Citrix DaaS

AWS 虚拟化环境

本文介绍如何将您的 AWS 帐户设置为可用于 Citrix DaaS 的资源位置。

资源位置包括基本组件集,非常适用于不需要资源跨多个可用性区域传播的概念证明或其他部署。

完成本文中的任务时,您的资源位置包括以下组件:

  • 单个可用性区域中具有公用子网和专用子网的虚拟私有云 (VPC)。
  • 一个同时作为 Active Directory 域控制器和 DNS 服务器运行的实例,位于 VPC 的专用子网中。
  • 安装了 Citrix Cloud Connector 的两个加入了域的实例,位于 VPC 的专用子网中。
  • 用作堡垒主机的实例,位于 VPC 的公用子网中。此实例用于启动与专用子网中的实例的 RDP 连接以实现管理目的。完成设置资源位置后,可以关闭此实例,以便其不再易于访问。必须管理专用子网中的其他实例(例如 VDA 实例)时,可以重新启动堡垒主机实例。

完成任务后,您可以安装 VDA、置备计算机、创建计算机目录和创建交付组。

任务概述

设置具有公用子网和专用子网的虚拟私有云 (VPC)。当您完成此任务后,AWS 将在公有子网中部署具有弹性 IP 地址的 NAT 网关。这使得专用子网中的实例能够访问 Internet。公用子网中的实例可由入站公共流量访问,但专用子网中的实例不可访问。

配置安全组。安全组用作控制 VPC 中的实例的流量的虚拟防火墙。您负责向安全组中添加允许公共子网中的实例与专用子网中的实例进行通信的规则。您还可以将这些安全组与 VPC 中的每个实例关联起来。

创建 DHCP 选项集。默认提供 Amazon VPC、DHCP 和 DNS 服务,这会影响您在 Active Directory 域控制器上配置 DNS 的方式。Amazon 的 DHCP 无法禁用,并且 Amazon 的 DNS 只能用于公共 DNS 解析,而不能用于 Active Directory 名称解析。要指定通过 DHCP 传递给实例的域和名称服务器,请创建 DHCP 选项集。该选项集将为您的 VPC 中的所有实例分配 Active Directory 域后缀并指定 DNS 服务器。要确保主机 (A) 和反向查找 (PTR) 记录在实例加入域时自动注册,请为要添加到专用子网中的每个实例配置网络适配器属性。

向 VPC 添加堡垒主机、域控制器和 Cloud Connector。通过堡垒主机,您可以登录专用子网中的实例来设置域、将实例加入域并安装 Cloud Connector。

任务 1:设置 VPC

  1. 在 AWS 管理控制台中,选择 VPC
  2. 在 VPC 控制面板中,选择创建 VPC
  3. 选择 VPC 及更多
  4. 在 NAT 网关 ($) 下,选择 In 1 AZ1 per AZ
  5. 在 DNS 选项下,保持“启用 DNS 主机名”处于选中状态。
  6. 选择创建 VPC。AWS 将创建公用子网和专用子网、Internet 网关、路由表和默认安全组。

注意:

在 AWS 控制台中更改 AWS 虚拟私有云 (VPC) 的名称会中断 Citrix Cloud 中的现有托管单元。托管单元损坏时,您将无法创建新目录,也无法将计算机添加到现有目录。来自已知问题:PMCS-7701

任务 2:配置安全组

此任务将为您的 VPC 创建并配置以下安全组:

  • 与您的公有子网中的实例关联的公共安全组。
  • 与您的专用子网中的实例关联的专用安全组。

要创建安全组,请执行以下操作:

  1. 在 VPC 控制面板中,选择安全组
  2. 为公共安全组创建安全组。选择创建安全组,然后输入组的名称标记和说明。在“VPC”中,选择之前创建的 VPC。选择是,创建

配置公用安全组

  1. 在安全组列表中,选择“Public security group”(公用安全组)。
  2. 选择入站规则选项卡,然后选择“编辑”以创建以下规则:

    类型
    所有流量 选择“Private security group”(专用安全组)。
    所有流量 选择“Public security group”(公用安全组)。
    ICMP 0.0.0.0/0
    22 (SSH) 0.0.0.0/0
    80 (HTTP) 0.0.0.0/0
    443 (HTTPS) 0.0.0.0/0
    1494 (ICA/HDX) 0.0.0.0/0
    2598 (Session Reliability)(2598(会话可靠性)) 0.0.0.0/0
    3389 (RDP) 0.0.0.0/0
  3. 完成后,选择保存
  4. 选择出站规则选项卡,然后选择编辑以创建以下规则。

    类型 目标
    所有流量 选择“Private security group”(专用安全组)。
    所有流量 0.0.0.0/0
    ICMP 0.0.0.0/0
  5. 完成后,选择保存

配置专用安全组

  1. 在安全组列表中,选择“Private security group”(专用安全组)。
  2. 如果您尚未设置来自公共安全组的流量,则必须设置 TCP 端口。选择入站规则选项卡,然后选择编辑以创建以下规则:

    类型
    所有流量 选择“Private security group”(专用安全组)。
    所有流量 选择“Public security group”(公用安全组)。
    ICMP 选择“Public security group”(公用安全组)。
    TCP 53 (DNS) 选择“Public security group”(公用安全组)。
    UDP 53 (DNS) 选择“Public security group”(公用安全组)。
    80 (HTTP) 选择“Public security group”(公用安全组)。
    TCP 135 选择“Public security group”(公用安全组)。
    TCP 389 选择“Public security group”(公用安全组)。
    UDP 389 选择“Public security group”(公用安全组)。
    443 (HTTPS) 选择“Public security group”(公用安全组)。
    TCP 1494 (ICA/HDX) 选择“Public security group”(公用安全组)。
    TCP 2598 (Session Reliability)(TCP 2598(会话可靠性)) 选择“Public security group”(公用安全组)。
    3389 (RDP) 选择“Public security group”(公用安全组)。
    TCP 49152–65535 选择“Public security group”(公用安全组)。
  3. 完成后,选择“保存”。

  4. 选择出站规则选项卡,然后选择编辑以创建以下规则。

    类型 目标
    所有流量 选择“Private security group”(专用安全组)。
    所有流量 0.0.0.0/0
    ICMP 0.0.0.0/0
    UDP 53 (DNS) 0.0.0.0/0
  5. 完成后,选择保存

任务 3:启动实例

执行以下步骤创建四个 EC2 实例并解密 Amazon 生成的默认管理员密码:

  1. 在 AWS 管理控制台中,选择 EC2
  2. 在 EC2 控制面板中,选择 Launch Instance(启动实例)。
  3. 选择 Windows Server 计算机映像和实例类型。
  4. 配置实例详细信息页面上,输入实例的名称,然后选择您之前设置的 VPC。
  5. Subnet(子网)中,为每个实例做以下选择:
    • 堡垒主机:选择公有子网
    • 域控制器和连接器:选择专用子网
  6. Auto-assign Public IP address(自动分配公用 IP 地址)中,为每个实例做以下选择:

    • 堡垒主机:选择启用
    • 域控制器和连接器:选择“使用默认设置”或“禁用
  7. 网络接口中,为域控制器和 Cloud Connector 实例输入专用子网 IP 范围内的主 IP 地址。
  8. 如有必要,在添加存储页面上修改磁盘大小。
  9. 标签实例页面上,输入每个实例的友好名称。
  10. 在“配置安全组”页面上, 选择“选择现有安全组”,然后为每个实例进行以下选择:

    • Bastion host(堡垒主机):选择“Public security group”(公用安全组)。
    • Domain controller and Cloud Connectors(域控制器和 Cloud Connector):选择“Private security group”(专用安全组)。
  11. 检查所做的选择,然后选择 Launch(启动)。
  12. 创建新密钥对或选择现有密钥对。如果您创建了新的密钥对,请下载您的私钥 (.pem) 文件并将其保存在安全的地方。获取实例的默认管理员密码时,必须提供您的私钥。
  13. 选择启动实例。选择“查看实例”以显示您的实例列表。请等到新启动的实例通过所有状态检查后再进行访问。
  14. 获取每个实例的默认管理员密码。

