参考体系结构:Citrix Service Provider DaaS

受众

本文档面向寻求将现有的多租户 Citrix Virtual Apps and Desktops 环境部署或迁移到多租户 Citrix Cloud 的 IT 决策者、顾问、解决方案集成商、云工程师和 CSP 合作伙伴。

执行摘要

Citrix Cloud 上的 Citrix Service Provider 参考体系结构使用下一代云服务交付方法,该方法可指导快速扩展的部署架构,同时为不断扩大的客户群提高以用户为中心的移动性。

Citrix Cloud 支持以人为中心的安全应用程序和桌面交付 Microsoft ® Windows® 和 Linux® 工作区。托管在服务提供商托管环境中,从本地数据中心到私有云或公有云。 Citrix Service Provider 可以利用灵活的许可计划,根据订阅者使用情况提供经济高效的服务。

该参考体系结构可轻松调整以满足特定的提供商和订阅者的要求。服务提供商可以提供一整套工作空间产品和价位,同时简化管理和可扩展性。 云就绪型服务模型可以降低基础架构和管理成本、加快上市速度和可扩展性、提高客户满意度并提高业务成功率。

简介和范围

本文档为使用 Citrix Cloud 技术向客户和订阅者提供服务的 Citrix Service Provider (CSP) 提供架构指导。参考体系结构旨在帮助服务提供商从小型用户群扩展到跨多个租户和地理位置共享的广泛用户群。

Citrix CSP 参考体系结构非常灵活,可用于在任何实施阶段在一系列基础架构中实施托管环境。

本文档介绍了 Citrix Cloud 解决方案基础架构的设计和实施,使其与供应商无关,并使用所用特定技术的标准措辞。

Citrix Service Provider 管理的多租户资源位置具有高度可扩展性且可用。以及出色的性能和最终用户体验,包括管理和整合其他服务。

此版本的参考体系结构侧重于 Citrix Service Provider 的 Citrix DaaS。在发布之时,并非所有工作空间服务都支持多租户。我们将扩大参考体系结构的范围,以便在未来版本中涵盖 CSP 的整体工作空间服务。

概述

Citrix Cloud

Citrix Cloud 是托管和管理 Citrix 服务的平台,例如 Citrix Workspace 和 Citrix Virtual Apps and Desktops。它通过任何云或基础架构上的 Citrix Cloud Connector 连接到托管资源。

Citrix Cloud 允许 Citrix Service Provider 创建多个工作空间托管环境作为资源位置(例如,本地、公共云、私有云或混合云)。

CSP-Image-001

更多信息 Citrix Cloud

Citrix Workspace

Citrix Workspace 是一个由 Citrix 管理的统一、安全的云平台。托管服务提供商可以安全地交付应用程序和数据,同时以日益移动的工作方式维持最终用户的体验和工作效率。

有关 Citrix Workspace 的更多信

Citrix DaaS

大约 80% 的 Citrix Service Provider 为其客户提供应用程序和桌面解决方案。传统上,这些产品在本地托管和管理。Citrix DaaS 通过在 Citrix Cloud 中托管访问和控制层来提高灵活性,从而为服务提供商提供灵活性,并允许他们专注于所选公有云或本地维护的客户工作负载。

有关 Citrix DaaS 的更多信息

Citrix Cloud Connector

Cloud Connector 是一个 Citrix 组件,用于对 Citrix Cloud 和服务提供商托管资源位置之间的所有通信进行身份验证和加密。Citrix Cloud 和资源位置环境之间的所有通信都是加密的,从而不再需要入口防火墙规则。

有关 Citrix Cloud Connector 的更多信息

Citrix Service Provider 的架构模型

适用于 Citrix Service Provider (CSP) 的 Citrix Cloud 是交付和管理 Citrix 技术的平台,可帮助服务提供商扩展现有托管部署或将其客户转移到托管云解决方案。CSP 可以使用 Citrix Cloud 快速创建和部署安全的数字工作空间,同时保持对本地或选定云中托管的敏感数据和资源的控制。

