技术性概览
Citrix Virtual Apps and Desktops™ 是虚拟化解决方案,可让 IT 部门控制虚拟机、应用程序、许可和安全性,同时为任何设备提供随时随地的访问。
Citrix 虚拟应用和桌面 允许:
- 最终用户独立于设备的操作系统和界面运行应用程序和桌面。
- 管理员管理网络并控制来自选定设备或所有设备的访问。
- 管理员可以从单个数据中心管理整个网络。
思杰虚拟应用和思杰虚拟桌面共享一个名为 FlexCast Management Architecture (FMA) 的统一架构。FMA 的主要特点是能够从单个站点运行多个版本的思杰虚拟应用或思杰虚拟桌面™,并提供集成预配功能。
关键组件
如果您是 Citrix Virtual Apps and Desktops(思杰虚拟应用和桌面)的新用户,本文将非常有用。
此图展示了典型部署中的主要组件,这种部署通常被称为一个站点。
交付控制器™
Delivery Controller 是站点的中央管理组件。每个站点都包含一个或多个 Delivery Controller。它安装在数据中心至少一台服务器上。为了提高站点的可靠性和可用性,请在多台服务器上安装 Controller。如果您的部署包含管理程序或其他服务,Controller 服务会与其通信以:
- 分发应用程序和桌面
- 验证和管理用户访问
- 代理用户与其桌面和应用程序之间的连接
- 优化用户连接性能
- 对连接进行负载均衡
Controller 的 Broker Service 跟踪哪些用户已登录以及登录位置、用户拥有的会话资源以及用户是否需要重新连接到现有应用程序。Broker Service 运行 PowerShell cmdlet 并通过 TCP 端口 80 与 VDA 上的代理进行通信。它没有使用 TCP 端口 443 的选项。
Monitor Service 收集历史数据并将其存储在监控数据库中。此服务使用 TCP 端口 80 或 443。
来自 Controller 服务的数据存储在站点数据库中。
Controller 根据需求和管理配置来管理桌面的状态,并启动和停止它们。
数据库
每个站点至少需要一个 Microsoft SQL Server 数据库来存储配置和会话信息。此数据库存储由构成 Controller 的服务收集和管理的数据。请在您的数据中心内安装数据库,并确保它与 Controller 具有持久连接。
站点还使用配置日志记录数据库和监控数据库。默认情况下,这些数据库与站点数据库安装在同一位置,但您可以更改此设置。
虚拟投递代理 (VDA)
VDA 安装在您站点中提供给用户的每台物理或虚拟机上。这些计算机提供应用程序或桌面。VDA 使计算机能够向 Controller 注册,从而使计算机及其托管的资源可供用户使用。VDA 建立并管理计算机与用户设备之间的连接。VDA 还会验证用户或会话是否具有 Citrix® 许可证,并应用为会话配置的策略。
VDA 通过 VDA 中的代理将会话信息传达给 Controller 中的 Broker Service。代理托管多个插件并收集实时数据。它通过 TCP 端口 80 与 Controller 进行通信。
“VDA”一词通常用于指代代理及其安装的计算机。
VDA 适用于单会话和多会话 Windows 操作系统。适用于多会话 Windows 操作系统的 VDA 允许一次有多个用户连接到服务器。适用于单会话 Windows 操作系统的 VDA 允许一次只有一个用户连接到桌面。(/zh-cn/linux-virtual-delivery-agent/current-release.html) 也可用。
思杰 店面™
StoreFront 验证用户并管理用户访问的桌面和应用程序商店。它可以托管您的企业应用程序商店,使用户能够自助访问您提供给他们的桌面和应用程序。它还跟踪用户的应用程序订阅、快捷方式名称和其他数据。这有助于确保用户在多个设备上获得一致的体验。
思杰 Workspace™ 应用程序
Citrix Workspace 应用程序安装在用户设备和其他端点(例如虚拟桌面)上,为用户提供对文档、应用程序和桌面的快速、安全、自助访问。Citrix Workspace 应用程序提供对 Windows、Web 和软件即服务 (SaaS) 应用程序的按需访问。对于无法安装特定于设备的 Citrix Workspace 应用程序软件的设备,适用于 HTML5 的 Citrix Workspace 应用程序通过兼容 HTML5 的 Web 浏览器提供连接。
工作室
You can manage your Citrix Virtual Apps and Desktops deployment using two management consoles: Web Studio (web-based) and Citrix Studio (Windows-based). This product documentation covers only Web Studio. For information about Citrix Studio, see Citrix Virtual Apps and Desktops 7 2212 or earlier.
