Citrix 服务提供商 Virtual Apps and Desktops 参考架构

读者

本文档面向 IT 决策者、顾问、解决方案集成商、云工程师和 CSP 合作伙伴。谁正在寻求将现有多租户 Citrix Virtual Apps 程序和桌面环境部署或迁移到多租户 Citrix Cloud。

执行摘要

Citrix Citrix Cloud 上的 Citrix 服务提供商参考体系结构使用下一代云服务交付方法。提供部署体系结构的指导,这些体系结构可轻松扩展,同时为不断扩展的客户群增

Citrix Cloud 支持以人为中心的安全应用程序和桌面交付微软® Windows® 和 Linux® 工作区。托管在服务提供商托管环境中,从本地数据中心到私有云或公有云。 Citrix 服务提供商可以利用灵活的许可计划,根据订阅者使用情况提供经济高效的服务。

该参考架构可轻松调整以满足特定的提供商和订阅者的要求。允许服务提供商提供全面的工作空间产品和价格点,同时简化管理和可扩展性。 云就绪型服务模型可以降低基础架构和管理成本、加快上市速度和可扩展性、提高客户满意度并提高业务成功率。

简介和范围

本文档为使用 Citrix Cloud 技术向客户和订阅者提供服务的 Citrix 服务提供商 (CSP) 提供体系结构指导。参考体系结构旨在帮助服务提供商从小型订阅者群扩展到跨多个租户和多个地区共享的广泛用户群。

Citrix CSP 参考体系结构旨在灵活,可用于在实施的任何阶段在几乎任何基础架构中实施托管环境。

本文档介绍了 Citrix Cloud 解决方案基础架构的设计和实施,以便与供应商无关,并对正在使用的特定技术使用通用措辞。

Citrix 服务提供商管理的多租户资源位置具有高度可扩展性且可用。除了出色的性能和最终用户体验,包括管理和合并附加服务。

此版本的参考体系结构侧重于 Citrix 服务提供商的 Citrix Virtual Apps and Desktops 服务。在发布时,并非所有 Workspace 服务都支持多租户。我们将扩大参考体系结构的范围,以涵盖未来版本中 CSP 的整体工作空间服务。

概述

Citrix Cloud

Citrix Cloud 是托管和管理 Citrix 服务的平台,例如 Citrix Workspace 和 Citrix Virtual Apps and Desktops。它通过任何云或基础架构上的 Citrix Cloud Connector 连接到托管资源。

Citrix Cloud 允许 Citrix 服务提供商创建多种类型的工作空间托管环境作为资源位置(例如本地、公共云、私有云或混合云)。

CSP-Image-001

更多信息 Citrix Cloud

Citrix Workspace

是由 Citrix 管理的统一安全云平台。托管服务提供商可以安全地交付应用程序和数据,同时保持最终用户体验和生产力,以日益移动的工作

有关 Citrix Workspace 的更多信

Citrix Virtual Apps and Desktops 服务

我们约 80% 的 Citrix 服务提供商为其客户提供应用程序和桌面解决方案。传统上,这些产品在本地托管和管理。Citrix Virtual Apps and Desktops 服务通过在 Citrix Cloud 中托管访问和控制层来增加灵活性。为服务提供商提供灵活性,并允许他们从选择的公有云或本地维护的专注于客户工作负载。

有关 Citrix Virtual Apps and Desktops 服务的详细信息

Citrix Cloud Connector

Cloud Connector 是一个 Citrix 组件,用于对 Citrix Cloud 和服务提供商托管资源位置之间的所有通信进行身份验证和加密。Citrix Cloud 和资源位置环境之间的所有通信都是加密的,从而不再需要入口防火墙规则。

有关 Citrix Cloud 连接器的更多信

Citrix 服务提供商的架构模型

适用于 Citrix 服务提供商 (CSP) 的 Citrix Cloud 是交付和管理 Citrix 技术的平台。帮助服务提供商扩展现有托管部署或将客户迁移到托管云解决方案。CSP 可以使用 Citrix Cloud 快速创建和部署安全的数字工作区,同时保持对本地或所选云中托管的敏感数据和资源的控制。

面向 CSP 的 Citrix Virtual Apps and Desktops 服务

对于 CSP,传统部署是在本地托管 Citrix Virtual Apps and Desktops 环境。使用高可用组件部署在服务提供商的数据中心。在适用于 CSP 的 Citrix Cloud 模型中,高可用性内置于管理和控制平面中,可选的接入层 (CloudGateway) 允许 Citrix 服务提供商专注于客户的应用程序数据和关键服务。此模型还允许服务提供商在云中快速添加 Citrix 托管的其他服务