适用于 CSP 的 Citrix DaaS

对于 CSP,传统部署是在本地托管 Citrix Virtual Apps and Desktops 环境,该环境部署在服务提供商的数据中心中,具有高可用性组件。在适用于 CSP 的 Citrix Cloud 模型中,管理和控制平面内置了高可用性。可选的访问层允许 Citrix Service Provider 专注于客户的应用程序数据和关键服务。此模型还允许服务提供商在云中快速添加更多由 Citrix 托管的服务

CSP-Image-002

安全性和隔离

Citrix DaaS 架构由连接的层组成,为服务提供商创建完整的端到端解决方案。有关一般概念架构以及要了解所有层如何一起流动,请参阅 Citrix Tech Zone

CSP-Image-003

外部访问安全

使用混合方法将多租户环境与互联网隔离开来。使用互补技术,如防火墙、应用程序交付控制器、包过滤、入侵检测和防御系统等。通过使用 Citrix Cloud Connectors 或 Citrix 应用程序Delivery Controller 器和 Citrix StoreFront 组合,可以更轻松地从 Citrix Cloud 访问多租户网络。

管理层离职

服务提供商的核心网络服务位于允许托管共享服务的单独分区中。根据提供的服务,此分区的组件可以包括 Active Directory 域控制器、备份、自动化服务、DNS 等。

存储安全

对每个租户的文件存储库的访问需要与其他租户分开。隔离可以通过使用安全分区或权限保护的专用共享服务器来实现

租户隔离

租户的分区是由客户要求的离职级别决定的。Citrix 建议将每个租户置于使用软件定义网络 (SDN) 的隔离网络中,以处理其专用工作负载和免费服务,从而确保托管网络和 IP 管理和路由具有足够的安全隔离边界。

多租户架构模型

Citrix Cloud 多租户 DaaS 使服务提供商能够管理多个客户。将 Citrix DaaS 的单个实例与共享的多租户 Citrix Web Studio 和 Director 控制台一起使用,并在合作伙伴云帐户下使用基于角色的访问控制。Citrix 许可证管理也是集中的,以便于分配。

多租户功能可在单个共享基础架构上实现规模经济,同时提供所需的隔离和数据保护。服务提供商可以权衡价格和功能,以满足各个租户的要求。

多租户部署中的租户隔离需要包含适当的命名法,以明确定义在管理控制台和控制平面内共享或专用的对象。例如 {Tenant}-{Location}-{Group}。 多租户 DaaS 支持两种架构模型:

  1. 多个租户的共享资源位置。
  2. 每个租户的专用资源位置。

共享资源位置

CSP-Image-004

[共享资源位置,显示可在 Citrix Service Provider 的云帐户下在租户之间共享的组件的概述]

在此多租户架构模型中,服务提供商的客户或租户共享合作伙伴的 Citrix DaaS 部署、相同的资源位置和托管的 Active Directory。每位客户都有专门的 Workspace 体验,允许他们自定义 Workspace 配置,包括身份验证、品牌和 Workspace URL,以与客户的企业名称和品牌紧密配合。

此模型的优势在于为使用共享基础架构和管理组件托管各种共享客户提供最佳的经济性。服务提供商可以快速弹性扩展,并快速纳入小型客户。共享资源位置可以位于本地,也可以托管在公共云或私有云中。此选项不允许在客户数据中心托管。

建议在共享资源位置管理的计算机目录为每个租户专用并分配给特定的客户范围。但是,根据服务提供商的判断,可以为小型租户共享某些典型应用程序的计算机目录。在租户之间共享计算机目录时,必须考虑其他工作区身份验证注意事项。下面的“使用共享资源位置时的注意事项”部分介绍了这些主题。命名约定还扩展到基础结构中由服务提供商管理的对象。在管理共享资源位置交付组时,强烈建议为每个租户专用,即通过云控制平面上的管理订阅者页面为其分配相应命名的 Active Directory 安全组。由于管理开销高和可扩展性低,建议不要将单个用户添加到交付组。

总而言之,在共享资源位置模型下,每个客户都有专门的工作空间体验和交付组,但共享: • Active Directory • 合作伙伴托管的资源位置和云连接器 • Citrix DaaS