网络工作室
Web Studio 是一个基于 Web 的管理控制台,可让您配置和管理本地 Citrix Virtual Apps and Desktops 部署。它旨在提供改进的用户体验,并且通常比基于 Windows 的管理控制台 Citrix Studio 响应更快。
有关详细信息,请参阅 安装 Web Studio。
Citrix 管理控制台
Citrix Studio 是用于配置和管理 Citrix Virtual Apps and Desktops 部署的管理控制台。Citrix Studio 消除了对用于管理应用程序和桌面交付的单独管理控制台的需求。Citrix Studio 提供向导,指导您完成环境设置、创建用于托管应用程序和桌面的工作负载以及将应用程序和桌面分配给用户。您还可以使用 Studio 为您的站点分配和跟踪 Citrix 许可证。
Citrix 管理控制台从控制器中的代理服务获取其显示的信息,通过 TCP 端口 80 进行通信。
安全私有访问
Citrix Secure Private Access 本地解决方案增强了组织整体的安全性和合规性态势,能够轻松地向基于浏览器的应用程序(内部 Web 应用程序和 SaaS 应用程序)提供零信任网络访问,使用 StoreFront 作为 Web 和 SaaS 应用程序的统一访问门户,以及作为 Citrix Workspace 集成部分的虚拟应用程序和桌面。该解决方案与 NetScaler 和 StoreFront 的现有版本兼容,无需更改版本。有关详细信息,请参阅 本地部署的 Secure Private Access。
思杰监控器
Director 是一种基于 Web 的工具,使 IT 支持和技术支持团队能够监视环境、在问题变得系统关键之前对其进行故障排除,并为最终用户执行支持任务。您可以使用一个 Director 部署连接并监视多个 Citrix Virtual Apps 或 Citrix Virtual Desktops 站点。
Director 显示以下内容:
-
来自控制器中代理服务的实时会话数据,其中包括代理服务从 VDA 中的代理程序获取的数据。
-
来自控制器中监视服务的历史站点数据。
Director 使用 Citrix Gateway 设备捕获的 ICA® 性能和启发式数据从数据构建分析,然后将其呈现给管理员。
您还可以使用 Windows 远程协助,通过 Director 查看并与用户会话进行交互。
Citrix 许可证服务器
License Server 管理您的 Citrix 产品许可证。它与 Controller 通信以管理每个用户会话的许可,并与 Studio 通信以分配许可证文件。一个站点必须至少有一个许可证服务器来存储和管理您的许可证文件。
管理程序或其他服务
管理程序或其他服务托管您站点中的虚拟机。这些可以是您用于托管应用程序和桌面的 VM,以及您用于托管 Citrix Virtual Apps and Desktops 组件的 VM。管理程序安装在专门用于运行管理程序和托管虚拟机的宿主计算机上。
Citrix 虚拟应用和桌面支持各种虚拟机管理程序和其他服务。
尽管许多部署需要管理程序,但您不需要管理程序即可提供远程 PC 访问。当您使用 Provisioning Services (PVS) 预配 VM 时,也不需要管理程序。
其他相关组件
以下组件也可以包含在 Citrix Virtual Apps and Desktops 部署中。有关详细信息,请参阅其文档。
思杰置备™
Citrix Provisioning(以前称为 Provisioning Services)是一个可选组件,在某些版本中可用。它为预配虚拟机提供了 MCS 的替代方案。MCS 创建主映像的副本,而 PVS 将主映像流式传输到用户设备。PVS 不需要管理程序即可执行此操作,因此您可以使用它来托管物理机。PVS 与 Controller 通信,为用户提供资源。
思杰网关
