Citrix Managed Desktops

贡献者

作者: Nagaraj Manoli

特别感谢:

Kireeti Valicherla Swaroop JV Alan Goldman

读者

本文档面向技术专业人员、IT 决策者、合作伙伴和系统集成商。此文档还允许管理员探索并采用 Citrix Managed Desktops,为其员工提供基于云的工作空间。读者必须基本了解 Citrix 产品、Citrix Cloud 和 Microsoft® Azure 服务。

本文件的目标

本文档包括 Citrix Managed Desktops 上的技术概述、体系结构概念和采用方法。此外,还包括具有概念体系结构的不同垂直行业的多个使用案例,以便读者了解并制定基于云的虚拟桌面解决方案。

Citrix Managed Desktops 简介

Citrix Managed Desktops (CMD) 是一种基于云的虚拟应用程序和桌面解决方案。它使企业能够从任何位置通过网络向任何设备提供云托管的虚拟应用程序和桌面。操作系统在 Azure 公有云上的虚拟机内运行。Citrix 提供了所有必要的基础结构 (IaaS) 支持。Citrix 托管 Azure 订阅由运行 Virtual Delivery Agent (VDA) 的 Citrix 拥有和管理。虚拟应用程序和桌面通过安全网络显示给客户端点设备,最终用户可通过 Citrix Workspace 应用程序或 Web 浏览器访问这些应用程序和桌面。

CMD-Image-1

Citrix Managed Desktops 体系结构分为多个区段。所有细分组合在一起,为组织创建完整的端到端基于云的虚拟桌面解决方案。

  • 户分段- 本节介绍用于连接到资源的最终用户环境和终端点设备。本节介绍终端设备和 Citrix Workspace 应用程序。

  • 访问区段- 本部分介绍与用户区段中设备的外部连接。本节介绍 Citrix Gateway 服务和工作区配置详细信息。

  • 控制分段- 本节介绍用于支持环境其余部分的组件,其中包括 Citrix Cloud 服务的站点设计、映像管理和 Citrix Managed Desktops 的监视。

  • 资源段- 此部分捕获 CMD 环境的用户个性化、应用程序和映像的信息。

  • 平台分段- 本节介绍用于置备目录的云平台。Citrix 托管 Azure 平台是基于 Citrix VDA 的 Microsoft® Azure 平台, 这是完全由 Citrix 管理。客户管理的 Azure 订阅用于根据需要提供与其他资源的混合连接。

  • 操作段- 此部分包含客户管理的组件,如 Windows Active Directory 服务、Azure Active Directory、文件服务器和 Windows 许可证服务器。可以在客户管理的 Azure 订阅或具有 Azure 与本地数据中心之间混合连接的客户数据中心配置文件服务器和许可证服务器。

分层图片提供了 Citrix Managed Desktops 服务的整体视图。以下各节将介绍 Citrix 托管 Azure 平台、混合连接、映像管理方法和多种部署方法的详细信息和内部体系结构。

Citrix Managed Desktops 和传统桌面解决方案

组织通常会根据其业务需求采用虚拟桌面解决方案。随着公司扩大其全球业务范围并提高生产力,IT 经常面临着满足不断增长的需求和使用案例的挑战。企业已开始采用基于传统桌面解决方案的数字 Workspace 解决方案。虚拟桌面解决方案已经存在很长一段时间,传统上是运行虚拟桌面的唯一方法。对于在单个区域或地理位置拥有庞大员工群的公司而言,这种做法具有成本效益。

传统的虚拟桌面解决方案需要 IT 专业人员的大量支持。这包括自定义桌面、通过最新更新保持效率、确保稳固的连接以及提供出色的用户体验。

在传统的虚拟桌面基础体系结构解决方案中,IT 管理员负责管理实施。组织往往需要在基础设施资本支出方面进行大量投资。除了这一过程之外,必须在保护基础设施方面进行额外投资,例如,必须实施局部威胁检测解决方案,以避免任何数据泄露。

大多数云服务提供商都观察到客户面临的这些挑战。为了解决这个问题,许多领先的供应商向市场推出了桌面即服务 (DaaS)。DaaS 解决方案使客户能够快速实现 VDI 的优势,从资本支出转换为运营支出模式,并减少所需的持续管理工作。Citrix 是桌面虚拟化领域的先驱之一,推出了名为 Citrix Managed Desktops的 DaaS 解决方案。

Citrix Managed Desktops (CMD) 类似于 VDI 解决方案。它提供了相同的用户体验和灵活性,并提高了基础体系结构的可视性,并克服了初始部署时间和投资。CMD 不同于传统的桌面解决方案,因为 CMD 不是将桌面托管在本地数据中心或甚至是需要完全基础体系结构管理的公共云位置,而是使用 Microsoft® Azure 云平台基于云的后端,同时大大简化了设置和管理任务在一个简单的,交钥匙解决方案。

Citrix Managed Desktops 只需要最少的投资即可启动,这非常适合中小型企业。该组织不需要投资 VDI 或虚拟化专家-CMD 非常适合 IT 通才来处理。

下表将 Citrix Managed Desktops 解决方案与传统虚拟桌面解决方案进行了比较:

优势 CMD 传统虚拟桌面解决方案
简化虚拟桌面实现 易于部署 适度部署步骤
集中式桌面管理 完整的集中管理解决方案 需要管理的基础设施的多个孤岛
数据安全 使用 Citrix 维护的密钥后端减少攻击面 持续最佳安全性的其他考虑因素
问题解决和恢复 简化 适中,拥有坚固的 IT 资源
资本支出 (美元) 不需要预付投资 适度至所需的大量投资
业务支出 (美元) 最低部署成本 适用于小规模部署
地理覆盖面(工作量) 支持跨 Azure 区域的多个地理信息 绑定到数据中心位置
复杂性和风险 最小的 温和
现收即付模式 高度适用 不适用
所需技术资源 基本 IT 通才 经常需要熟练的专家

