网络连接

简介

本文提供了有关使用 Citrix 管理的订阅部署方案 时几个订阅的详细信息。

创建目录时,可以指明用户是否以及如何通过其适用于 Azure 桌面和应用的 Citrix Virtual Apps and Desktops Standard 访问其公司内部部署网络上的位置和资源。

使用 Citrix 管理的 Azure 订阅时,可选项包括:

使用自己的客户管理的 Azure 订阅之一时,无需创建与服务的连接。你只是将 Azure 订阅添加到服务

创建目录后,不能更改目录的连接类型。

所有网络连接的要求

  • 创建连接时,必须具有有效的 DNS 服务器条目
  • 使用 Secure DNS 或第三方 DNS 提供程序时,必须将分配给服务使用的地址范围(在创建连接时指定)添加到允许列表中的 DNS 提供程序的 IP 地址。
  • 使用连接的所有服务资源(已加入域的计算机)必须能够到达您的网络时间协议 (NTP) 服务器,以确保时间同步。

无连接

当目录配置为“无连接”时,用户无法访问其本地网络或其他网络上的资源。这是使用快速创建创建目录时的唯一选择。

无连接到其他网络

关于 Azure VNet 对等连接

虚拟网络对等无缝连接两个 Azure 虚拟网络 (VNet):您的虚拟网络和适用于 Azure VNet 的 Citrix Virtual Apps and Desktops Standard。对等还可帮助用户访问本地网络中的文件和其他项目。

如下图所示,您可以使用 Azure VNet 对等网络从 Citrix 管理的 Azure 订阅到贵公司的 Azure 订阅中的 VNet 创建连接。

客户本地网络的部署方案

以下是 VNet 对等的另一个示例。

VNet 对等图

用户可以通过在创建目录时加入本地域来访问其本地网络资源(如文件服务器)。(也就是说,您加入文件共享和其他所需资源所在的 AD 域。)Azure 订阅连接到这些资源(在图形中,使用 VPN 或 Azure ExpressRoute)。创建目录时,您需要提供域、OU 和帐户凭据。

重要:

  • 在此服务中使用 VNet 对等之前,了解有关 VNet 对等的信息。
  • 在创建使用 VNet 对等连接的目录之前创建该连接。

Azure VNet 对等自定义路由

自定义或用户定义的路由覆盖 Azure 的默认系统路由,用于在 VNet 对等网络中的虚拟机、本地网络和 Internet 之间引导流量。如果存在 Citrix Virtual Apps and Desktops Standard 资源需要访问但未通过 vNet 对等直接连接的网络,则可以选择使用自定义路由。例如,您可以创建一个自定义路由,强制通过网络设备到 Internet 或内部网络子网的流量。

要使用自定义路由:

  • 您必须在 Citrix Virtual Apps and Desktops Standard 环境中具有现有 Azure 虚拟网络 Gateway 或网络设备(如 Citrix SD-WAN)。
  • 添加自定义路由时,必须使用 Citrix Virtual Apps and Desktops Standard 目标 vNet 信息更新公司的路由表,以确保端到端连接。
  • 自定义路由按输入顺序显示在 Citrix Virtual Apps and Desktops Standard 中。此显示顺序不影响 Azure 选择路由的顺序。

在使用自定义路由之前,请查看 Microsoft 文章虚拟网络流量路由 以了解有关使用自定义路由、下一跳类型以及 Azure 如何为出站流量选择路由的详细信息。

可以在创建 Azure VNet 对等连接时添加自定义路由,也可以添加到 Citrix Virtual Apps and Desktops Standard 环境中的现有路由。当您准备好对 VNet 对等使用自定义路由时,请参阅本文中的以下部分:

Azure VNet 对等要求和准备

  • Azure Resource Manager 订阅所有者的凭据。这必须是 Azure Active Directory 帐户。此服务不支持其他帐户类型,如 live.com 或外部 Azure AD 帐户(在其他租户中)。
  • Azure 订阅、资源组和虚拟网络 (VNet)。
  • 设置 Azure 网络路由,以便 Citrix 管理的 Azure 订阅中的 VDA 可以与网络位置进行通信。
  • 打开从 VNet 到指定 IP 范围的 Azure 网络安全组。
  • Active Directory: 对于已加入域的方案,我们建议您在对等 VNet 中运行某种形式的 Active Directory 服务。这利用了 Azure VNet 对等技术的低延迟特性。

    例如,配置可能包括 Azure Active Directory 域服务 (AADDS)、VNet 中的域 Controller VM 或 Azure AD 连接到本地 Active Directory。

    启用 AADDS 后,如果不删除受管域,就无法将受管域移动到其他 VNet。因此,选择正确的 VNet 以启用您的托管域非常重要。在继续之前,请查看 Microsoft 文章 Azure AD 域服务的网络注意事项

  • VNet IP 范围: 创建连接时,必须提供在网络资源和正在连接的 Azure VNet 中唯一的可用 CIDR 地址空间(IP 地址和网络前缀)。这是在 Citrix Virtual Apps and Desktops Standard 对等 vNet 中分配给 VM 的 IP 范围。

    确保指定的 IP 范围不与 Azure 和本地网络中使用的任何地址重叠。

    • 例如,如果 Azure VNet 的地址空间为 10.0.0.0 /16,则在 Citrix Virtual Apps and Desktops Standard 中创建 VNet 对等连接,如 192.168.0.0 /24。

    • 在本示例中,创建具有 10.0.0.0 /24 IP 范围的对等连接将被视为重叠的地址范围。

    如果地址重叠,则可能无法成功创建 VNet 对等连接。对于站点管理任务,它也无法正常工作。

若要了解有关 VNet 对等的信息,请参阅下面的 Microsoft 文章。

创建 Azure VNet 对等连接

  1. 从服务的 “ 管理 ” 仪表板中,展开右侧的 “ 网络连接 ”。如果您已经设置了连接,则会列出这些连接。

    连接列表

  2. 单击添加连接
  3. 击“添加 Azure VNet 对等框中的任意位置。

    添加 VNet 对等连接

  4. 单击验证 Azure 帐户

    对 Azure 订阅进行身份验证

  5. 该服务会自动将你带到 Azure 登录页面来验证你的 Azure 订阅。登录到 Azure(使用全局管理员帐户凭据)并接受条款后,将返回到连接创建详细信息对话框。

    VNet 对等连接创建字段

  6. 键入 Azure VNet 对等方的名称。
  7. 选择要对等的 Azure 订阅、资源组和 VNet。
  8. 指示所选 VNet 是否使用 Azure 虚拟网络网关。有关信息,请参阅 Microsoft 文章 Azure VPN 网关
  9. 键入 IP 地址并选择网络掩码。将显示要使用的地址范围以及该范围支持的地址数。确保 IP 范围不会与 Azure 和本地网络中使用的任何地址重叠。

    • 例如,如果 Azure VNet 的地址空间为 10.0.0.0 /16,则在 Citrix Virtual Apps and Desktops Standard 中创建 VNet 对等连接,如 192.168.0.0 /24。
    • 在此示例中,创建具有 10.0.0.0 /24 IP 范围的 VNet 对等连接将被视为重叠的地址范围。

    如果地址重叠,则可能无法成功创建 VNet 对等连接。对于站点管理任务,它也无法正常工作。

  10. 指示是否要向 VNet 对等连接添加自定义路由。如果选择,请输入以下信息:
    1. 键入自定义路由的友好名称。
    2. 输入目标 IP 地址和网络前缀。网络前缀必须介于 16 到 24 之间。
    3. 为要路由流量的位置选择下一跳类型。如果选择“虚拟设备”,请输入设备的内部 IP 地址。

