技术性概述
Citrix Virtual Apps and Desktops™ 是虚拟化解决方案,它使 IT 能够控制虚拟机、应用程序、许可和安全性,同时为任何设备提供随时随地的访问。
Citrix 虚拟应用和桌面允许:
- 最终用户运行应用程序和桌面,独立于设备的操作系统和界面。
- 管理员管理网络并控制来自选定设备或所有设备的访问。
- 管理员可以从单个数据中心管理整个网络。
Citrix 虚拟应用和 Citrix 虚拟桌面共享一个名为 FlexCast 管理架构 (FMA) 的统一架构。FMA 的主要功能是能够从单个站点运行多个版本的 Citrix 虚拟应用或 Citrix 虚拟桌面™,并提供集成预配。
关键组件
如果您是 Citrix 虚拟应用和 Citrix 虚拟桌面 的新用户,本文将非常有用。
此图显示了典型部署中的关键组件,该部署称为站点。
交付控制器™
Delivery Controller 是站点的中央管理组件。每个站点有一个或多个 Delivery Controller。它安装在数据中心至少一台服务器上。为了站点的可靠性和可用性,请将 Controller 安装在多台服务器上。如果您的部署包含管理程序或其他服务,Controller 服务会与其通信以:
- 分发应用程序和桌面
- 验证和管理用户访问
- 代理用户与其桌面和应用程序之间的连接
- 优化用户连接性能
- 对连接进行负载均衡
Controller 的 Broker Service 跟踪哪些用户已登录以及登录位置、用户拥有的会话资源以及用户是否需要重新连接到现有应用程序。Broker Service 运行 PowerShell cmdlet 并通过 TCP 端口 80 与 VDA 上的代理进行通信。它没有使用 TCP 端口 443 的选项。
Monitor Service 收集历史数据并将其存储在监控数据库中。此服务使用 TCP 端口 80 或 443。
Controller 服务的数据存储在站点数据库中。
Controller 根据需求和管理配置管理桌面的状态,并启动和停止它们。
数据库
每个站点至少需要一个 Microsoft SQL Server 数据库来存储配置和会话信息。此数据库存储由构成 Controller 的服务收集和管理的数据。请在数据中心内安装数据库,并确保它与 Controller 具有持久连接。
站点还使用配置日志数据库和监控数据库。默认情况下,这些数据库与站点数据库安装在同一位置,但您可以更改此设置。
虚拟投递代理 (VDA)
VDA 安装在您站点中提供给用户的每台物理或虚拟机上。这些机器提供应用程序或桌面。VDA 使机器能够向 Controller 注册,从而使机器及其托管的资源可供用户使用。VDA 建立并管理机器与用户设备之间的连接。VDA 还验证用户或会话是否具有 Citrix® 许可证,并应用为会话配置的策略。
VDA 通过 VDA 中的代理将会话信息传达给 Controller 中的 Broker Service。代理托管多个插件并收集实时数据。它通过 TCP 端口 80 与 Controller 通信。
“VDA”一词通常用于指代代理及其安装的机器。
VDA 适用于单会话和多会话 Windows 操作系统。适用于多会话 Windows 操作系统的 VDA 允许同时连接多个用户到服务器。适用于单会话 Windows 操作系统的 VDA 仅允许一次一个用户连接到桌面。还提供 Linux VDA。
思杰店面™
StoreFront 验证用户并管理用户访问的桌面和应用程序商店。它可以托管您的企业应用程序商店,让用户能够自助访问您提供给他们的桌面和应用程序。它还跟踪用户的应用程序订阅、快捷方式名称和其他数据。这有助于确保用户在多个设备上获得一致的体验。
思杰工作区™ 应用
Citrix Workspace app 安装在用户设备和其他端点(例如虚拟桌面)上,为用户提供对文档、应用程序和桌面的快速、安全、自助访问。Citrix Workspace app 提供对 Windows、Web 和软件即服务 (SaaS) 应用程序的按需访问。对于无法安装特定于设备的 Citrix Workspace app 软件的设备,Citrix Workspace app for HTML5 通过兼容 HTML5 的 Web 浏览器提供连接。