组织为何采用 Citrix Managed Desktops 解决方案

许多组织都希望从这个数字 Workspace 时代中受益。他们的员工需要一套不同的工作文化,这意味着随时随地通过任何设备访问他们的工作。同时,管理层希望控制 IT 支出。当公司正在寻找经济高效、简单的解决方案来安全地将应用和桌面交付给员工时,基于云的虚拟应用程序和桌面解决方案是更好的选择。

Citrix Managed Desktops 是一个可行的解决方案,适合希望通过标准化虚拟桌面基础结构进行集中管理的客户在数字 Workspace 时代,Citrix 使组织能够交付基于云的应用程序和桌面。

CMD-Image-2

上图显示了 Citrix Managed Desktops 的高级别骨架视图。控制平面托管在 Citrix Cloud 中,所有资源都在由 Citrix 管理的 Microsoft® Azure 平台上进行配置。CMD 客户可以根据其要求选择工作负载区域(Citrix 支持)。

Citrix Managed Desktops 通过简化操作并将 Windows 桌面和应用安全交付给其员工,为 IT 提供了许多优势。Citrix Managed Desktops 具有许多好处,包括:

  • 在 Citrix 托管 Azure 平台上托管的 Windows 虚拟桌面 (WVD) 实例

  • 卓越的用户体验,使用户能够与他们的工作文化进行协作

  • 通过 Citrix Cloud 简化管理和监视

  • 通过多因素身份验证安全远程访问

  • 在 Microsoft® Azure 平台(Citrix 托管)中运行的 Citrix Virtual Delivery Agent (VDA)。管理员可以从客户管理的 Azure 订阅中带来多个 Azure 服务,包括 ExpressRoute、VPN 服务、Azure 文件。

Citrix Managed Desktops 使用案例

Citrix Managed Desktops 能够管理不同垂直细分市场上 IT 基础体系结构中不可预见的业务转变。Citrix Managed Desktops 为企业提供了自由的 IT 基础设施实施和管理的复杂行为。购买、支持、升级方面的复杂性,最重要的是安全性。

本节将讨论一些关于不同垂直行业的有用和建设性用例。

教育服务中的 Citrix Managed Desktops

今天,大多数大学正在改变他们的学习道路和技能发展活动。学生和讲师必须在校园里访问学习所需的软件和服务。此过程可能会妨碍或降低总体时间效率。随着现有的资讯科技基础设施,许多教育服务面临着满足需求的挑战。通常 IT 组织购买和构建一个在一年中大部分时间未使用的基础设施。

为了克服大学面临的所有挑战,Citrix 看到了通过在 Citrix Managed Desktops 服务上托管所有必要的软件和工具来提高学生效率和参与度的机会。学生可以随时随地通过任何设备访问他们必要的资源。

CMD-Image-11

上图显示了大学中 Citrix Managed Desktops 的概念使用情况。管理员必须为单个计算机类型创建目录。学生目录使用非域加入的目录。管理员必须在创建主映像期间安装所需的应用程序。对于讲师目录,可以使用单独的映像来置备加入域桌面的 VDA。如果大学已经将 Azure AD 与 Office 365 结合使用,则无需使用 VNet 对等或客户管理的组件。

在这里,多个目录共享资源位置和虚拟网络。虚拟网络是加入域的目录的唯一每个连接,对于非加入域的目录,对于每个区域来说,虚拟网络是唯一的。

使用 Citrix Managed Desktops 的医疗保健解决方案

在医疗保健方面,现场专业人员迫切需要远程或从多个设备访问实时患者数据和应用程序。如今,许多医疗机构正面临监管负担,IT 预算不断缩减,这使得他们的双手与传统的桌面技术紧密相连。Citrix Managed Desktops 提供了一种简单的方法,可以在无需对公司的系统和流程进行重大翻新的情况下提高技术影响力。

CMD-Image-12

整体降低成本是最大的挑战。Citrix Managed Desktops 通常可以节省资金和时间,并且不会产生与实施相关的成本。上图显示了在多个资源位置使用 Citrix Managed Desktops 并提供任何位置访问、集中管理和灵活工作的医疗保健机构是此解决方案的关键驱动因素。

在医疗机构中使用 Citrix Managed Desktops 的主要优势:

  • 随时随地访问文件和患者数据

  • 升级和管理 IT 基础设施不会产生任何成本

  • 更轻松的数据备份和恢复

  • 灵活和可预测的规模

  • 安全性和合规性

  • 专注于主要使命,为患者提供最佳护理

面向物流行业的 Citrix Managed Desktops

物流公司员工在随时随地访问关键任务数据方面始终面临挑战。此数据包括来自仓库的库存列表、跟踪订单、账单信息等。这种情况总是降低生产力。

通过在 Citrix Managed Desktops 中托管桌面和应用程序,客户可以专注于其核心业务,而不必浪费时间和金钱在采购和管理基础设施上。

采用 Citrix Managed Desktops 的主要优势:

  • 总拥有成本低

  • 流动性

  • 可扩展性

  • 安全

  • 集中管理

兼并和收购

如今,将两家独立公司的资产合并为一家公司时存在着巨大的障碍。合并和收购发生在当今的商业世界,以增长和扩大商业市场。但是,合并 IT 基础设施时面临着真正的挑战。

为两个独立实体定位 IT 基础体系结构,需要未来的基础设施规划、利用和管理传统应用程序及其基础设施。

CMD-Image-13

在组织具有多个林和多个交换服务器的情况下,合并会更加麻烦。

上图描述了合并或收购发生时本地存在的多个 Active Directory 林。如果组织具有多个林,则必须通过单个 Azure AD 连接同步服务器访问所有林。没有必要将服务器加入到域。在需要访问所有林的情况下,管理员可以将服务器放置在外围网络(如 DMZ)中。此解决方案的目标是在 Azure AD 中只表示一次用户。

Citrix Managed Desktops 的优点是,管理员可以通过单个 Azure AD 轻松整合两个林。在 Citrix Managed Desktops 上轻松配置对桌面的新需求和要求。该解决方案提高了用户的工作效率。

Azure AD 连接还有其他拓扑可用,这些拓扑包括:

  • 多个林,单个同步服务器,用户只在一个目录中表示

  • 多个林:具有可选 GAL 同步功能的完整网格物体

  • 多重森林:帐户-资源森林

有关 Azure AD 连接不同拓扑的详细信息,请参阅以下内容链接

面向 DevOps 和季节性工作人员的非域加入桌面

在 Citrix Managed Desktops 中,虚拟桌面可以加入域或非加入域。当迫切需要让第三方开发人员参与项目时,很难提供具有可靠连接性的桌面。例如,季节性工人或承包商,其参与项目与组织雇员一样。除此任务外,管理员还必须确保他们正在安全地访问资源。

CMD-Image-14

上图显示了为承包商和任何开发运营工作人员配置的未加入域的桌面。管理员为开发运营团队创建一个目录,并使用未加入公司域的必要应用程序置备桌面。管理员可以提供或利用 Azure 多重身份验证来添加一个安全层。

最终用户必须使用 Citrix 管理员提供的 URL 通过 Citrix Workspace 应用程序访问其桌面。

Citrix Managed Desktops 体系结构的技术概述

Citrix Managed Desktops 是交付 Microsoft® Azure 中托管的 Windows 应用程序和桌面的最简单、最快捷的方式。Citrix Managed Desktops 解决方案通过 Citrix Cloud 进行管理。资源配 Provisioning、容量管理和 Workspace 配置都是通过 Citrix Cloud 基于 Web 的工具完成的。

CMD-Image-3

上图描述了 Citrix Managed Desktops 的体系结构。在 Citrix Managed Desktops 解决方案中,Azure 订阅由 Citrix 管理。客户管理的 Azure 订阅和客户数据中心资源由客户拥有和管理。管理员有权从 Citrix Cloud 预配置和监视 VDA。最终用户可以从任何地方和任何设备访问他们的桌面。上图分为四个部分:

Citrix Cloud: Citrix Cloud 承载 Citrix Managed Desktops 的完整控制平面。Delivery Controller、数据库实例、监视工具和其他基础结构组件是 CMD 的一部分。除 Citrix Managed Desktops 外,Citrix Cloud 上还托管其他服务,包括 Citrix Gateway 服务、访问控制、SD-WAN Orchestrator、Content Collaboration 和其他服务。

Citrix 管理的 Azure 平台: Citrix VDA 在此平台上配置。Windows 服务器和客户端操作系统托管在此平台上。此平台通过 Citrix Cloud Connector 与 Citrix Cloud 通信。一对 Cloud Connector 托管在每个资源位置的虚拟网络中。最终客户无权访问 Citrix 托管 Azure 订阅,包括 Cloud Connector。因此,Citrix 负责 Cloud Connector 的性能和管理。

如果客户想要与 Azure 平台上的现有资源进行通信,他们可以在两个虚拟网络之间使用 VNet 对等。通过 Citrix Cloud,客户可以通过提供现有 Azure 订阅凭据,将 VNet 对等配置到其客户管理的虚拟网络。

客户管理的 Azure 平台: 此平台完全归客户所有。此 Azure 平台是客户提供的多个 Azure 服务的家。通过使用 VNet 对等提供与 Citrix 托管 Azure 平台的高吞吐量连接,利用这些服务。目前,VNet 对等作用域为单个区域。

客户数据中心: 数据中心中的资源完全由客户管理。如果组织需要利用运行到 Citrix Managed Desktops 的服务,客户必须使用站点到站点 VPN 或 SD-WAN 网络服务在 Azure 平台(客户拥有)和数据中心之间建立连接。

Citrix Managed Desktops 实例类型

Citrix Managed Desktops 使用 Azure 平台的通用计算能力来提供不同类型的目录。目录是一组相同的虚拟机。CMD 利用 Azure 中的 D 系列虚拟机。D 系列虚拟机具有快速 CPU 和最佳 CPU 到内存配置,使其适合桌面工作负载。

管理员可以选择在目录创建过程中选择计算机(CPU 和内存的组合)。可用的机器类型如下:

多会话: 包含多个用户同时访问的计算机。受支持的主映像是 Windows 10 EVD(多会话)和 Windows 2016 Server。

计算机类型 会议 虚拟 CPU 内存 (GB)
灯光 (D2s v3) 16 2 8
中型 (D2s v3) 10 2 8
重型 (D2s v3) 4 2 8
自定义虚拟机 - 2, 4, 8 4, 8, 16, 32