这种模式的优势是经济性最佳,适用于现有的本地多租户AD环境的轻松快速的云过渡,以及良好的弹性和可扩展性。但是,它在将自定义环境与复杂应用程序和高合规性要求集成方面存在局限

专用资源位置

CSP-Image-005

[专用资源位置,显示 Citrix Service Provider 云帐户下租户之间的专用和共享组件]

与共享资源位置模型相比,需要与托管服务提供商隔离的客户可以使用专用的资源位置模型。共享服务提供商的 DaaS 实例,但维护其隔离的活动目录、云连接器和基础架构资源。

专用的 Active Directory 和基础架构资源可确保更高的客户隔离和安共享云服务实例可通过合作伙伴控制平面、Studio 和 Monitor 控制台轻松分配许可证和集中管理。可以使用服务提供商数据中心、公共云或私有云位置或客户的数据中心托管此模型。

Citrix 推荐了 Citrix Studio 中术语背后的基本原理,以指示有关计算机目录工作负载的信息。将每个目录和交付组分配给特定租户范围。使用类似名称的 Active Directory 安全组,而不是将单个用户添加为订阅者,以便分配到合作伙伴云门户上的相应库。

此命名约定将扩展到为租户分配或管理的所有对象,包括但不限于托管连接、Active Directory 对象、网络子网等。

专用资源位置通常侧重于中小型客户的采用。 总而言之,客户在专用资源位置模型下共享 CSP 的 Citrix DaaS,但每个客户都有专用: • 工作空间体验、合作伙伴托管的资源位置、活动目录 • 计算机目录、交付组 • 大可能有专用的子网/VNet • 可能的托管连接和不同的云位置 • 对于小型客户而言,它并不是最经济的模型;但是,此架构模型有许多优点: • 与完全私有隔离相比,管理成本更低 • 集中管理和轻松分配许可证 • 支持混合云和多云采用 • 灵活性和可扩展性好 • 平衡的方法,适合最常见的使用案例

专用工作空间(非多租户)

CSP-Image-006

[专用工作空间,显示租户拥有完全隔离的工作空间,并且没有服务提供商的云帐户共享服务实例]

一些大型企业客户需要由 Citrix Service Provider 管理私有工作区的能力。适用于复杂的应用。私有 Workspace 具有严格的安全性和合规性要求,因此不与同一服务提供商的其他客户共享任何组件。客户邀请服务提供商管理云环境。这种隔离为客户和服务提供商提供了灵活性和控制力。从 Citrix Service Provider 的角度来看,管理和控制是重复的,完整的服务实例专用于客户。

此模式的设计和部署与 Citrix Cloud 上的独立企业帐户相同。除了邀请服务提供商连接和管理这些帐户之外,多租户支持之前的部署模式将于 2019 年底推出。有关单租户 - 专用工作空间模型的详细设计、部署和最佳实践,请访问 Citrix Tech Zone

不同架构模型的组合

不同的架构模型并不是相互排斥的。服务提供商可以在其合作伙伴云帐户下应用每种模型或混合架构,或者为其大型客户管理单独的云帐户。Service Provider 模型的开发非常灵活,可以满足客户的需求,提供共享基础架构或隔离方面的投资回报以解决数据主权难题的解决方案

CSP-Image-007

[在单个 Citrix Service Provider 帐户下管理的客户用例的组合架构模型]

工作区体验和验证

每个客户或租户都有自己的 Workspace;如有必要,所使用的身份验证方法可能因租户而异。 Citrix Service Provider 的客户可以使用多个身份提供商。

Active Directory

CSP 的默认提供商,提供 Citrix DaaS 并使用 Kerberos 对共享或专用 Active Directory 进行身份验证,允许多个客户域使用不同的 UPN 后缀。

在 AD 凭据同步到其 Azure AD 后,在合作伙伴帐户下具有专用资源位置的多租户设置下的客户可以使用 Active Directory 凭据对用户的 Office 365 访问权限进行身份验证。