当用户从公司防火墙外部连接时,Citrix Virtual Apps and Desktops 可以使用 Citrix Gateway(以前称为 Access Gateway 和 NetScaler® Gateway)技术通过 TLS 保护这些连接。Citrix Gateway 或 VPX 虚拟设备是一种 SSL VPN 设备,部署在非军事区 (DMZ) 中。它通过公司防火墙提供单一安全访问点。
思杰软件定义广域网™
在将虚拟桌面交付给分支机构等远程位置用户的部署中,可以采用 Citrix SD-WAN 技术来优化性能。中继器可加速 WAN 上的性能。通过网络中的中继器,分支机构的用户可以在 WAN 上体验到类似 LAN 的性能。Citrix SD-WAN 可以优先处理用户体验的不同部分,例如,当通过网络发送大型文件或打印作业时,分支机构的用户体验不会下降。HDX™ WAN 优化提供令牌化压缩和数据去重,显著降低了带宽要求并提高了性能。
典型部署的工作原理
站点由具有专用角色的计算机组成,这些角色支持可扩展性、高可用性和故障转移,并提供一种设计安全的解决方案。站点包含安装了 VDA 的服务器和桌面计算机,以及管理访问的 Delivery Controller。
VDA 使户能够连接到桌面和应用程序。对于大多数交付方法,它安装在数据中心的虚拟机上,但也可以安装在物理 PC 上以实现远程 PC 访问。
Controller 由独立的 Windows 服务组成,这些服务管理资源、应用程序和桌面,并优化和平衡用户连接。每个站点有一个或多个 Controller。由于会话受延迟、带宽和网络可靠性的影响,因此如果可能,请将所有 Controller 放置在同一 LAN 上。
用户从不直接访问 Controller。VDA 充当用户与 Controller 之间的中介。当用户使用 StoreFront 登录时,其凭据会传递到 Controller 上的 Broker Service。然后,Broker Service 根据为其设置的策略获取配置文件和可用资源。
用户连接的处理方式
要启动会话,用户可以通过安装在用户设备上的 Citrix Workspace 应用程序或 StoreFront 网站进行连接。
用户选择所需的物理或虚拟桌面或虚拟应用程序。
用户的凭据通过此路径访问 Controller,Controller 通过与 Broker Service 通信来确定所需的资源。Citrix 建议管理员在 StoreFront 上放置 SSL 证书,以加密来自 Citrix Workspace 应用程序的凭据。
用户连接流程(/zh-cn/citrix-virtual-apps-desktops/2507-ltsr/media/user-connections.png)
代理服务用于确定用户被授权访问哪些桌面和应用程序。
凭据验证后,有关可用应用程序或桌面的信息会通过 StoreFront-Citrix Workspace 应用程序路径发送回给用户。当用户从此列表中选择应用程序或桌面时,该信息会沿路径返回到控制器。控制器随后确定适当的 VDA 以托管特定的应用程序或桌面。
控制器将包含用户凭据的消息发送到 VDA,然后将有关用户和连接的所有数据发送到 VDA。VDA 接受连接,并通过相同的路径将信息发送回 Citrix Workspace 应用程序。StoreFront 上会收集一组必需的参数。这些参数随后会作为 Citrix Workspace 应用程序-StoreFront 协议对话的一部分发送到 Citrix Workspace 应用程序,或转换为独立计算架构 (ICA) 文件并下载。只要站点设置正确,凭据在此过程中始终保持加密。
ICA 文件被复制到用户设备,并在设备与 VDA 上运行的 ICA 堆栈之间建立直接连接。此连接绕过管理基础结构(Citrix Workspace 应用程序、StoreFront 和控制器)。
Citrix Workspace 应用程序与 VDA 之间的连接使用 Citrix Gateway 协议 (CGP)。如果连接丢失,会话可靠性功能使用户能够重新连接到 VDA,而无需通过管理基础结构重新启动。会话可靠性可以在 Citrix 策略中启用或禁用。
客户端连接到 VDA 后,VDA 会通知控制器用户已登录。控制器随后将此信息发送到站点数据库,并开始在监控数据库中记录数据。