静态(个人桌面): 此计算机是在登录过程中分配给用户的专用计算机。桌面只能由该特定用户使用。在注销时保留对桌面所做的任何更改。

随机(池桌面): 此计算机是非持久性桌面。在注销后丢弃桌面中所做的任何更改。任何经过身份验证的用户都可以访问此计算机。

计算机类型 虚拟 CPU 内存 (GB)
B2s 2 4
D2s v3 2 8
D4s v3 4 16
D8s v3 8 32

Citrix Managed Desktops 网络

为了为用户提供最佳体验,Citrix Managed Desktops 支持使用网络服务的混合或全部云策略。只有当客户在该工作负载区域中存在 Azure 订阅时,管理员才可以选择通过 VNet 对等连接其现有云和本地基础结构和服务。

要设置到企业数据中心或其他资源的连接,管理员必须使用 Azure VNet 对等功能。此过程需要 Microsoft® Azure 订阅所有者权限。

Azure VNet 对等网络

虚拟网络 (VNet) 是 Azure 平台中专用网络的基本构建块。虚拟机可以安全地相互通信、互联网和本地网络通信。Citrix 托管 Azure 平台完全由 Citrix 管理,包括创建 VNet、应用策略等。客户只能看到为其置备的计算机,这使 Citrix Managed Desktops 成为纯 DaaS 解决方案。

Citrix Managed Desktops 门户提供了一个选项,通过在 Citrix 托管到客户托管的 Azure 虚拟网络之间配置 VNet 对等连接客户的现有 Azure 资源。VNet 对等作用域为单个区域。

CMD-Image-4

Citrix Managed Desktops 中的 VDA 需要使用 VNet 对等来联系本地域控制器、文件共享和其他资源。客户的 Azure 平台需要使用 ExpressRoute、IPsec 隧道、SD-WAN 和其他站点到站点 VPN 技术连接到其本地资源。

了解有关 VNet 概念和 VNet 对等的更多信息,请访问链接

与本地资源的混合连接

要使 Citrix Managed Desktops 上运行的 VDA 能够与本地资源进行通信,客户必须在客户管理的 Azure 平台与本地资源之间建立混合连接。Microsoft® Azure 为混合连接提供了多个选项。本节概述了将本地网络连接到 Azure 的可行解决方案。

VPN 连接

VPN Gateway 用于通过公共 Internet 在客户的 Azure 虚拟网络和本地位置之间发送加密流量。每个 VNet 只能有一个 VPN Gateway,但管理员可以创建到同一 VPN 网关的多个连接。在这种情况下,所有 VPN 隧道共享可用的 Gateway 带宽。

基于 VPN 的体系结构适用于混合应用程序,如果 Azure 云和本地之间的流量轻量级,并且客户愿意为云的处理能力交换延迟。

当客户使用本地 Active Directory 服务、从现有虚拟机访问工具和服务、连接分支机构等时,此服务更适合使用。

Azure ExpressRoute

本地网络到 Microsoft® Azure 云连接通过服务提供商使用 Azure ExpressRoute 提供的专用连接进行扩展。通过此连接,组织可以有效地利用本地资源用于 Citrix Managed Desktops。例如,可以存储其配置文件本地文件服务器、共享点或 Content Collaboration 服务的现有存储等。

部署 ExpressRoute 的主要优势是本地网络和 Azure 云之间的第 3 层连接、更高的可靠性、动态路由以及跨所有区域与 Microsoft® 服务的全局连接。

ExpressRoute 电路具有 50 Mbps 至 10 Gbps 的宽带范围。客户需要向当地服务提供商查询。

面向 Microsoft® Azure 的 Citrix SD-WAN

Citrix SD-WAN 和 Azure 云使组织能够重新设计其现有网络,以实现优化云访问。Citrix SD-WAN 提供了简化且经济高效的本地连接。

Citrix SD-WAN 比 Azure ExpressRoute 提供了几个好处。SD-WAN 的主要优势是安全性。许多组织更喜欢集成安全性、业务流程和策略的网络体系结构。Citrix SD-WAN 通过安全的连接覆盖了所有这些因素。

Citrix SD-WAN 托管桌面交付的好处.

  • SD-WAN 提供经济、高度可靠的连接

  • SD-WAN 可直接访问从客户数据中心渲染的视频点播

  • SDWAN 提供从 VDA 到其他本地属性的智能流量指导

  • VoIP 和实时视频流量从企业数据中心导航

CMD-Image-5

上图描述了使用客户 Azure 平台在 Citrix Managed Desktops 环境中使用 SD-WAN 的情况。Citrix SD-WAN 提供了两个安全连接选项:

  • 基于标准的高速 IPsec

  • 智能 SD-WAN Controller

Citrix SD-WAN 可直接从 Azure 市场获取。客户可以携带自己的许可证,并将其与订阅或永久许可选项一起使用。

Citrix Managed Desktops 部署方案

Citrix Managed Desktops 支持多个部署框架以及用户身份验证。通过简化的方式,这些都是基于 Active Directory 服务或 Azure Active Directory 域服务使用情况。

未加入域的目录

所有未加入域的目录都具有未加入域的 VDA。此外,VDA 无法访问本地网络。

未加入域的 VDA 的典型用途是 DevOps,为第三方用户提供代码开发和测试活动的访问权限。在普通工作组中,客户端计算机管理员无法控制管理用户、部署更新等。但在 Citrix Managed Desktops 中,管理员可以控制经过身份验证的计算机和用户。对于用户身份验证,有三个选项:

  1. 具有 Citrix 托管 Azure AD 的非加入域的目录

    Citrix 管理的 Azure AD 用于管理用户。在这里,客户不需要从本地网络访问资源。此部署是为非加入域的 VDA 执行 POC 的最简单方法。有限的用户管理是通过 CMD UI 执行的。Citrix 托管 Azure AD 不提供 Azure AD 身份验证的所有选项,例如,MFA 不能与 Citrix 托管 Azure AD 配置。

  2. 使用客户管理的 Azure AD 的非加入域的目录

    对于最终用户身份验证,可能使用客户管理的 Azure AD。在这里,客户可以使用 Azure 多重身份验证 (MFA) 来帮助保护对数据和应用程序的访问。对于管理员处理的最终用户和基于 MFA 的配置决策来说,此方法是最简单的方法。

  3. 带有客户本地 Active Directory 的非域加入目录

    最终用户身份验证使用客户的本地 Active Directory 服务。此处,管理员必须在客户本地网络中安装 Citrix Cloud Connector。使用此方法,Citrix Workspace 可以访问本地 Active Directory 并对用户进行身份验证。但是,VDA 将无法访问本地网络。

已加入域的目录

加入域的目录具有已加入域的 VDA,这些 VDA 可以访问客户管理的 Active Directory。此 Active Directory 用于用户身份验证。

  1. 使用 Azure Active Directory 域服务 (AADS) 加入域的 VDA

    在这种类型的部署中,客户会在其客户管理的 Azure 平台中设置 AADDS。他们可以在 Citrix 管理的 VNet 和客户管理的 VNet 之间建立 VNet 对等网络,以便 VDA 可以访问 AADDS。对于最终用户身份验证,客户可以使用 Azure 订阅中提供的 Azure Active Directory,也可以使用 AADDS 进行常规 Active Directory 身份验证。

    客户管理的 Azure 订阅资源(包括 AADDS)正在使用该区域或位置内的两个虚拟网络之间的 VNet 对等进行利用。Azure AD 域服务具有所有类型的域服务,包括域加入、组策略、LDAP、Kerberos/NTLM 身份验证与 Windows Server Active Directory 兼容。

  2. 使用客户本地 Active Directory 域服务加入 VDA

    在此类部署中,所有 VDA 都已加入域。对于最终用户身份验证,客户可以使用在其本地环境中托管的 Windows Active Directory 域服务。在这里,Citrix Managed Desktops 正在 Azure 区域的任何部分(在 CMD 范围内)运行。

CMD-Image-6

如果客户使用 Azure Active Directory 身份验证,客户必须安装 Azure AD 连接。组织必须在将与 Azure AD 同步的数据中心上运行 Azure AD 连接。Azure AD 由客户使用其 Azure 订阅托管在 Azure 上。Citrix Managed Desktops 环境将需要 VNet 对等。对于身份验证,此类部署利用其数据中心内托管的客户 AD。

参考资料:部署方案

Profile Management

使用配置文件管理保留应用于用户虚拟桌面和应用程序的用户个人设置。Citrix 配置文件管理可确保个人设置、文档、快捷方式、模板、桌面壁纸、Cookie 和收藏夹始终遵循非持久桌面中的用户。

Active Directory 组策略对象允许管理员控制 Citrix 用户配置文件的行为。Profile Management 以简单可靠的方式优化了配置文件。在此期间,注销和临时阶段,注册表更改、文件和配置文件中的文件夹将保存到每个用户的用户存储中。

Citrix Managed Desktops 提供多个目录,包括 Windows 10 EVD 和 Windows 2016 服务器支持的多会话、随机桌面。客户必须在其 Azure 订阅中创建用户存储,并将配置文件提取并写入客户的文件共享。管理员必须确保 Citrix Managed Desktops(多会话和随机目录)与存储用户配置文件的文件服务器之间存在可靠的网络连接。

CMD-Image-7

用户存储是用于存储 Citrix 用户配置文件的中央网络位置。文件服务器是在客户的 Azure 订阅与可用性集中创建的。对于用户存储,可以使用的任何 SMB 或 CIFS 文件共享。确保与 Citrix 用户配置文件一起使用的帐户可以访问共享路径。

配置文件将从网络上的共享路径加载到任何非持久性桌面。VNet 对等使用 Azure 骨干,提供低延迟和强大的网络。该区域内支持 VNet 对等,因此此选项的作用域为单个区域或位置。

参考资料:Profile Management

使用带 Azure 文件的 FSLogix 配置文件容器进行配置文件管理

大多数组织集成了某种形式的配置文件管理解决方案。作为配置文件解决方案的结果,由于配置文件管理无法处理大文件和现代设置,最终用户在通过网络访问其配置文件时有时会遇到挑战。

为了克服这些问题,Microsoft® 推出了用于配置文件和 Office 365 的 FSLogix 容器解决方案。FSLogix 提供了性能最佳的终端用户计算环境,降低了管理成本,简化了计算基础设施。

FSLogix 配置文件容器

在 Citrix Managed Desktops 中,多会话和随机桌面目录将具有注销后不会保留的用户配置文件。FSLogix 旨在漫游 Citrix Managed Desktops 环境中的配置文件。此解决方案是通过允许将完整的用户配置文件存储在单个容器中来实现的。

在登录期间,容器会动态连接到使用 VHD 或 VHDX Microsoft® 服务在 Citrix 托管 Azure 订阅上运行的计算机 (VDA)。这些配置文件可以作为类似于本机的用户配置文件提供给用户的系统。FSLogix 配置文件容器解决方案优雅地处理大文件,以帮助确保最佳用户体验。