基于时间的一次性密

无论是带或不带令牌的单租户还是多租户,都是支持基于时间的一次性密码标准(如 Citrix 单点登录 (SSO)、Google 或 Microsoft 身份验证器)的辅助身份验证因素。

Azure Active Directory

对于使用私有工作区(单租户)的客户,CSP 可以将客户的 Azure AD 连接到其 Citrix Cloud 帐户,并对用户进行工作区身份验证。

Citrix Gateway

Citrix DaaS 支持每个租户使用本地 NetScaler 网关和 StoreFront,从而启用多种身份验证和授权功能。

OKTA

使用基于云的身份提供商(如 OKTA)允许 CSP 通过提供标准登录程序对客户进行身份验证,从而简化 CSP 对多个身份验证点的管理。

SAML

Citrix Cloud 支持使用 SAML(安全断言标记语言)作为身份提供程序来对登录其工作区的订阅者进行身份验证。SAML 2.0 接口允许 CSP 将自己选择的提供商连接到本地 Active Directory。

使用共享资源位置时的注意事项

在租户之间使用 共享资源位置 时,租户共享一个 Active Directory (AD) 部署。假设 AD 用作 Workspace 的身份提供者。在这种情况下,Citrix Cloud 会通过 CSP 的 Citrix Cloud Connector 直接联系此共享 AD,以验证用户的凭据并建立用户的身份。当使用 Azure Active Directory (AAD)、NetScaler Gateway、Okta 或 SAML 作为身份提供程序时,Citrix Cloud 信任身份提供商来验证用户的凭据并建立用户的身份。

使用联合身份提供商时,Citrix Cloud 不允许其为租户无权访问的 AD 域断言身份。因此,即使租户拥有 Workspace 的身份提供者集成,也无法断言其他租户的身份。服务提供商通过授予租户访问特定域的权限来控制这一点,如下文 为新客户配置联合域 部分所示。假设服务提供商出于成本或易于管理的目的,希望在租户之间共享 AD 域。在这种情况下,这些租户无法配置联合身份提供商,因为 Citrix Cloud 提供的保护位于域级别。假设服务提供商希望为这些租户使用联合身份提供商。在这种情况下,身份提供者必须完全由服务提供商管理,而不是由任何租户管理。否则,恶意租户可能会断言其他租户中用户的身份。

云联合身份验证服务

FAS 服务使客户能够将其本地 FAS 部署连接到 Citrix Cloud 中的服务提供商帐户。它允许最终用户使用 Workspace 中的联合身份提供商(例如 Azure Active Directory 或 OKTA)实现对 Citrix DaaS 资源的单点登录 (SSO)。

目前仅服务提供商云帐户支持联合身份验证服务 (FAS)。目前,CSP 的联合身份验证域选项不支持此功能,该选项允许客户使用其 Workspace 配置。

部署注意事项

Citrix Service Provider 云模型允许提供各种部署选项,以满足服务提供商客户对各种公有云和虚拟机管理程序的需求。服务提供商及其客户可以结合使用这些部署选项,以提供混合云迁移或多云采用。

CSP-Image-008

[在单个 Citrix Service Provider 帐户下管理的租户的组合部署选项]

从所选分销商处订购 Citrix DaaS 时,必须考虑服务提供商通过 Citrix Cloud 管理的多样化客户群。如果客户拥有现有 Citrix DaaS 授权,则无法邀请他们作为 Citrix Service Provider 的服务实例下的租户参与。但是,可以邀请他们随后由 CSP 管理连接。可以邀请其他没有现有服务实例的客户或将其添加到 Citrix Service Provider 的实例到共享或专用资源位置。

关于架构模型,有两个 SKU 可供 CSP 使用:

单租户 SKU — Citrix Service Provider 为其客户订购的现有 SKU 以及授权和服务实例在客户云帐户上分配。SKU 映射到单租户 - 专用工作空间模型。

多租户 SKU — 具有授权的新 SKU 仅交付给 Citrix Service Provider 合作伙伴帐户,该帐户允许在多个客户之间管理和分发许可证。

数据中心

一些服务提供商已投资于长期基础架构和计算,以托管服务或满足严格的合规性要求。要使用这些现有资源,合适的选择是在 Citrix Service Provider 数据中心部署资源位置。