      自定义路径创建字段

      有关下一跃点类型的详细信息,请参阅 Microsoft 文章 虚拟网络流量路由 中的 自定义路由

    4. 单击“添加路由”为连接创建另一个自定义路由。
  11. 单击添加 VNet 对等

创建连接后,它将列在管理控制板右侧的网络连接 > Azure VNet 对等下。创建目录时,此连接将包含在可用网络连接列表中。

查看 Azure VNet 对等连接详细信息

VNet 对等连接详细信息

  1. 从服务的 “ 管理 ” 仪表板中,展开右侧的 “ 网络连接 ”。
  2. 选择要显示的 Azure VNet 对等连接。

详细信息包括:

  • 使用此连接的目录、计算机、映像和堡垒的数量。
  • 区域、分配的网络空间和对等 VNet。
  • 当前为 VNet 对等连接配置的路由。

管理现有 Azure VNet 对等连接的自定义路由

您可以将新的自定义路由添加到现有连接或修改现有的自定义路由,包括禁用或删除自定义路由。

重要:

修改、禁用或删除自定义路由会更改连接的通信流,并可能会中断可能处于活动状态的任何用户会话。

添加自定义路由:

  1. 从 VNet 对等连接详细信息中,选择路由,然后单击添加路由
  2. 输入友好名称、目标 IP 地址和前缀以及要使用的下一跳类型。如果选择虚拟设备作为下一跃点类型,请输入设备的内部 IP 地址。
  3. 指明是否要启用自定义路由。默认情况下,自定义路由处于启用状态。
  4. 单击添加路线

修改或禁用自定义路由:

  1. 从 VNet 对等连接详细信息中,选择路由,然后找到要管理的自定义路由。
  2. 从省略号菜单中,选择编辑

    VNet 对等详细信息页面中的路由选项卡

  3. 根据需要对目标 IP 地址和前缀或下一跳类型进行任何必要的更改。
  4. 要启用或禁用自定义路由,请在启用此路由? 下,选择
  5. 单击 “ 保存”。

要删除自定义路由:

  1. 从 VNet 对等连接详细信息中,选择路由,然后找到要管理的自定义路由。
  2. 从省略号菜单中,选择删除
  3. 选择删除路由可能会中断活动会话,以确认删除自定义路由的影响。
  4. 单击删除路线

删除 Azure VNet 对等连接

删除 Azure VNet 对等方之前,请先删除与其关联的所有目录。请参阅 删除目录

  1. 从服务的 “ 管理 ” 仪表板中,展开右侧的 “ 网络连接 ”。
  2. 选择要删除的连接。
  3. 从连接详细信息中,单击删除连接

关于 SD-WAN 连接

Citrix SD-WAN 优化了适用于 Azure 的 Citrix Virtual Apps and Desktops Standard 所需的所有网络连接。Citrix SD-WAN 与 HDX 技术协同工作,为 ICA 和带外 Citrix Virtual Apps and Desktops Standard 流量提供服务质量和连接可靠性。Citrix SD-WAN 支持以下网络连接:

  • 用户及其虚拟桌面之间的多流 ICA 连接
  • 从虚拟桌面到网站、SaaS 应用程序和其他云属性的互联网访问
  • 从虚拟桌面访问内部资源,如 Active Directory、文件服务器和数据库服务器
  • 通过 RTP 从 Workspace 应用程序中的媒体引擎转移到云托管的统一通信服务(如 Microsoft Teams)的实时/交互式流量
  • 客户端从 YouTube 和 Vimeo 等网站获取视频

如下图所示,您可以从 Citrix 管理的 Azure 订阅到站点创建 SD-WAN 连接。在创建连接过程中,SD-WAN VPX 设备将在 Citrix 管理的 Azure 订阅中创建。从 SD-WAN 的角度来看,该位置被视为分支机构。