CSP-Image-002

安全性和隔离

Citrix Virtual Apps and Desktops 服务体系结构由连接在一起为服务提供商创建完整的端到端解决方案的层组成有关一般概念体系结构,以及了解所有层如何在一起流动,请参阅 Citrix Tech Zone

CSP-Image-003

外部访问安全

使用混合方法将多租户环境与互联网隔离开来。利用免费技术,如防火墙、应用程序交付控制器、数据包过滤、入侵检测和防御系统等。通过使用 Citrix Cloud 连接器或 Citrix 应用程序 Delivery Controller 和 Citrix StoreFront 组合,便于从 Citrix Cloud 访问多租户网络。

管理层离职

服务提供商的核心网络服务位于允许托管共享服务的单独分区中。根据所提供的服务,此分区的组件可能包括:Active Directory 域控制器、备份、自动化服务、DNS 等。

存储安全

对每个租户的文件存储库的访问需要与其他租户分开。可以通过使用使用安全分区或权限保护的专用共享服务器来实现隔离

租户隔离

租户的分区是由客户要求的离职级别决定的。Citrix 建议每个租户使用软件定义网络 (SDN) 将每个租户置于隔离的网络中,以满足其专用工作负载和免费服务。通过托管网络以及 IP 管理和路由确保有有效的安全隔离边界

多租户架构模型

Citrix Cloud 多租户 Virtual Apps and Desktops 服务使服务提供商能够管理多个客户。将 CVAD 服务的单个实例与共享的多租户 Citrix Studio 和 Director 控制台结合使用。在合作伙伴云帐户下使用基于角色的访问控制。Citrix 许可证管理也是集中的,以便于分配。

多租户功能可在单个共享基础架构上实现规模经济,同时提供所需的隔离和数据保护。服务提供商可以在价格和功能方面进行权衡,以满足个人租户的要求。

多租户部署中的租户隔离需要包含适当的命名法,以明确定义在管理控制台和控制平面内共享或专用的对象。例如 {Tenant}-{Location}-{Group}。 多租户 Virtual Apps and Desktops 服务支持两种体系结构模型:

1. 多个租户的共享资源位置。 2. 每个租户的专用资源位置。

共享资源位置

CSP-Image-004

[共享资源位置,显示可在 Citrix 服务提供商的云帐户下在租户之间共享的组件的概述]

在这个多租户架构模型中。服务提供商的客户或租户共享合作伙伴的 Citrix Virtual Apps and Desktops 服务、相同的资源位置和托管的 Active Directory。每位客户都有专门的工作空间体验。允许他们自定义自己的工作区配置,包括身份验证、品牌和 Workspace URL,以便与客户的企业名称和品牌紧密一致。

此模型的优势在于为使用共享基础架构和管理组件托管各种共享客户提供最佳的经济性。服务提供商能够轻松弹性扩展并快速吸收小客户。共享资源位置可以位于本地,也可以托管在公共云或私有云中。此选项不允许在客户数据中心进行托管。

建议在共享资源位置管理的计算机目录为每个租户专用并分配给特定的客户范围。但是,根据服务提供商的决定权,可以为小租户共享某些常见应用程序的计算机目录。命名约定还扩展到基础架构中包含的由服务提供商管理的对象。管理共享资源位置交付组时,强烈建议每个租户专用这些交付组。通过云控制平面上的管理订阅者页面分配相应命名的 Active Directory 安全组。由于管理开销高和可扩展性低,建议不要将单个用户添加到交付组。

总之,在共享资源位置模型下,每个客户都有专门的工作空间体验和交付组,但是共享: • Active Directory • 资源位置和云连接器 • Citrix Virtual Apps and Desktops 服务

该模型的优势是最佳的经济性、对于现有的内部多租户 AD 环境而言,轻松快速的云过渡,以及良好的弹性和可扩展性。但是,它在将自定义环境与复杂应用程序和高合规性要求集成方面存在局限

专用资源位置

CSP-Image-005

[专用资源位置,显示 Citrix 服务提供商云帐户下租户之间的专用组件和共享组件]

与共享资源位置模型相比,需要与托管提供商更多隔离的客户可以使用专用的资源位置模型。共享服务提供商的 Virtual Apps and Desktops 服务实例,但维护其隔离的活动目录、云连接器和基础架构资源。