Citrix DaaS 支持领先的可用虚拟机管理程序。包括与 Machine Creation Services 和 Provisioning Services 的集成,自动化计算资源的交付和操作。

服务提供商通常会向其客户提供疲惫的存储选项,以确保提供分布式性能,以支持他们当前的产品和未来的扩展。

Microsoft Azure

我们的许多 Citrix Service Provider 也是 Microsoft 云解决方案提供商。Azure 是 Microsoft 为希望灵活灵活地托管工作负载的服务提供商提供的公共云选项。Citrix DaaS 具有对 Azure 功能的内置支持,允许 Machine Creation Services 集成。Citrix AutoScale 主动管理工作负载,以平衡客户要求的成本和服务级别。任何未使用的工作负载都将在非高峰时段减少,并在高峰时段之前增加。

服务提供商使用逻辑分配中的一组资产(例如,虚拟网络、虚拟机和存储帐户)在 Azure 的资源组中托管客户,以便轻松进行自动预配、监视和访问控制。将专用资源或共享资源划分为单独的 Azure 虚拟网络,访问通常由将 Azure 资源链接到 Citrix Cloud 连接器控制。 有关 Azure 上的 Citrix DaaS 的更多建议,请参阅:

Microsoft Azure

AWS

AWS 是另一种公有托管选项,适用于希望在灵活可控的环境中托管工作负载的 Citrix Service Provider。使用运营成本模型根据客户需求发展业务。Citrix DaaS 具有内置的 AWS 功能,允许通过 Citrix AutoScale 进行按需配置的 Machine Creation Services 集成,从而主动管理工作负载以平衡客户的成本和服务级别。任何未使用的工作负载都将在非高峰时段减少,并在高峰时段之前增加。

可用性组是 Amazon Elastic Compute Cloud 中的资产集合。例如,逻辑组中的虚拟网络、虚拟机和存储帐户,可以轻松甚至自动进行资源调配、监视和访问控制。EC2 中的资源组用于对属于 Citrix Virtual Apps and Desktops 部署的相关资源进行分组,因为它们共享统一资源。

用于 EC2 中 Citrix Virtual Apps and Desktops 工作负载的虚拟机通常是 T 型计算机。这些虚拟机在 Citrix Service Provider 的 CPU 和内存方面具有最佳平衡。向上和向下扩展 AutoScale 总线,以适应客户需求并控制成本。任何未使用的工作负载都将在非高峰时段减少,并在高峰时段之前增加。

有关 AWS 上的 Citrix Virtual Apps and Desktops 的更多详细信息,请参阅:

AWS

Google Cloud

面向 Citrix DaaS 的 Google 公共云产品允许服务提供商在 Google 云端平台 (GCP) 上预置和管理项目中的计算机,使用 Machine Creation Services (MCS) 预置工作负载并启用生命周期映像管理。

GCP 的自动配置,与 Citrix AutoScale 合作,按需扩展和缩减这些工作负载。至少需要一个项目才能使用计算引擎 API 和“云资源管理器 API”运行 Citrix DaaS。通过 GCP 服务帐户进行控制,可以在多个 CGP 项目之间共享,MCS 服务使用它来管理虚拟机。

有关在 GCP 上设置 Citrix DaaS 资源位置的详细信息,请参阅:

Google Cloud

部署步骤

登上客户

客户控制板

要添加新客户或邀请现有客户由 Citrix Service Provider 管理,多租户和单租户客户的登录流程相同。

为简化帐户蔓延并集中管理客户,CSP 团队建议在服务提供商内部使用服务帐号使用“添加客户”选项。此选项可减少在设置单独的客户云帐户时使用的管理员帐户数量,从而允许管理员离开 CSP 组织时进行持续的服务管理。

添加新客户

在 Citrix Cloud 控制面板页面上,选择 客户

CSP-Image-009

客户控制面板显示 Citrix Service Provider 托管租户的列表。要添加新客户, 请选择邀请或添加

CSP-Image-010

选择“添加并继续

CSP-Image-011

填写客户的入职信息;确保此处使用的电子邮件地址是唯一的,且未用于任何其他 Citrix Cloud 帐户:

CSP-Image-012

这将创建一个具有唯一组织 ID (组织 ID) 的新客户。

邀请客户

要邀请由 Citrix Service Provider 管理的现有 Citrix Cloud 客户,可以选择邀请选项。

CSP-Image-013

选择“邀请并继续”。

CSP-Image-014

复制邀请链接并通过电子邮件将其发送给您要邀请的客户的管理员:

为新客户启用 Citrix DaaS

新客户加入或现有客户接受邀请后,Citrix Service Provider 可以为该客户(租户)启用服务。

启用单租户(私有)Citrix DaaS

专用工作空间中的新客户需要单租户服务。例如,客户拥有自己的 Citrix DaaS 实例。CSP 需要通过其分销商下单 0 美元,然后“配送”客户的 Citrix Cloud 帐户。

为客户启用单租户服务实例(库存订单已发货)后, Citrix DaaS 磁贴中将显示“管理”选项。选择“管理”选项后,将加载客户的 Studio 实例。

启用多租户 Citrix DaaS

假设 CSP 合作伙伴已经完成了多租户 Citrix DaaS 授权(否则,将通过总代理商的 0 美元库存订单启用该授权)。

添加要在 CSP 多租户服务下管理的新客户,请按照以下步骤操作:

1-在 Citrix Cloud 控制面板页面中,选择客户 2-在客户控制面板上,找到要向其添加服务的客户并选择三点按钮,然后选择 添加服务

CSP-Image-016

3-选择 Citrix DaaS 旁边的“继续”

CSP-Image-017

“添加服务”过程完成后(可能需要几分钟),“管理”选项将显示在租户的云帐户内的 DaaS 磁贴中。但是,选择“管理”选项时,将显示“此 Citrix DaaS 实例由您的 Citrix Service Provider 管理”消息。

CSP-Image-018

为新客户配置多租户 Citrix DaaS

本文档重点介绍多租户架构模型的部署配置。有关单租户 Citrix DaaS,请参阅:

Citrix DaaS

以下部分的多租户部署使用混合云解决方案作为在本地数据中心运行工作负载的示例。

部署新的资源位置

资源位置和域是 1:1 的关系。

专用资源位置

在载入新租户时,需要为租户配置新的活动目录、资源位置和一对云连接器。

共享资源位置

只有在加载资源位置的第一个租户时,才需要设置资源位置、活动目录和Cloud Connector。后续租户共享设置,但要使用的实际资源除外,例如 AD OU、VDA 等。服务提供商负责通过安全隔离对每个租户的活动目录和资源进行分区。

进程

连接到 Citrix Cloud 控制台后,选择资源位置(编辑或新增)

CSP-Image-019 选择“添加资源位置”,然后将资源位置命名为多租户命名法。添加Cloud Connector。将Cloud Connector 下载并安装到至少两台专用服务器上。有关详细步骤,请按照

如何安装 Citrix Cloud Connector

部署后,您可以查看 Active Directory 域和Cloud Connector。

CSP-Image-020

定义托管连接

由于每个资源位置都可能部署在不同的云基础架构中,例如 Azure、GCP、AWS 和本地虚拟机管理程序,因此需要为新资源位置定义与资源的新托管连接。 导航到页面左上角的汉堡包菜单,然后选择 Citrix Virtual Apps and Desktops

CSP-Image-021

选择 管理服务,Citrix Studio 将加载,然后从 左侧的 Studio 菜单中选择托管。

CSP-Image-022

从“操作”窗格中选择 添加连接或资源 。 选择 创建新连接,选择 连接类型,输入连接的凭据和地址,然后使用正确的术语命名连接。

CSP-Image-022

选择资源的存储位置。

选择与新客户 关联的网络

CSP-Image-024

选择最近加入的客户范围,查看主机连接,然后选择 完成

CSP-Image-025

为新客户配置计算机目录

在 CSP 合作伙伴的 Citrix Cloud 门户页面上,导航到 Citrix DaaS,然后选择 管理服务

在 Citrix Studio 中,选择 计算机目录,然后从“操作 窗格”中选择创建计算机目录。

在此示例中,我们使用的是使用 Machine Creation Services 创建的计算机,该服务托管在数据中心的虚拟机管理程序上,该虚拟机管理程序可以控制电源状态。选择适当的资源位置,共享、单个,依此类推。为相应的客户分配计算机目录,选择 下一步