SD-WAN 连接

SD-WAN 连接要求和准备

  • 如果不满足以下要求,则 SD-WAN 网络连接选项不可用。

    • Citrix Cloud 授权:适用于 Azure 的 Citrix Virtual Apps and Desktops Standard 和 SD-WAN Orchestrator。
    • 已安装和配置的 SD-WAN 部署。部署必须包含一个主控制节点 (MCN),无论是在云中还是在本地,并且必须使用 SD-WAN Orchestrator 进行管理。
  • VNet IP 范围:提供在正在连接的网络资源中唯一的可用 CIDR 地址空间(IP 地址和网络前缀)。这是分配给 Citrix Virtual Apps and Desktops Standard VNet 中 VM 的 IP 范围。

    确保您指定的 IP 范围不与云和本地网络中使用的任何地址重叠。

    • 例如,如果网络的地址空间为 10.0.0.0 /16,则在 Citrix Virtual Apps and Desktops Standard 中创建连接,如 192.168.0.0 /24。
    • 在本示例中,创建具有 10.0.0.0 /24 IP 范围的连接将被视为重叠的地址范围。

    如果地址重叠,则可能无法成功创建连接。对于站点管理任务,它也无法正常工作。

  • 连接配置过程包括您(服务管理员)和 SD-WAN Orchestrator 管理员必须完成的任务。此外,要完成任务,您需要 SD-WAN Orchestrator 管理员提供的信息。

    我们建议您在实际创建连接之前,先查看本文档中的指南以及 SD-WAN 文档。

创建 SD-WAN 连接

重要:

有关 SD-WAN 配置的详细信息,请参阅用于 CMD 集成的 SD-WAN 配置

  1. 从服务的 “ 管理 ” 仪表板中,展开右侧的 “ 网络连接 ”。
  2. 单击添加连接
  3. 在“添加网络连接”页上,单击 SD-WAN 框中的任意位置。
  4. 下一页总结了未来的事情。完成阅读后,单击 开始配置 SD-WAN
  5. 在“配置 SD-WAN”页面上,输入 SD-WAN 管理员提供的信息。

    • 部署模式: 如果选择“高可用性”,则会创建两个 VPX 设备(推荐用于生产环境)。如果选择“独立”,则会创建一个设备。以后不能更改此设置。要更改为部署模式,您必须删除并重新创建分支和所有关联的目录。
    • 名称: 键入 SD-WAN 站点的名称。
    • 吞吐量和办公室数量: 此信息由 SD-WAN Orchestrator 管理员提供。
    • 区域: 将在其中创建 VPX 装置的区域。
    • VDA 子网和 SD-WAN 子网: 此信息由 SD-WAN Orchestrator 管理员提供。有关避免冲突 SD-WAN 连接要求和准备 的信息,请参阅。
  6. 完成后,单击创建分支
  7. 下一页总结了要在“管理”控制板上查找的内容。当你完成阅读,单击 获取它
  8. 管理控制板上,网络连接下的新 SD-WAN 条目显示配置过程的进度。当条目变为橙色并显示消息正在等待 SD-WAN 管理员激活时,请通知您的 SD-WAN Orchestrator 管理员。
  9. 有关 SD-WAN 管理器管理员任务,请参阅 SD-WAN Orchestrator 产品文档
  10. SD-WAN Orchestrator 管理员完成后, 网络连接 下的 SD-WAN 条目将变为绿色,并显示消息 您可以使用此连接创建目录。

查看 SD-WAN 连接详细信息

  1. 从服务的 “ 管理 ” 仪表板中,展开右侧的 “ 网络连接 ”。
  2. 如果不是唯一的选择,请选择 SD-WAN
  3. 单击要显示的连接。

显示包括:

  • 详细信息选项卡: 配置连接时指定的信息。
  • 分支连接选项卡: 每个分支机构和 MCN 的名称、云连接、可用性、带宽层、角色和位置。

删除 SD-WAN 连接

删除 SD-WAN 连接之前,请先删除与其关联的任何目录。请参阅 删除目录

  1. 从服务的 “ 管理 ” 仪表板中,展开右侧的 “ 网络连接 ”。
  2. 如果不是唯一的选择,请选择 SD-WAN。
  3. 单击要删除的连接,展开其详细信息。
  4. 详细信息选项卡上,单击删除连接
  5. 确认删除。