专用的 Active Directory 和基础架构资源可确保更高的客户隔离和安共享云服务实例仍然可以通过合作伙伴控制平面、Studio 和 Monitor 控制台保持许可证分配和集中管理的便捷性。此模型可以使用服务提供商数据中心、公共云或私有云位置或客户的数据中心进行托管。

Citrix 建议理性地使用 Citrix Studio 中的命名法。指示有关计算机目录工作负载的信息。将每个目录和交付组分配给特定租户范围。使用类似名称的 Active Directory 安全组,而不是将单个用户添加为订阅者,以便分配到合作伙伴云门户上的相应库。

此命名约定将扩展到为租户分配或管理的所有对象。包括但不限于托管连接、Active Directory 对象、网络子网等。

专用资源位置通常专注于中小型客户采用情况。 总之,客户在专用资源位置模型下共享 CSP 的 Citrix Virtual Apps and Desktops 服务,但每个客户都有专门的: • 工作区体验、资源位置、活动目录 • 计算机目录、交付组 • 大可能有专用的子网/VNet • 可能的托管连接和不同的云位置 • 对于 小客户来说,这不是最经济的模式,但是这种体系结构模型有许多优势: • 与完全私有隔离相比,管理成本更低 • 集中管理和轻松分配许可证 • 支持混合云和多云的采用 • 灵活性和可扩展性好 • 平衡的方法,适合最常见的使用案例

私人工作空间(非多租户)

CSP-Image-006

[私有工作空间,表明租户具有完全隔离的 Workspace 且没有从服务提供商的云帐户共享任何服务实例]

一些大型企业客户需要由 Citrix 服务提供商管理私有工作区的能力。适用于复杂的应用。由于严格的安全性和合规性要求,私有工作空间没有任何与同一服务提供商的其他客户共享组件。客户邀请的服务提供商管理云环境。这种隔离为客户和服务提供商提供了灵活性和控制力。从 Citrix 服务提供商角度来看,管理和控制是重复的,而完整的服务实例专用于客户。

此模式的设计和部署与 Citrix Cloud 上的独立企业帐户相同。除了邀请服务提供商连接和管理这些账户之外,多租户支持之前的部署模式将于 2019 年底推出。可在Citrix Tech Zone上找到单租户私有工作空间模型的详细设计、部署和最佳实践。

不同架构模型的组合

不同的架构模型并不是相互排斥的。服务提供商可以在其合作伙伴云帐户下应用每种模型或混合架构,也可以为其大型客户管理单独的云帐户。服务提供商模型的开发灵活性,以满足客户的需求。提供解决方案,为共享基础架构或隔离提供投资回报以解决数据主权挑战

CSP-Image-007

[在单个 Citrix 服务提供商帐户下管理的客户用例的组合体系结构模型]

工作区体验和验证

每个客户或租户都有自己的工作空间,如有必要,使用的身份验证方法可能因租户而异。 Citrix 服务提供商的客户可以使用多个身份提供商。

Active Directory

CSP 的默认提供商。提供 Virtual Apps and Desktops 服务,并使用 Kerberos 对共享或专用 Active Directory 进行身份验证。允许多个客户域使用不同的 UPN 后缀。

多租户设置下的客户,在合作伙伴账户下有专用的资源位置。将 AD 凭据同步到 Azure AD 后,可以使用 Active Directory 凭据对用户的 Office 365 访问进行身份验证。

基于时间的一次性密

作为身份验证的次要因素,无论是单租户还是多租户,有或不带令牌。支持基于时间的一次性密码标准,例如 Citrix 单点登录 (SSO)、谷歌或 Microsoft Authenticator。

Azure Active Directory

对于拥有私有工作区(单租户)的客户,CSP 可以将客户的 Azure AD 连接到其 Citrix Cloud 帐户,然后对用户进行身份验证到工作区。

Citrix Gateway

Citrix Virtual Apps and Desktops 服务支持按租户使用内部部署 Citrix ADC Gateway 和 StoreFront,该服务可启用多种身份验证和授权功能。

OKTA

使用基于云的身份提供商(如 OKTA)允许 CSP 通过通用登录过程对客户进行身份验证。简化 CSP 的多个身份验证点的管理。在发布时,OKTA 处于预览版中。

云联合身份验证服务

联合身份验证服务 (FAS) 目前仅受服务提供商云帐户的支持,目前不支持 CSP 的联合域选项。这允许客户使用自己的工作空间配置,如下所示:

为新客户配置联合域

FAS 服务使客户能够将其本地 FAS 部署连接到 Citrix Cloud 中的服务提供商帐户。它使最终用户能够实现 Citrix Virtual Apps and Desktops 的单点登录 (SSO) 资源。在工作区中使用联合身份提供程序,例如 Azure Active Directory 或 OKTA。