工作室
您可以使用两种管理控制台来管理您的思杰虚拟应用和桌面部署:Web 工作室(基于 Web)和思杰工作室(基于 Windows)。本产品文档仅涵盖 Web 工作室。有关思杰工作室的信息,请参阅思杰虚拟应用和桌面 7 2212 或更早版本。
Web 工作室
Web Studio 是一个基于 Web 的管理控制台,可让您配置和管理本地 Citrix Virtual Apps and Desktops 部署。它旨在提供改进的用户体验,并且通常比基于 Windows 的管理控制台 Citrix Studio 响应更快。请参阅 安装 Web Studio。
思杰工作室
Citrix Studio 是用于配置和管理 Citrix Virtual Apps and Desktops 部署的管理控制台。Citrix Studio 消除了管理应用程序和桌面交付时对单独管理控制台的需求。Citrix Studio 提供向导,指导您完成环境设置、创建用于托管应用程序和桌面的工作负载以及将应用程序和桌面分配给用户。您还可以使用 Studio 为您的站点分配和跟踪 Citrix 许可证。
思杰工作室从控制器中的代理服务获取其显示的信息,通过 TCP 端口 80 进行通信。
安全私有访问
Citrix Secure Private Access 本地解决方案通过以下方式增强了组织整体的安全性和合规性态势:使用 StoreFront 作为 Web 和 SaaS 应用程序的统一访问门户,以及作为 Citrix Workspace 集成部分的虚拟应用程序和桌面,轻松地向基于浏览器的应用程序(内部 Web 应用程序和 SaaS 应用程序)提供零信任网络访问。该解决方案与 NetScaler 和 StoreFront 的现有版本兼容,无需更改版本。有关详细信息,请参阅 Secure Private Access for on-premises。
思杰导向器
Director 是一种基于 Web 的工具,使 IT 支持和帮助台团队能够监控环境、在问题变得系统关键之前对其进行故障排除,并为最终用户执行支持任务。您可以使用一个 Director 部署连接和监控多个 Citrix Virtual Apps 或 Citrix Virtual Desktops 站点。
Director 显示以下内容:
-
来自控制器中代理服务的实时会话数据,其中包括代理服务从 VDA 中的代理获取的数据。
-
来自控制器中监控服务的历史站点数据。
Director 使用 Citrix Gateway 设备捕获的 ICA® 性能和启发式数据,从这些数据中构建分析,然后将其呈现给管理员。
您还可以通过 Director 使用 Windows 远程协助查看并与用户会话进行交互。
Citrix 许可证服务器
许可证服务器管理您的 Citrix 产品许可证。它与 Controller 通信以管理每个用户会话的许可,并与 Studio 通信以分配许可证文件。一个站点必须至少有一个许可证服务器来存储和管理您的许可证文件。
虚拟机管理程序或其他服务
虚拟机管理程序或其他服务托管您站点中的虚拟机。这些可以是您用于托管应用程序和桌面的虚拟机,以及您用于托管 Citrix Virtual Apps and Desktops 组件的虚拟机。虚拟机管理程序安装在专门用于运行虚拟机管理程序和托管虚拟机的宿主计算机上。
思杰虚拟应用和桌面支持各种虚拟机管理程序和其他服务。
尽管许多部署都需要虚拟机管理程序,但提供远程电脑访问时不需要虚拟机管理程序。当您使用 Provisioning Services (PVS) 预配虚拟机时,也不需要虚拟机管理程序。
其他附加组件
以下组件也可以包含在 Citrix Virtual Apps and Desktops 部署中。有关详细信息,请参阅其文档。
思杰供应™
Citrix Provisioning(以前称为 Provisioning Services)是一个可选组件,可用于某些版本。它提供了一种替代 MCS 的虚拟机预配方法。MCS 创建主映像的副本,而 PVS 将主映像流式传输到用户设备。PVS 不需要虚拟机管理程序即可执行此操作,因此您可以使用它来托管物理机。PVS 与 Controller 通信以向用户提供资源。
思杰网关