办公室 365 集装箱

用户需要 Microsoft® Office 的高效体验,包括快速电子邮件、快速搜索、快速访问 OneDrive 文件等。数据和搜索索引存储在容器中与整个用户配置文件中。

此解决方案可轻松集成到任何现有的配置文件管理解决方案中。如果使用配置文件管理解决方案和办公容器,建议排除 Office 365 容器管理的配置文件的部分。

Azure 文件

如前所述,用户配置文件作为容器存储,并且此容器在登录期间动态连接到 VDA。由 VHD 或 VHDX 支持,用户配置文件容器立即可用并在用户登录后显示。存储在云中且可通过 SMB 协议访问的容器或磁盘。Azure 文件提供对托管在客户管理的 Azure 订阅中的文件共享的完整管理。

Azure 文件可通过 Azure 门户轻松管理,提供更高的弹性(LRS、ZRS)。在可扩展性方面,它可以增加到 100 TB 多个分区。鉴于 Azure 文件提供 10,000 到 100,000 IOPS,性能因素也具有优势。

CMD-Image-8

管理员必须创建用于在客户管理的 Azure 订阅中存储配置文件的 Azure 文件。上图显示 Citrix 托管 VDA 正在通过网络从 Azure 文件获取配置文件。客户必须在订阅之间设置 VNet 对等。

FSLogix 配置文件容器二进制文件必须在主映像准备期间安装在基础映像上。一旦安装了所有的工具和应用程序,虚拟机必须关闭。当用户登录到非永久性 VDA(新创建的)时,会在文件共享上创建配置文件。在该桌面中所做的任何更改都将存储在该特定容器上。

了解有关 FSLogix 配置文件容器解决方案的详细信息,请点击此链接

参考资料:FSLogix

对 Citrix Managed Desktops 的监视

Citrix Managed Desktops 监视 器控制板提供了部署中的桌面使用情况、会话和计算机的详细信息。管理员还可以控制会话、电源管理计算机、运行应用程序的最终用户和最终用户正在运行的进程。

显示器提供:

  • 来自后台运行的 CMD 服务的实时数据

  • 存储在监视器数据库中以访问使用情况报告的历史数据

  • Citrix 托管 Azure 订阅上运行的计算机的可见性

  • 控制在 VDA 上运行的应用程序的功能

  • 还提供会话控制功能和电源管理选项

CMD-Image-9

管理员选择“ 控器”选项卡时,将显示“托管桌面使用情况”页面。在这里,它提供了有关所有目录的完整信息。它还提供了包含已打开电源的计算机数量的图形,并在所选时间段内在常规点处高峰并发会话。

控制用户的应用程序和会话

在监视器控制板中,管理员可以应用筛选器来注销或断开会话。可以通过搜索用户找到此选项。

动力控制机

通过应用筛选的搜索来显示单个会话或多会话计算机。通过单击门户上的电源控制操作,管理员可以选择重新启动、强制重新启动、关闭、强制关闭和启动在 Citrix Managed Desktops 环境中运行的计算机。

参考资料:监视

用户访问和身份验证

Citrix Workspace 应用程序是访问 Citrix Managed Desktops 平台上运行的桌面和应用程序的入口点。用户必须首先在登录 Citrix Workspace 时进行身份验证。Citrix Managed Desktops 支持以下用户身份验证方法:

  • Citrix 托管 Azure 广告 (AAD)

  • 客户管理的 Active Directory

  • 客户管理的 Azure 广告

Citrix 托管 Azure AD: Azure Active Directory 服务由 Citrix 提供和管理。在这里,管理员不需要提供或拥有任何 Azure 基础结构。Citrix 使管理变得简单,管理员只需要使用 CMD UI 将其用户添加到目录中。

客户托管 Active Directory: 在此身份验证方法中,客户正在使用其本地 Active Directory 服务或利用 Azure Active Directory 服务。

CMD-Image-10

一种选择是在云目录和本地目录之间同步用户身份,以便 Citrix Managed Desktops 用户可以从 Citrix Cloud 访问其资源。使用一组凭据,用户可以通过 Citrix Workspace 应用访问其 CMD 资源。为此,客户必须在本地安装和配置 Azure AD 连接。

Azure AD 连接同步负责与本地环境和 Azure AD 之间同步标识数据相关的所有操作。

另一种选择是将客户管理的 Azure AD 与未加入域的目录一起使用。在这种情况下,客户管理的 Azure AD 将完全在云中,没有本地连接或同步。此方法非常适合没有任何旧版 Active Directory 或本地基础结构的客户。

参考资料:用户身份验证

将 Citrix Cloud 连接到 Azure AD

若要将现有 Azure Active Directory 与 Citrix Cloud 连接,管理员必须在 Azure AD 中具有全局管理员权限。除了 Azure AD 中用户的基本配置文件外,Citrix Cloud 还需要访问用户配置文件的权限。管理员必须从 Citrix Cloud 中选择“身份和访问管理”。填写所有必需的详细信息并登录 Azure 帐户以进行连接。然后 Citrix Cloud 访问该帐户并获取连接所需的信息。

连接 Azure AD 用户帐户后,用户可以使用初始连接期间配置的 URL 或选择“使用我的公司凭据登录”登录 Citrix Cloud。

参考资料:AAD 到 Citrix Cloud

高级多因素身份验证由 Azure AD 提供。打开客户 Azure AD 上的可用功能,这使 Citrix Cloud 用户在默认情况下能够利用这些功能。

映像管理

映像管理是创建包含操作系统和所有必需应用程序的主映像或金色映像的过程。通过映像置 Provisioning 机制将单个映像传递到多个目标虚拟机。Citrix Managed Desktops 解决方案使用 Citrix 验证的 Machine Creation Services (MCS) 技术在 Citrix 托管 Azure 订阅上置备虚拟机。