部署注意事项

Citrix 服务提供商云模型允许多部署选项。满足服务提供商客户对各种公共云和虚拟机管理程序的需求。服务提供商及其客户可以结合这些部署选项来提供混合云迁移或多云采用。

CSP-Image-008

[在单个 Citrix 服务提供商帐户下管理的租户的组合部署选项]

从您选择的分销商处订购 Citrix Virtual Apps and Desktops 服务时。务必考虑由服务提供商通过 Citrix Cloud 管理的多样化客户群。如果客户现有 Citrix Virtual Apps and Desktops 服务。无法在 Citrix 服务提供商的服务实例下邀请他们作为租户参与。但是,可以邀请他们随后由 CSP 管理连接。可以邀请没有现有服务实例的其他客户,或将其添加到 Citrix 服务提供商的实例到共享或专用资源位置。

关于架构模型,CSP 有两个 SKU 可供 CSP 使用:

单租户 SKU — Citrix 服务提供商为其客户订购的现有 SKU 以及授权和服务实例在客户云帐户上分配。SKU 映射到单租户私有工作空间模型。

多租户 SKU — 具有授权的新 SKU 仅发送到 Citrix 服务提供商合作伙伴帐户,该帐户允许在多个客户之间管理和分发许可证。

数据中心

一些服务提供商投资于长期基础设施和计算以托管服务或满足严格的合规性要求。要利用这些现有资源,合适的选择是将资源位置部署在 Citrix 服务提供商数据中心。

Citrix Virtual Apps and Desktops 服务支持可用的主虚拟机管理程序。包括与计算机创建服务和 Provisioning Services 的集成,自动化计算资源的交付和操作。

服务提供商通常为其客户提供疲惫的存储选项,以确保其具有分布式性能,以支持他们当前的产品和未来的扩展。

Microsoft Azure

我们的许多 Citrix 服务提供商也是 Microsoft 云解决方案提供商。Azure 是 Microsoft 提供的公有云选项,适用于希望以灵活弹性方式托管工作负载的服务提供商。Citrix Virtual Apps and Desktops 内置了对 Azure 功能的支持,允许机器创建服务集成。Citrix Autoscale 主动管理工作负载,以平衡客户所需的成本和服务级别。任何未使用的工作负载将在非高峰时段减少,并在高峰时段之前增加。

在 Azure 的资源组中托管客户的服务提供商。在逻辑分配中使用一组资产(例如虚拟网络、虚拟机、存储帐户),轻松实现自动配置、监控和访问控制。在单独的 Azure 虚拟网络中划分专用或共享资源,通常访问由将 Azure 资源链接到 Citrix Cloud 的云连接器控制。 有关 Azure 上 Citrix Virtual Apps and Desktops 服务的更多建议,请参阅:

Microsoft Azure

Amazon Web Services

Amazon Web Services 是希望在灵活可控环境中托管工作负载的 Citrix 服务提供商的另一个公共托管选项。使用运营成本模型根据客户需求发展业务。Citrix Virtual Apps and Desktops 内置了 AWS 功能。允许按需配置的计算机创建服务集成。与 Citrix AutoScale 配合,主动管理工作负载,以平衡客户所需的成本和服务级别。任何未使用的工作负载将在非高峰时段减少,并在高峰时段之前增加。

在 Amazon Elastic Compute Cloud 中,可用性组是资产的集合。例如,在逻辑组中(虚拟网络、虚拟机、存储帐户)可轻松甚至自动配置、监视和访问控制。EC2 中的资源组用于对属于 Citrix Virtual Apps and Desktops 部署的相关资源进行分组,因为它们共享统一资源。

EC2 中用于 Citrix Virtual Apps and Desktops 工作负载的虚拟机通常是 T 型计算机。这些虚拟机在 Citrix 服务提供商的 CPU 和内存方面具有最佳平衡。向上和向下扩展 AutoScale 总线以满足客户需求并控制成本。任何未使用的工作负载将在非高峰时段减少,并在高峰时段之前增加。

有关 AWS 上 Citrix Virtual Apps and Desktops 的更多详情,请参阅:

Amazon Web Services

谷歌云

针对 Citrix Virtual Apps and Desktops 的 Google 公共云产品服务允许服务提供商。在 Google Cloud Platform (GCP) 上的项目中配置和管理计算机,使用计算机创建服务 (MCS) 配置工作负载并实现生命周期映像管理。