当用户从公司防火墙外部连接时,Citrix Virtual Apps and Desktops 可以使用 Citrix Gateway(以前称为 Access Gateway 和 NetScaler® Gateway)技术通过 TLS 保护这些连接。Citrix Gateway 或 VPX 虚拟设备是一种 SSL VPN 设备,部署在非军事区 (DMZ) 中。它通过公司防火墙提供单一安全访问点。
思杰 软件定义广域网™
在将虚拟桌面交付给远程位置(例如分支机构)用户的部署中,可以采用 Citrix SD-WAN 技术来优化性能。中继器可加速跨 WAN 的性能。借助网络中的中继器,分支机构的用户可以在 WAN 上体验类似 LAN 的性能。Citrix SD-WAN 可以优先处理用户体验的不同部分,例如,当通过网络发送大型文件或打印作业时,分支机构的用户体验不会下降。HDX™ WAN 优化提供令牌化压缩和数据去重,显著降低了带宽要求并提高了性能。
典型部署的工作原理
一个站点由具有专用角色的计算机组成,这些角色支持可伸缩性、高可用性和故障转移,并提供一种设计上安全的解决方案。一个站点包含安装了 VDA 的服务器和桌面计算机,以及管理访问的 Delivery Controller。
VDA 允许用户连接到桌面和应用程序。对于大多数交付方法,它安装在数据中心的虚拟机上,但它也可以安装在物理 PC 上以实现远程 PC 访问。
Controller 由独立的 Windows 服务组成,这些服务管理资源、应用程序和桌面,并优化和平衡用户连接。每个站点有一个或多个 Controller。由于会话受延迟、带宽和网络可靠性的影响,如果可能,请将所有 Controller 放置在同一 LAN 上。
用户从不直接访问 Controller。VDA 充当用户和 Controller 之间的中介。当用户使用 StoreFront 登录时,其凭据会传递到 Controller 上的 Broker Service。然后,Broker Service 根据为他们设置的策略获取配置文件和可用资源。
用户连接的处理方式
要启动会话,用户可以通过安装在用户设备上的 Citrix Workspace 应用程序连接,或通过 StoreFront 网站连接。
用户选择所需的物理或虚拟桌面或虚拟应用程序。
用户的凭据通过此路径访问 Controller,Controller 通过与 Broker Service 通信来确定需要哪些资源。Citrix 建议管理员在 StoreFront 上放置 SSL 证书,以加密来自 Citrix Workspace 应用程序的凭据。
Broker Service 决定用户可以访问哪些桌面和应用程序。
凭据验证后,有关可用应用程序或桌面的信息会通过 StoreFront-Citrix Workspace 应用程序路径发送回用户。当用户从该列表中选择应用程序或桌面时,该信息会沿路径返回到 Controller。然后,Controller 确定适当的 VDA 来托管特定的应用程序或桌面。
Controller 将包含用户凭据的消息发送到 VDA,然后将有关用户和连接的所有数据发送到 VDA。VDA 接受连接并通过相同的路径将信息发送回 Citrix Workspace 应用程序。StoreFront 上会收集一组必需参数。然后,这些参数作为 Citrix Workspace 应用程序-StoreFront 协议对话的一部分发送到 Citrix Workspace 应用程序,或者转换为独立计算架构 (ICA) 文件并下载。只要站点设置正确,凭据在此过程中始终保持加密。
ICA 文件复制到用户设备,并在设备与 VDA 上运行的 ICA 堆栈之间建立直接连接。此连接绕过了管理基础结构(Citrix Workspace 应用程序、StoreFront 和 Controller)。
Citrix Workspace 应用程序与 VDA 之间的连接使用 Citrix Gateway 协议 (CGP)。如果连接丢失,会话可靠性功能使用户能够重新连接到 VDA,而无需通过管理基础结构重新启动。会话可靠性可以在 Citrix 策略中启用或禁用。
客户端连接到 VDA 后,VDA 会通知 Controller 用户已登录。然后,Controller 将此信息发送到站点数据库,并开始在监控数据库中记录数据。