CSP-Image-026

从相应的 Active Directory 和客户区域中添加计算机。 输入计算机的名称,然后选择 确定。 确认区域以及要添加的计算机上安装的 VDA 的最低功能级别。显示的是版本 1811 或更高版本的 VDA,请选择“下一步”。

CSP-Image-027

选择新客户的范围,然后选择 下一步

CSP-Image-028

由于计算机目录是针对特定的客户范围创建的,因此多租户部署需要预定义的命名约定。 计算机将显示在计算机目录列表中。

CSP-Image-029

使用查看计算机搜索选项确认新计算机目录的注册状态。

CSP-Image-030

CSP-Image-031

为新客户创建交付组

从 Citrix Studio 中选择 交付组,然后从“操作 窗格”中选择创建交付组。 阅读入门信息,然后选择 下一步。 选择分配了客户范围的相关计算机目录,然后选择 下一步

CSP-Image-032

建议将用户管理权留给 Citrix Cloud,然后选择“下一步”。

选择“从源 添加应用程序”。通常,如果应用程序出现在相应的 VDA 上,则为“开始”菜单。所有选定的应用程序都显示在同一个交付组下,并作为库提供给稍后通过 Citrix Cloud 门户添加的所有订阅者。可以为需要受限访问权限的应用程序和用户组创建单独的交付组。

在多租户部署下,某些交付组可能包含不同租户名称相同的应用程序。为了避免混淆并明确定义这些应用程序的所有权。建议将应用程序命名更新为特定于租户,如下例所示。用户的应用程序名称可以保持不变。

CSP-Image-033

CSP-Image-034

将客户范围分配给交付组,然后选择 下一步

CSP-Image-035

交付组仅分配给特定的客户范围,以便在多租户设置中安全地隔离客户。不同的客户范围不共享交付组。交付组的预定义命名约定对于多租户部署也是必需的。

为新客户配置联合域

尽管术语类似,但 CSP 域联合身份验证与联合身份验证服务 (FAS) 并不相同。

在单租户(私有 Workspace)架构模型下,大型客户不需要执行此步骤。域和资源位置直接在客户的云帐户中配置。

让新客户在合作伙伴的多租户 Citrix DaaS 部署下进行管理,并保持自己的工作空间体验。例如,客户需要与合作伙伴帐户下配置的域联合才能启用客户网关 URL。 在合作伙伴的 Citrix Cloud 帐户中,从“身份和访问管理”页面的“”选项卡中选择“客户”域,然后选择“管理联合域”。

CSP-Image-036

请选择一个或多个要添加到域的客户,以允许租户使用其自定义的工作区配置。

CSP-Image-037

注意:多租户 Citrix DaaS 的联合域仅用于工作区配置。它未与 ADFS 或 Citrix 联合身份验证服务集成。

为客户用户组订阅产品

在单租户架构模型下,每个客户都有自己的服务实例,库订阅者的管理直接在客户的云帐户中完成。有关详细信息,请参阅在线文档:

使用库向服务产品分配用户和组

在多租户架构模型下,用户组订阅库是在 CSP 合作伙伴的 Citrix Cloud 帐户中完成的。首选的方法是将命名良好的 Active Directory 组分配给库资源,以便于管理和扩展。

从多租户服务的共享或专用资源位置将用户添加到已发布的应用程序或桌面产品。从 Citrix Cloud 主页的库产品/服务中找到库产品。选择“查看库”选项,使用三点菜单搜索或查找要向其添加用户的资源。管理订阅者,从托管域列表中进行选择,然后添加资源组。

