Amazon Web Services 虚拟化环境

本文将指导您完成设置 Amazon Web Services (AWS) 帐户作为能够与 Citrix Virtual Apps and Desktops 服务结合使用的资源位置的过程。资源位置包括基本组件集,非常适用于不需要资源跨多个可用性区域传播的概念证明或其他部署。完成这些任务后,可以安装 VDA、置备计算机、创建计算机目录以及创建交付组。

完成本文中的任务时,您的资源位置将包括以下组件:

  • 单个可用性区域中具有公用子网和专用子网的虚拟私有云 (VPC)。
  • 同时作为 Active Directory 域控制器和 DNS 服务器运行的实例,位于 VPC 的专用子网中。
  • 安装了 Citrix Cloud Connector 的两个加入了域的实例,位于 VPC 的专用子网中。
  • 用作堡垒主机的实例,位于 VPC 的公用子网中。此实例用于启动与专用子网中的实例的 RDP 连接以实现管理目的。完成设置资源位置后,可以关闭此实例,以便其不再易于访问。需要管理专用子网中的其他实例(例如 VDA 实例)时,可以重新启动堡垒主机实例。

任务概述

设置具有公用子网和专用子网的虚拟私有云 (VPC)。完成此任务时,AWS 将在公用子网中部署一个具有弹性 IP 地址的 NAT 实例,这将允许专用子网中的实例访问 Internet。公用子网中的实例可由入站公共流量访问,但专用子网中的实例不可访问。

配置安全组。安全组用作控制 VPC 中的实例的流量的虚拟防火墙。您将向安全组中添加允许公共子网中的实例与专用子网中的实例进行通信的规则。您还会将这些安全组与 VPC 中的每个实例相关联。

创建 DHCP 选项集。如果使用 Amazon VPC,则默认将提供 DHCP 和 DNS 服务,这将影响您在 Active Directory 域控制器中配置 DNS 的方式。Amazon 的 DHCP 无法禁用,并且 Amazon 的 DNS 只能用于公共 DNS 解析,而不能用于 Active Directory 名称解析。要指定应通过 DHCP 传递到实例的域和名称服务器,请创建一个新 DHCP 选项集。该选项集将为您的 VPC 中的所有实例分配 Active Directory 域后缀并指定 DNS 服务器。要确保主机 (A) 和反向查找 (PTR) 记录在实例加入域时自动注册,请为要添加到专用子网中的每个实例配置网络适配器属性。

向 VPC 中添加堡垒主机、域控制器和 Citrix Cloud Connector。在堡垒主机中,可以登录专用子网中的实例以设置域、将实例加入域以及安装 Citrix Cloud Connector。

任务 1:设置 VPC

  1. 在 AWS 管理控制台中,单击 VPC
  2. 在 VPC 控制面板中,单击 Start VPC Wizard(启动 VPC 向导)。
  3. 选择 VPC with Public and Private Subnets(具有公用子网和专用子网的 VPC),然后单击 Select(选择)。
  4. 输入 VPC 名称并更改 IP CIDRE 块以及公用子网和专用子网 IP 范围(如有必要)。
  5. 如果选择 NAT 网关,请单击 Use a NAT Instance instead(改为使用 NAT 实例)。
  6. 对于 NAT 实例,请指定要使用的实例类型和密钥对。借助密钥对,您可以在以后安全地连接到实例。
  7. 在“Enable DNS hostnames”(启用 DNS 主机名)中,保留 Yes(是)处于选中状态。
  8. 单击 Create VPC(创建 VPC)。AWS 将创建公用子网和专用子网、Internet 网关、路由表和默认安全组。此外,还将创建一个 NAT 实例并为其分配一个弹性 IP 地址。

注意:

在 AWS 控制台中更改 AWS 虚拟私有云 (VPC) 的名称会破坏 Citrix Cloud 中的现有托管单元。当托管单元中断时,您无法创建新目录,也无法将计算机添加到现有目录。来自已知问题:PMCS-7701

任务 2:配置安全组

此任务将为您的 VPC 创建并配置以下安全组:

  • 适用于 NAT 实例的安全组。
  • 公用安全组,您的公用子网中的实例将与此安全组相关联。
  • 专用安全组,您的专用子网中的实例将与此安全组相关联。

创建安全组

  1. 在 VPC 控制面板中,单击 Security Groups(安全组)。
  2. 为 NAT 实例创建安全组:单击 Create Security Group(创建安全组)并输入该安全组的名称标记和说明。在“VPC”中,选择之前创建的 VPC。单击 Yes, Create(是,创建)。
  3. 重复步骤 2 以创建一个公用安全组和一个专用安全组。

配置 NAT 安全组

  1. 在安全组列表中,选择“NAT security group”(NAT 安全组)。

  2. 单击 Inbound Rules(入站规则)选项卡,然后单击 Edit(编辑)以创建以下规则:

    类型
    所有流量 选择“Private security group”(专用安全组)。
    22 (SSH) 0.0.0.0/0
  3. 完成后,单击 Save(保存)。

配置公用安全组

  1. 在安全组列表中,选择“Public security group”(公用安全组)。

  2. 单击 Inbound Rules(入站规则)选项卡,然后单击“Edit”(编辑)以创建以下规则:

    类型
    所有流量 选择“Private security group”(专用安全组)。
    所有流量 选择“Public security group”(公用安全组)。
    ICMP 0.0.0.0/0
    22 (SSH) 0.0.0.0/0
    80 (HTTP) 0.0.0.0/0
    443 (HTTPS) 0.0.0.0/0
    1494 (ICA/HDX) 0.0.0.0/0
    2598 (Session Reliability)(2598(会话可靠性)) 0.0.0.0/0
    3389 (RDP) 0.0.0.0/0
  3. 完成后,单击 Save(保存)。

  4. 单击 Outbound Rules(出站规则)选项卡,然后单击 Edit(编辑)以创建以下规则:

    类型 目标
    所有流量 选择“Private security group”(专用安全组)。
    所有流量 0.0.0.0/0
    ICMP 0.0.0.0/0
  5. 完成后,单击 Save(保存)。

配置专用安全组

  1. 在安全组列表中,选择“Private security group”(专用安全组)。

  2. 单击 Inbound Rules(入站规则)选项卡,然后单击 Edit(编辑)以创建以下规则:

    类型
    所有流量 选择“NAT security group”(NAT 安全组)。
    所有流量 选择“Private security group”(专用安全组)。
    所有流量 选择“Public security group”(公用安全组)。
    ICMP 选择“Public security group”(公用安全组)。
    TCP 53 (DNS) 选择“Public security group”(公用安全组)。
    UDP 53 (DNS) 选择“Public security group”(公用安全组)。
    80 (HTTP) 选择“Public security group”(公用安全组)。
    TCP 135 选择“Public security group”(公用安全组)。
    TCP 389 选择“Public security group”(公用安全组)。
    UDP 389 选择“Public security group”(公用安全组)。
    443 (HTTPS) 选择“Public security group”(公用安全组)。
    TCP 1494 (ICA/HDX) 选择“Public security group”(公用安全组)。
    TCP 2598 (Session Reliability)(TCP 2598(会话可靠性)) 选择“Public security group”(公用安全组)。
    3389 (RDP) 选择“Public security group”(公用安全组)。
    TCP 49152-65535 选择“Public security group”(公用安全组)。
  3. 完成后,单击 Save(保存)。

  4. 单击 Outbound Rules(出站规则)选项卡,然后单击 Edit(编辑)以创建以下规则:

    类型 目标
    所有流量 选择“Private security group”(专用安全组)。
    所有流量 0.0.0.0/0
    ICMP 0.0.0.0/0
    UDP 53 (DNS) 0.0.0.0/0
  5. 完成后,单击 Save(保存)。

任务 3:将 NAT 实例与 NAT 安全组相关联

  1. 在 AWS 管理控制台中,单击 EC2
  2. 在 EC2 控制面板中,单击 Instances(实例)。
  3. 选择“NAT instance”(NAT 实例),然后单击 Actions(操作)> Networking(网络连接)> Change Security Groups(更改安全组)
  4. 取消选中默认安全组复选框。
  5. 选择之前创建的 NAT 安全组,然后单击 Assign Security Groups(分配安全组)。

任务 4:启动实例

以下步骤将创建四个 EC2 实例并解密 Amazon 生成的默认管理员密码。

  1. 在 AWS 管理控制台中,单击 EC2

  2. 在 EC2 控制面板中,单击 Launch Instance(启动实例)。

  3. 选择 Windows Server 计算机映像和实例类型。

  4. 在“Configure Instance Details”(配置实例详细信息)页面上,输入实例的名称并选择以前设置的 VPC。

  5. Subnet(子网)中,为每个实例做以下选择:

    • Bastion host(堡垒主机):选择“Public subnet”(公用子网)。
    • Domain controller and Connectors(域控制器和 Connector):选择“Private subnet”(专用子网)。
  6. Auto-assign Public IP address(自动分配公用 IP 地址)中,为每个实例做以下选择:

    • Bastion host(堡垒主机):选择 Enable(启用)。
    • Domain controller and Connectors(域控制器和 Connector):选择 Use default setting(使用默认设置)或 Disable(禁用)。
  7. Network Interfaces(网络接口)中,为域控制器和 Cloud Connector 实例输入您的专用子网 IP 范围内的主 IP 地址。

  8. 在“Add Storage”(添加存储)页面上,修改磁盘大小(如有必要)。

  9. 在“Tag Instance”(标记实例)页面上,输入每个实例的友好名称。

  10. 在“Configure Security Groups”(配置安全组)页面上,选择 Select an existing security group(选择现有安全组),然后为每个实例做以下选择:

    • Bastion host(堡垒主机):选择“Public security group”(公用安全组)。
    • Domain controller and Cloud Connectors(域控制器和 Cloud Connector):选择“Private security group”(专用安全组)。
  11. 检查所做的选择,然后单击 Launch(启动)。

  12. 创建新密钥对或选择现有密钥对。如果创建新密钥对,请下载您的私钥 (.pem) 文件并将其保存在一个安全的位置。获取实例的默认管理员密码时,需要提供您的私钥。

  13. 单击 Launch Instances(启动实例)。单击 View Instances(查看实例)以显示您的实例列表。请等到新启动的实例通过所有状态检查后再进行访问。

  14. 获取每个实例的默认管理员密码:

    1. 在实例列表中,选择实例,然后单击 Connect(连接)。
    2. 单击 Get Password(获取密码)并在系统提示时提供您的私钥 (.pem) 文件。
    3. 单击 Decrypt Password(解密密码)。AWS 将显示默认密码。
  15. 重复步骤 2-14,直至创建四个实例:在公用子网中创建一个堡垒主机实例,在专用子网中创建三个实例以便用作一个域控制器和两个 Cloud Connector。

任务 5:创建 DHCP 选项集

  1. 在 VPC 控制面板中,单击 DHCP Options Sets(DHCP 选项集)。

  2. 输入以下信息:

    • Name tag(名称标记):为选项集输入一个友好名称。
    • Domain name(域名):输入配置域控制器实例时要使用的完全限定域名。
    • Domain name servers(域名服务器):输入分配给域控制器实例的专用 IP 地址和字符串 AmazonProvidedDNS,以逗号分隔。
    • NTP servers(NTP 服务器):将此字段留空。
    • NetBIOS name servers(NetBIOS 名称服务器):输入域控制器实例的专用 IP 地址。
    • NetBIOS node type(NetBIOS 节点类型):输入 2
  3. 单击 Yes, Create(是,创建)。

  4. 将新选项集与您的 VPC 相关联:

    1. 在 VPC 控制面板中,单击 Your VPCs(您的 VPC),然后选择之前设置的 VPC。
    2. 依次单击 Actions(操作)> Edit DHCP Options Set(编辑 DHCP 选项集)
    3. 系统提示时,选择创建的新选项集,然后单击 Save(保存)。

任务 6:配置实例

  1. 使用 RDP 客户端连接到堡垒主机实例的公用 IP 地址。系统提示时,输入管理员帐户的凭据。

  2. 在堡垒主机实例中,启动远程桌面连接并连接到要配置的实例的专用 IP 地址。系统提示时,输入实例的管理员凭据。

  3. 为专用子网中的所有实例配置 DNS 设置:

    1. 依次单击开始 > 控制面板 > 网络和 Internet > 网络和共享中心 > 更改适配器设置。双击显示的网络连接。
    2. 单击属性,选择 Internet 协议版本 4 (TCP/IPv4),然后单击属性
    3. 单击高级,然后单击 DNS 选项卡。确保以下设置处于启用状态,然后单击“确定”:

      • 在 DNS 中注册此连接的地址
      • 在 DNS 注册中使用此连接的 DNS 后缀
  4. 要配置域控制器,请执行以下操作:

    1. 使用服务器管理器,添加具有所有默认功能的 Active Directory 域服务角色。
    2. 将实例提升到域控制器。提升过程中,启用 DNS 并使用创建新 DHCP 选项集时指定的域名。系统提示时,重新启动实例。
  5. 要配置第一个 Cloud Connector,请执行以下操作:

    1. 将实例加入到域中,并在系统提示时重新启动。在堡垒主机实例中,使用 RDP 重新连接到实例。
    2. 登录 Citrix Cloud。在左上角的菜单中,选择 Resource Locations(资源位置)。
    3. 下载 Cloud Connector。
    4. 系统提示时,运行 cwcconnector.exe 文件并提供您的 Citrix Cloud 凭据。按照向导提示操作。
    5. 完成时,单击 Refresh(刷新)以显示“Resource Locations”(资源位置)页面。注册 Cloud Connector 时,实例将在页面上显示。
  6. 重复步骤 5 以继续配置第二个 Cloud Connector。

创建连接

当您使用 Studio 创建连接时:

  • 必须提供 API 密钥和密钥值。可以先从 AWS 中导出包含这些值的密钥文件,然后再导入。此外,还必须提供地理区域、可用区、VPC 名称、子网地址、域名、安全组名称和凭据。
  • root AWS 帐户的凭据文件(从 AWS 控制台检索)的格式与为标准 AWS 用户下载的凭据文件的格式不同。因此,Citrix Virtual Apps and Desktops 管理不能使用此文件来填充 API 密钥和密钥字段。请务必使用 AWS IAM 凭据文件。

更多信息