存 Azure 解决方案的相关资源。资源组可以包括解决方案的所有资源,或者仅包括要作为一个组管理的资源。根据您的部署情况,您可以决定如何为资源组分配资源。

对于 Citrix SD-WAN,建议您选择的资源组必须为空。同样,选择要在其中部署 SD-WAN 实例的 Azure 区域。该区域必须与部署 CVAD 资源的区域相同。

Azure 基本设置

  1. 管理员设置 页面下,提供虚拟机的名称。选择用户名和强密码。密码必须由大写字母和特殊字符组成,且必须超过九个字符。单击确定

以来宾用户身份登录到实例的管理界面需要此密码。要获得对实例的管理员访问权限,请使用 admin 作为用户名,并使用在 Provisioning 实例时创建的密码。如果您使用在 Provisioning 实例时创建的用户名,则可获得只读访问权限。此外,请在此处选择部署类型。

如果要部署单个实例,请确保从 HA 部署模式选项中选择禁用,否则选择启用。对于生产网络,Citrix 始终建议以高可用性模式部署实例,因为它可以防止网络出现实例故障。

Azure 管理员设置

  1. SD-WAN 设置 页面下,选择要在其中运行映像的实例。根据您的要求选择以下实例类型:
  • 实例类型 D3_V2,最大单向吞吐量为 200 Mbps,最多可直接连接 16 个分支。
  • 实例类型 D4_V2,最大单向吞吐量为 500 Mbps,最多可直接连接 16 个分支。
  • 实例类型 F8 标准,最大单向吞吐量为 1 Gbps,最多可直接连接 64 个分支。
  • 实例类型 F16 标准,最大单向吞吐量为 1 Gbps,最多可直接连接 128 个分支。

    Azure 软件定义广域网设置

  1. 创建新的虚拟网络 (VNet) 或使用现有虚拟网络。这是部署的最关键步骤,因为此步骤选择要分配给 SD-WAN VPX 虚拟机接口的子网。

Azure 虚拟网络

仅当您以 HA 模式部署实例时,才需要辅助子网。确保 SD-WAN 实例部署在与您的 CVAD 资源相同的虚拟网中,并且与 SD-WAN VPX 设备的 LAN 接口位于同一子网中。

Azure 子网

  1. 验证“摘要”页面中的配置,然后单击“确定”

Azure 摘要

  1. 在“购买”页面上,单击“创建”以启动实例的 Provisioning 过程。预配置实例可能需要大约 10 分钟。你会在 Azure 管理门户中收到一条通知,建议实例创建成功/失败。

Azure 购买

成功创建实例后,获取分配给 SD-WAN 实例管理接口的公有 IP。它可以在已预配实例的资源组的网络部分中找到。检索后,您可以使用它登录到实例。

注意

对于管理员访问权限,用户名是 admin ,密码是您在实例创建过程中设置的名称。

  1. 置备站点后,登录 SD-WAN Orchestrator 以对其进行配置。如前提条件中所述,您必须拥有 SD-WAN Orchestrator 才能配置站点。如果尚未安装,请参阅 Citrix SD-WAN Orchestrator 加入

  2. 如果你已经有 SD-WAN 网络,则继续为在 Azure 中置备的站点创建配置。否则,您必须创建一个 MCN。有关详细信息,请参阅 网络配置

  3. 一旦您有权访问 SD-WAN Orchestrator 并已设置 MCN,请登录 SD-WAN 编排器,然后单击 + 新建站点 以开始配置 SD-WAN VPX 设备(您已在 Azure 中置备)。

Azure 新站点

  1. 提供唯一的站点名称,并根据要 Provisioning 映像的区域输入地址。要在 Azure 中设置实例,请参阅 基本设置

注意

要在 Azure 中获取实例的序列号,请通过公共管理 IP 登录到实例。您可以在仪表板屏幕上看到序列号。如果要在 HA 中配置实例,则必须捕获两个序列号。此外,在配置实例时,请确保接口被选为“受信任”

  1. 用于获取与 Azure 上的 LAN 和 WAN 接口相关联的 IP 地址。导航到 预配 SD-WAN 的Azure 门户 > 资源组> 资源组 > SD-WAN 虚拟机 > 网络

已置备 Azure SD-WAN

  1. 完成实例配置后。导航到配置 > 网络配置主页,单击部署配置/软件

Azure 部署配置软件

  1. 如果没有问题并且配置是准确的,则在执行配置部署后,必须在 Azure 中的实例和 MCN 之间拥有虚拟路径。

CVAD 配置

正如 部署和配置 部分所强调的那样,AD/DNS 存在于作为 DC 的内部部署位置中,而在具有 SD-WAN 的部署中,它显示在 LAN 网络上的 SD-WAN 后面。这是您需要在此处配置的 AD/DNS 的 IP。如果您正在使用 Azure Active Directory 服务/DNS,请将 168.63.129.16 配置为 DNS IP。

如果您正在使用本地广告 /DNS。请检查您是否能够从 SD-WAN 设备 ping DNS 的 IP。您可以通过导航到故障排除 > 诊断来完成此操作。选中 Ping 复选框,然后启动从 SD-WAN 设备的 LAN 接口/默认接口到 AD/DNS IP 的 ping。

Azure ping

如果 ping 成功,则表示可以成功访问您的 AD/DNS,如果没有,则意味着您的网络中存在路由问题,从而阻碍了您的 AD/DNS 的可访问性。如果可能,请尝试将您的 AD 和 SD-WAN 设备置置于同一个 LAN 网段上。

如果仍然存在问题,请与您的网络管理员联系。如果不成功完成此步骤,目录创建步骤将无法成功,并且您会收到错误消息,因为未配置 全局 DNS IP

注意

确保 DNS 能够同时解析内部和外部 IP。

网络定位服务

借助 Citrix Cloud 中的 网络定位 服务,您可以优化到向订阅者工作区提供的应用程序和桌面的内部流量,以加快 HDX 会话速度。内部和外部网络上的用户必须通过外部网关连接到 VDA。虽然外部用户需要这样做,但内部用户与虚拟资源的连接速度较慢。网络定位 服务允许内部用户绕过 Gateway 并直接连接到 VDA,从而减少内部网络流量的延迟。

配置

要设置 网络定位 服务,可以使用 Citrix 提供的网络定位服务 PowerShell 模块配置与环境中 VDA 相对应的网络位置。这些网络位置包括内部用户连接的网络的公有 IP 范围。

当订阅者从其 Workspace 启动 Virtual Apps 和桌面会话时,Citrix Cloud 会根据用户所连接的网络的公有 IP 地址检测用户是否为公司网络的内部或外部。

如果用户从内部网络连接,Citrix Cloud 会将连接直接路由到 VDA,而绕过 Citrix Gateway。如果订阅者通过外部连接,Citrix Cloud 会按预期方式通过 Citrix Gateway 将订阅者路由,然后将该订阅者重定向到内部网络中的 VDA。

注意

需要在网络定位服务中配置的公有 IP 需要是分配给 WAN 链路的公有 IP。

Citrix Virtual Apps and Desktops 工作负载配置指南