数据访问的工作原理
每个 Citrix Virtual Apps and Desktops 会话都会生成 IT 可以通过 Studio 或 Director 访问的数据。使用 Studio,管理员可以从 Broker Agent 访问实时数据以管理站点。Director 访问相同的数据以及存储在监控数据库中的历史数据。它还从 NetScaler Gateway 访问 HDX 数据,用于帮助台支持和故障排除。
部署中的数据访问 (/zh-cn/citrix-virtual-apps-desktops/2407/media/data-access.png)
在 Controller 中,Broker Service 报告机器上每个会话的会话数据,提供实时数据。Monitor Service 也跟踪实时数据并将其作为历史数据存储在监控数据库中。
Studio 仅与代理服务通信。它仅访问实时数据。Director 通过代理服务(通过代理程序中的插件)访问站点数据库。
Director 还可以访问思杰网关,以获取有关 HDX 数据的信息。
交付桌面和应用程序
您使用计算机目录设置交付应用程序和桌面的计算机。然后,创建交付组以指定将可用的应用程序和桌面(使用目录中的计算机),以及哪些用户可以访问它们。可选地,您可以创建应用程序组来管理应用程序集合。
计算机目录
计算机目录是作为单个实体进行管理的虚拟或物理机的集合。这些计算机以及它们上面的应用程序或虚拟桌面是您提供给用户的资源。目录中的所有计算机都具有相同的操作系统并安装了相同的 VDA。它们还具有相同的应用程序或虚拟桌面。
通常,您会创建一个主映像,并使用它在该目录中创建相同的 VM。对于 VM,您可以指定该目录中计算机的预配方法:Citrix 工具(Citrix Provisioning 或 MCS)或其他工具。或者,您可以使用自己的现有映像。在这种情况下,您必须单独管理目标设备,或使用第三方电子软件分发 (ESD) 工具进行集体管理。
有效的计算机类型包括:
- 多会话操作系统: 具有多会话操作系统的虚拟或物理计算机。用于交付 Citrix Virtual Apps 发布应用程序(也称为基于服务器的托管应用程序)和 Citrix Virtual Apps 发布桌面(也称为服务器托管桌面)。这些计算机允许多个用户同时连接到它们。
- 单会话操作系统: 具有单会话操作系统的虚拟或物理计算机。用于交付 VDI 桌面(运行单会话操作系统且可选择进行个性化的桌面)、VM 托管应用程序(来自单会话操作系统的应用程序)和托管物理桌面。每次只有一个用户可以连接到每个桌面。
- 远程电脑访问: 使远程用户能够从运行 Citrix Workspace 应用程序的任何设备访问其物理办公电脑。办公电脑通过 Citrix Virtual Desktops 部署进行管理,并且要求在允许列表中指定用户设备。
有关详细信息,请参阅 Citrix Virtual Apps and Desktops 映像管理 和 创建计算机目录。
交付群组
交付组指定哪些用户可以在哪些计算机上访问哪些应用程序、桌面或两者。交付组包含来自计算机目录的计算机以及有权访问站点的 Active Directory 用户。您可以根据用户的 Active Directory 组将用户分配到交付组,因为 Active Directory 组和交付组是根据相似要求对用户进行分组的方式。
每个交付组可以包含来自多个目录的计算机,并且每个目录可以向多个交付组提供计算机。但是,每台单独的计算机一次只能属于一个交付组。
您可以定义交付组中的用户可以访问哪些资源。例如,要向不同用户交付不同的应用程序,您可以在一个目录的主映像上安装所有应用程序,并在该目录中创建足够的计算机以分配给多个交付组。然后,您可以将每个交付组配置为交付计算机上安装的不同应用程序子集。
有关详细信息,请参阅 创建交付组。
应用程序组
应用程序组在应用程序管理和资源控制方面比使用更多交付组具有优势。使用标记限制功能,您可以将现有计算机用于多个发布任务,从而节省与部署和管理更多计算机相关的成本。标记限制可以看作是对交付组中的计算机进行细分(或分区)。应用程序组在隔离和排查交付组中部分计算机的问题时也很有用。
有关详细信息,请参阅 创建应用程序组。