数据访问的工作原理
每个 Citrix Virtual Apps and Desktops 会话都会生成 IT 人员可以通过 Studio 或 Director 访问的数据。使用 Studio,管理员可以从代理代理访问实时数据来管理站点。Director 访问相同的数据以及存储在监控数据库中的历史数据。它还从 NetScaler Gateway 访问 HDX 数据,用于帮助台支持和故障排除。
部署中的数据访问(/zh-cn/citrix-virtual-apps-desktops/2507-ltsr/media/data-access.png)
在控制器中,代理服务报告机器上每个会话的会话数据,提供实时数据。监控服务也跟踪实时数据,并将其作为历史数据存储在监控数据库中。
Studio 仅与代理服务通信。它仅访问实时数据。Director 与代理服务(通过代理代理中的插件)通信以访问站点数据库。
Director 还可以访问 Citrix Gateway,从而获取有关 HDX 数据的信息。
交付桌面和应用程序
您使用计算机目录设置交付应用程序和桌面的计算机。然后,您创建交付组,指定将可用的应用程序和桌面(使用目录中的计算机),以及哪些用户可以访问它们。(可选)您可以随后创建应用程序组来管理应用程序集合。
机器目录
机器目录是作为单个实体管理的虚拟或物理机的集合。这些机器以及其上的应用程序或虚拟桌面是您提供给用户的资源。目录中的所有机器都安装了相同的操作系统和相同的 VDA。它们还具有相同的应用程序或虚拟桌面。
通常,您会创建一个主映像,并使用它在目录中创建相同的 VM。对于 VM,您可以指定该目录中机器的预配方法:Citrix 工具(Citrix Provisioning 或 MCS)或其他工具。或者,您可以使用自己现有的映像。在这种情况下,您必须单独管理目标设备,或使用第三方电子软件分发 (ESD) 工具进行集体管理。
有效的机器类型包括:
- 多会话操作系统: 具有多会话操作系统的虚拟或物理机。用于交付 Citrix Virtual Apps 发布应用程序(也称为基于服务器的托管应用程序)和 Citrix Virtual Apps 发布桌面(也称为服务器托管桌面)。这些机器允许多个用户同时连接到它们。
- 单会话操作系统: 具有单会话操作系统的虚拟或物理机。用于交付 VDI 桌面(运行单会话操作系统且可选择进行个性化的桌面)、VM 托管应用程序(来自单会话操作系统的应用程序)和托管物理桌面。每次只能有一个用户连接到这些桌面中的每一个。
- 远程电脑访问: 使远程用户能够从运行 Citrix Workspace 应用程序的任何设备访问其物理办公电脑。办公电脑通过 Citrix Virtual Desktops 部署进行管理,并且要求在允许列表中指定用户设备。
有关详细信息,请参阅 Citrix Virtual Apps and Desktops 映像管理 和 创建机器目录。
交付群组
交付组指定哪些用户可以在哪些机器上访问哪些应用程序、桌面或两者。交付组包含来自您的机器目录的机器,以及有权访问您站点的 Active Directory 用户。您可以根据用户的 Active Directory 组将用户分配到您的交付组,因为 Active Directory 组和交付组是根据相似要求对用户进行分组的方式。
每个交付组可以包含来自多个目录的机器,并且每个目录可以向多个交付组提供机器。但是,每台单独的机器一次只能属于一个交付组。
您可以定义交付组中的用户可以访问哪些资源。例如,要向不同的用户交付不同的应用程序,您可以在一个目录的主映像上安装所有应用程序,并在该目录中创建足够的机器以分配给多个交付组。然后,您可以配置每个交付组以交付机器上安装的不同应用程序子集。
有关详细信息,请参阅 创建交付组。
应用程序组
与使用更多交付组相比,应用程序组在应用程序管理和资源控制方面具有优势。使用标签限制功能,您可以将现有机器用于多个发布任务,从而节省与部署和管理更多机器相关的成本。标签限制可以看作是对交付组中的机器进行细分(或分区)。应用程序组在隔离和排查交付组中机器子集的问题时也很有帮助。
有关详细信息,请参阅创建应用程序组。