Machine Creation Services 使用 Microsoft® Azure API 配置、启动、停止和删除虚拟机。MCS 是一种基于磁盘的 Provisioning 方法,可以很好地集成到 Microsoft® Azure 云平台中。Citrix Managed Desktops 提供了多个 Citrix 管理的主映像:

  • Windows 10 Enterprise(单会话)

  • Windows 10 EVD 和 Windows Server 2016(多会话)

Citrix Managed Desktops 同时支持服务器和桌面操作系统环境。Citrix 管理员可以使用 Citrix Machine Creation Services 创建三种类型的计算机目录。机器类型是:

  • 多会话 - Windows 10 EVD(多会话)或使用最新 VDA 的 Windows Server 2016

  • 静态(个人桌面) -Windows 10 专业版与最新的 VDA

  • 随机(池桌面) -Windows 10 专业版与最新的 VDA

Citrix 为客户提供了使用现有主映像构建自己的映像的选项。管理员使用这些主映像创建虚拟机,以便为 Citrix Managed Desktops 构建其自定义映像。

从 Azure 导入主映像

如果客户在 Azure 订阅中拥有自定义映像,则图像会直接导入到 CMD。管理员必须为虚拟硬盘 (VHD) 输入 Azure 生成的 URL。

Citrix 对导入的映像运行验证测试。管理员必须确保映像具有在 Citrix Managed Desktops 上运行的所有要求。要求是:

  • 操作系统支持(Windows 10 Enterprise、Windows 10 Enterprise Virtual Desktop 预览版或 Windows Server 2016)

  • 未配置传递控制器

  • 安装比 7.11 更新且与操作系统匹配的有效 Citrix VDA(例如,服务器操作系统上的服务器 VDA)

  • 个性化 .ini 文件必须存在于系统驱动器上(VDA 设置为 MCS Provisioning)

了解有关从 Azure 导入主映像以及在主映像上安装 VDA 的详细信息,请参阅此链接

要创建和托管主映像,请参阅链接

图像的优化

该映像可能包含用于在 Citrix Managed Desktops 上创建计算机目录的多个未使用的服务。操作系统优化有助于删除或禁用在映像上运行的不需要的服务。Citrix 已经开发了一种称为“Citrix 优化器的优化工具。“ 此工具可帮助 Citrix 管理员优化环境中的各种组件。该工具是基于 PowerShell 的,还包括一个图形 UI。

Citrix 优化器以三种不同的模式运行:

  • 分析-根据指定的模板分析当前系统并显示任何差异

  • 执行-从模板应用优化

  • 回滚-恢复之前应用的优化更改

管理员必须从选择中选择相关模板进行操作系统优化。此外,管理员还可以选择从映像中选择和禁用不需要的服务。通过禁用这些服务,主映像变得更容易在 Azure 云平台上使用。此工具有助于优化资源消耗和整体性能。

了解有关 Citrix 优化程序的安装和更新的详细信息CTX224676

许可和 Azure 订阅

Citrix 处理的 Citrix Managed Desktops 的许可。管理员有权为 Windows Server 工作负载设置 Microsoft® RDS 许可证服务器。

多会话目录需要远程桌面服务客户端访问许可证 (RDS CAL)。远程桌面服务许可证服务器向设备和用户颁发客户端访问许可证。管理员可以使用远程桌面授权管理器激活许可证服务器。

通过远程桌面授权管理器激活任意一台可用计算机中的许可证服务器。VM 必须始终可用,且 Citrix VDA 必须能够访问此许可证服务器。使用 Microsoft® 组策略指定许可证服务器地址和每个用户许可证模式。在远程桌面服务器上配置的远程桌面授权模式必须与许可证服务器上可用的 RDS CAL 类型相匹配。

Azure 订阅

Citrix 托管 Azure 订阅:此订阅完全归 Citrix 所有,最终用户的桌面正在此平台上运行。

客户托管 Azure 订阅:此订阅由在 Microsoft® Azure 平台上运行自己的许可工作负载的客户所拥有,必须通过 Azure 混合权益。

Windows 10 EVD 许可

Windows Virtual Desktops (WVD) 也称为 Windows 10 Enterprise Virtual Desktops 服务和功能由 Citrix Managed Desktops 通过 Citrix Cloud 进行扩展和丰富。这种远程桌面服务的进展仅在 Microsoft® Azure 平台上可用。

若要使用 Windows Virtual Desktops 部署和管理多会话目录,客户将获得 Windows 10 企业 E3 授权。作为 Azure 中 Windows Virtual Desktops 的一部分获得许可的新 Windows 10 EVD 操作系统。

Windows 虚拟桌面的其他好处是客户获得 Windows 7 虚拟桌面免费扩展安全更新。WVD 提供灵活的服务,允许管理员虚拟化桌面和应用程序。

Citrix Managed Desktops 的最佳实践和设计注意事项

在为组织采用 Citrix Managed Desktops 服务时,解决方案体系结构师和管理员必须考虑最佳实践和设计注意事项。重要的是要使这些工作符合业务需求。

Citrix Managed Desktops 服务组件计算、存储和网络(在 Citrix 托管 Azure 订阅中)均由 Citrix 管理。除非需要本地连接,否则体系结构师不需要担心基础设施方面的问题。但有几个重要的要点需要考虑:

  • 在迁移到 CMD 之前进行预先评估

  • 部署注意事项和映像优化

  • 电源管理

  • 安全

  • 应用修补程序和防病毒软件

  • 多因素身份验证

  • Profile Management

在迁移到 Citrix Managed Desktops 之前进行预评估

要了解工作负载,解决方案体系结构师必须对将在 Citrix Managed Desktops 环境中运行的桌面和应用程序进行预评估。设计和收集 CMD 所需资源数据至关重要。

预评估对于确定用户所需的特定应用程序、许可要求以及计算与部署相关的成本非常有用。Citrix 提供 Citrix Managed Desktops 成本计算器,以了解部署的成本估计。实际价格可能会有所不同,具体取决于其他因素,包括购买日期、与 Citrix 的协议类型等。

Citrix 托管桌面成本计算器链接.