    1. 在实例列表中,选择实例,然后选择 Connect(连接)。
    2. 转到 RDP 客户端 选项卡,选择获取密码,并在出现提示时上载您的私钥 (.pem) 文件。
    3. 选择“解密密码”以获取人类可读的密码。AWS 将显示默认密码。
  15. 重复步骤 2 中的所有步骤,直到创建了四个实例:

    • 您的公有子网中的一个堡垒主机实例
    • 您的专用子网中有三个实例可用作:
      • 一个作为域控制器
      • 两个作为 Cloud Connector

任务 4:创建 DHCP 选项集

  1. 在 VPC 控制面板中,选择 DHCP Options Sets(DHCP 选项集)。
  2. 输入以下信息:

    • Name tag(名称标记):为选项集输入一个友好名称。
    • 域名:输入配置域控制器实例时使用的完全限定域名。
    • 域名服务器:输入您分配给域控制器实例的专用 IP 地址和字符串 AmazonProvidedDNS,用逗号分隔。
    • NTP servers(NTP 服务器):将此字段留空。
    • NetBIOS 域名服务器:输入域控制器实例的专用 IP 地址。
    • NetBIOS node type(NetBIOS 节点类型):输入 2
  3. 选择是,创建。
  4. 将新选项集与您的 VPC 相关联:

    1. 在 VPC 控制面板中,选择 Your VPCs(您的 VPC),然后选择之前设置的 VPC。
    2. 依次选择 Actions(操作)> Edit DHCP Options Set(编辑 DHCP 选项集)
    3. 出现提示时,选择您创建的新集合,然后选择“保存”。

任务 5:配置实例

  1. 使用 RDP 客户端连接到堡垒主机实例的公用 IP 地址。系统提示时,输入管理员帐户的凭据。
  2. 在堡垒主机实例中,启动远程桌面连接并连接到要配置的实例的专用 IP 地址。系统提示时,输入实例的管理员凭据。
  3. 为专用子网中的所有实例配置 DNS 设置:

    1. 依次选择开始 > 控制面板 > 网络和 Internet > 网络和共享中心 > 更改适配器设置。双击显示的网络连接。
    2. 选择属性 > Internet 协议版本 4 (TCP/IPv4) > 属性
    3. 选择高级 > DNS。确保启用以下设置,然后选择“确定”:

      • 在 DNS 中注册此连接的地址
      • 在 DNS 注册中使用此连接的 DNS 后缀
  4. 配置域控制器:

    1. 使用服务器管理器,添加具有所有默认功能的 Active Directory 域服务角色。
    2. 将该实例升级为域控制器。提升过程中,启用 DNS 并使用创建 DHCP 选项集时指定的域名。系统提示时,重新启动实例。
  5. 配置第一个 Cloud Connector:

    1. 将实例加入到域中,并在系统提示时重新启动。在堡垒主机实例中,使用 RDP 重新连接到实例。
    2. 登录 Citrix Cloud。在左上角的菜单中,选择 Resource Locations(资源位置)。
    3. 下载 Cloud Connector。
    4. 系统提示时,运行 cwcconnector.exe 文件并提供您的 Citrix Cloud 凭据。按照向导提示操作。
    5. 完成后,选择“刷新”以显示“资源位置”页面。注册 Cloud Connector 时,实例将在页面上显示。
  6. 重复这些步骤,配置 Cloud Connector 以配置第二个 Cloud Connector。
  7. 将 IAM 策略附加到 Cloud Connector,通过基于角色的授权支持 AWS 托管连接。您必须将相同的 IAM 策略附加到资源位置中的所有 Cloud Connector。有关 AWS 权限的信息,请参阅所需的 AWS 权限

下一步的去向

更多信息

AWS 虚拟化环境