CSP-Image-038

配置租户工作区

CSP 多租户 Citrix DaaS - DaaS 允许每个租户维护自己的 Workspace 体验。 要从 Citrix Cloud 控制面板页面更改客户的工作区,请选择 客户和查看详细信息。 选择一个客户,然后使用箭头展开。选择“查看客户详细信息”。

CSP-Image-039

选择访问客户帐户(还有另一种方法可以通过更改客户访问客户帐户)

CSP-Image-040

确认您要离开 Citrix Service Provider 帐户以输入客户帐户,然后选择继续

输入租户的 Citrix Cloud 帐户后,导航到汉堡包菜单,然后选择工作区配置:

CSP-Image-041

访问 URL

访问 选项卡下,可以自定义客户网关 URL。编辑 URL 并选择 保存

CSP-Image-042

身份验证

在“身份验证”选项卡中,指定客户的身份验证方法:

CSP-Image-043

如果使用 Active Directory 身份验证并且租户是在共享资源位置中配置的。例如,租户用户帐户和组驻留在托管的多租户 Active Directory 的 OU 中。用户的 UPN 后缀(通常是客户的域)与 AD 系统域不同。例如,以下示例中的客户域 selwfashion.nz 与托管 AD 的 cms.azr 系统域对比。用户的 UPN 域将通过自定义工作区 URL 进行识别和身份验证。必须将 UPN 后缀添加到主机 Active Directory 的根级别。

CSP-Image-044

外观

定制的品牌和外观通常有助于最终用户体验。在“自 定义”选项卡中,配置客户徽标和首选项。

CSP-Image-045

用户登录工作区

例如,当客户的用户通过自定义 URL 登录到 Workspace 时, https://selwfashion.cloud.com, 将使用相同的 UPN 和密码凭据集(例如,与其 Office 365 帐户匹配的电子邮件地址和密码)。

CSP-Image-046

登录后,用户工作区将如下所示:

CSP-Image-047

性能和监视

Citrix DaaS 允许 Citrix Service Provider 在云控制台中集中控制和监视工作负载。降低管理层的成本和管理工作量使运营团队能够提供更长的正常运行时间。

Director

Citrix Service Provider 管理员可以使用单个监视控制台管理其多租户共享和专用资源位置客户。CSP 管理员可以选择查看所有资源的概览或向下钻取特定客户。服务提供商还可以为其团队设置基于角色的访问控制权限,以便他们记住管理特定的客户范围或执行部分功能。

CSP-Image-048

CSP-Image-049

监视控制台专用于专用工作空间中的单个租户及其Citrix DaaS实例。具有管理员权限的 Citrix Service Provider 登录到客户的云帐户,以便通过此控制台进行访问和管理。

Citrix Analytics 服务

Citrix Service Provider 工作区中包含的 Analytics 服务可跨托管网络、用户、文件和终端节点收集数据。服务提供商可以集中管理洞察,以处理安全威胁、监视服务性能、优化和改进其产品。

CSP-Image-050

许可证使用情况

Citrix Service Provider 可以在 Citrix Cloud 的“许可”页面中深入了解分配的用户许可证数量与其总承诺金额对比。

配置 Citrix Service Provider 特定的授权后,页面上的许可规则将与计划规则保持一致。服务提供商可以预计“已分配”许可证计数每月重置,超额金额将与承诺金额分开突出显示。有关体验的相关详细信息,请参阅图片中的相关编号。

  1. 提供所有租户的“已分配”许可证计数和总使用合约金额。此“已分配”每月重置一次。
  2. 所有租户每月分配的许可证与承诺金额的图形表示。
  3. 能够导出第 4 项中列出的当月用户的详细列表。
  4. 当月已分配许可证的用户的详细列表。此列表构成了“已分配”的总计数。首次分配许可证时,将提供更多见解。

CSP-Image-051

来源

此参考体系结构的目标是帮助您规划实施。为了简化这项工作,我们想为您提供源图,您可以根据您的详细设计和实施指南进行调整: 源图

引用

资源位置

身份识别和访问管理

图书馆产品和用户分配

Cloud Connector Internet 连接要求

Cloud Connector 安全部署

Citrix FAS

Citrix Gateway 服务

Virtual Delivery Agent

托管连接