部署注意事项和映像优化

许多组织面临着有效扩大资源以满足需求的挑战。如果发生了合并和收购,则组织在数据中心资源不足时面临挑战。Citrix Managed Desktops 可以缓解可扩展性限制。客户可以在距离其数据中心最近且具有可靠连接性的可用区域内配置计算。

所有最终用户都使用 Citrix Workspace 应用来访问其资源,这是唯一的单一入口点。如果客户使用的是文件服务器或其 Azure 订阅上运行的任何其他服务,则客户有责任在订阅之间实现 VNet 对等。在后端,Azure 骨干网络的带宽为 25 Gbps,用于在订阅之间进行链接。

CPU、内存和带宽消耗会产生一定的成本,因此客户必须根据需要规划部署。

映像优化是管理员必须在主映像上执行的一项重要任务。禁用所有不需要的服务并删除用户未使用的应用程序。此优化可减少 CPU 周期和内存消耗。

电源管理

电源管理选项可用于包含多会话和单会话计算机的目录。此任务有助于最大限度地降低与 Citrix 托管 Azure 平台上的资源消耗相关的成本。

管理员可以根据时区设置工作时间。在某些使用情况下,机器不需要在工作时间后打开电源。在这种情况下,电源管理是管理员关闭这些计算机的可行选项。在这里,管理员可以设置开始和停止时间。也许还有其他选项可供管理员调整,以获得最佳的价格平衡响应:

  • 断开空闲会话:空闲桌面断开连接,用户必须登录 Workspace 才能启动计算机

  • 注销断开连接的会话:管理员可以设置注销断开连接的会话的时间。用户会遇到更长的登录时间并丢失任何未保存的工作,但如果没有登录会话,计算机可能会关闭电源

  • 断电延迟:设置机器在有资格断电之前打开电源的时间

  • 容量缓冲区选项:提供通过保持计算机缓冲区打开电源来满足需求突然高峰的选项。此步骤必须按百分比输入,较低的值可降低成本,而较高的值可确保最佳用户体验(无需等待时间)

要创建电源管理计划,请参阅参考部分。

参考资料:电源管理/zh-cn/citrix-managed-desktops/configure-manage.html#configure-power-management-schedules[()]

安全

安全的虚拟桌面通过位于受保护的网络中,显著降低了公司面临的风险。网络级隔离可保护 Citrix Managed Desktops 免受外部威胁。默认情况下,虚拟机中仅启用与 Internet 的出站连接。要访问这些计算机 Citrix Workspace 应用程序是最终用户的单一入口点。管理员可以对已加入域的计算机使用支持和故障排除选项。Citrix 准备了图像,以便默认情况下启用 Windows 后卫防病毒软件。客户可以通过安装不同的防病毒软件,在主映像准备过程中使他们的映像更加安全。管理员在考虑安全性时需要考虑其他考虑因素:

  • 应用修补程序和防病毒软件:在创建主映像期间,应用相关修补程序是最佳做法。此过程使环境保护安全,防止恶意用户利用操作系统未保持最新状态时处于打开状态的漏洞

  • 多重身份验证:此安全层采用多重身份验证形式,可保护通过 Citrix Managed Desktops 解决方案访问的关键企业资源。大多数数据泄露由于启用 MFA 而受到损害,从而降低了风险

Azure 多重身份验证有助于保护对 Citrix Managed Desktops 的访问权限。通过条件访问,管理员可以根据条件实施自动访问控制来访问 Citrix Managed Desktops。若要了解有关 Azure MFA 的更多信息,请遵循 Microsoft® 文档。

有关安全性的更多信息,请参阅技术安全概述文档。

参考资料:技术安全概述

Profile Management

配置文件管理可确保非持久性桌面保留用户的个人设置。配置文件管理为用户提供可靠的漫游体验。最终用户的个人设置、文档、快捷方式、模板、桌面壁纸、Cookie 和收藏夹始终跟随用户在任何设备上的不同 Windows 计算机之间。在对环境实施配置文件管理之前,需要考虑的几个因素。这包括目录类型、了解应用程序行为、对少数用户进行试点测试,然后针对所有用户,以及用于存储所有配置文件的网络共享。

有关决定因素的详细说明,请参阅 Citrix 的Profile Management文档。

对于用户共享来存储配置文件,建议在客户 Azure 订阅上创建 Windows 文件共享,并且所有用户配置文件都存储在该特定共享中。在登录期间,使用 Azure 骨干网络通过网络获取配置文件。这样可以减少计算机的延迟和更快的登录时间。

来源

此参考体系结构的目标是帮助您规划自己的实施。为了简化这项工作,我们希望为您提供源图,您可以在您自己的详细设计和实施指南中进行调整:源图

引用

为了更好地了解 Citrix Managed Desktops,引用了以下资源:

Citrix Managed Desktops

CMD 体系结构