GCP 的自动配置,与 Citrix AutoScale 配合使用,按需扩展和缩小这些工作负载。至少需要一个项目才能结合 Compute Engine API 和 “云资源管理器 API” 运行 Citrix Virtual Apps and Desktops 服务。通过 GCP 服务帐户进行控制,可以在多个 CGP 项目之间共享,MCS 服务使用它来管理虚拟机。

有关在 GCP 上设置 Citrix Virtual Apps and Desktops 服务资源位置的详细信息,请参阅:

谷歌云

部署步骤

登上客户

客户控制板

添加新客户或邀请现有客户由 Citrix 服务提供商管理。多租户和单租户客户的入门流程都是相同的。

简化账户蔓延并集中化客户管理。CSP 团队建议使用服务帐号在服务提供商中使用添加客户选项。这减少了在设置单独的客户云帐户时使用的管理员帐户的数量。当管理员离开 CSP 组织时,允许持续的服务管理。

添加新客户

在 Citrix Cloud 控制面板页面中,选择客户

CSP-Image-009

在客户控制面板上,显示 Citrix 服务提供商托管租户的列表,要添加新客户,请选择邀请或添加:

CSP-Image-010

选择添加并继续

CSP-Image-011

填写客户的入门信息,确保此处使用的电子邮件地址是唯一的,并且未用于任何其他 Citrix Cloud 帐户:

CSP-Image-012

这将创建一个具有唯一组织 ID (组织 ID) 的新客户。

邀请客户

要邀请由 Citrix 服务提供商管理的现有 Citrix Cloud 客户,可以选择邀请选项。

CSP-Image-013

选择邀请并继续。

CSP-Image-014

复制邀请链接并通过电子邮件发送给您要邀请的客户管理员:

向新客户启用 Virtual Apps and Desktops 服务

在登记了新客户或现有客户接受邀请后,Citrix 服务提供商可以为该客户(租户)启用服务。

启用单租户(私有)Citrix Virtual Apps and Desktops 服务

私人工作空间中的新客户需要单租户服务。例如,客户拥有自己的 Virtual Apps and Desktops 服务实例。CSP 需要通过其分销商下一个 0 美元的订单,然后 “配送” 客户的 Citrix Cloud 帐户。

为客户启用单租户服务实例后(库存订单已履行),Virtual Apps and Desktops 服务磁贴中将显示 “管理” 选项。通过选择 “管理” 选项,将加载客户的 Studio 实例。

启用多租户 Citrix Virtual Apps and Desktops 服务

假设 CSP 合作伙伴已经履行了多租户 Virtual Apps and Desktops 服务授权(否则将通过分销商的 0 美元存货订单启用)。

添加要在 CSP 的多租户服务下管理的新客户,请按照以下步骤操作:

1-在 Citrix Cloud 控制板页面中,选择客户 2-在客户控制面板上找到要添加服务的客户,然后选择三点按钮,然后选择添加服务

CSP-Image-016

3-选择 Citrix Virtual Apps and Desktops 服务旁边的 “继续”

CSP-Image-017

“添加服务” 过程完成后(我可能需要几分钟)。“管理” 选项显示在租户云帐户中的 Virtual Apps and Desktops 服务磁贴中。但是,当选择 “管理” 选项时,将显示 “Citrix Virtual Apps and Desktops 服务的此实例由 Citrix 服务提供商管理” 消息。

CSP-Image-018

为新客户配置多租户 Virtual Apps and Desktops 服务

本文重点介绍多租户体系结构模型的部署配置,对于单租户 Virtual Apps and Desktops 服务,请参阅

Virtual Apps and Desktops Service

以下部分的多租户部署使用混合云解决方案作为在本地数据中心运行工作负载的示例。

部署新的资源位置

资源位置和域是 1:1 的关系。

专用资源位置

每次加入新租户时,都需要为租户配置新的活动目录、资源位置和一对云连接器。

共享资源位置

只有在加载资源位置的第一个租户时,才需要设置资源位置、活动目录和云连接器。后续租户共享设置,但要消耗的实际资源除外,例如 AD OU 和 VDA 等。服务提供商负责通过安全隔离对每个租户的活动目录和资源进行分区。

进程

连接到 Citrix Cloud 控制台后,选择资源位置(编辑或添加新)

CSP-Image-019 选择添加资源位置,将资源位置命名为多租户命名,选择添加 Cloud Connector。下载云连接器并将其安装至少两台专用服务器,详细步骤请遵循

如何安装 Citrix Cloud Connector

部署后,您可以查看 Active Directory 域和云连接器。

CSP-Image-020

定义托管连接

因为每个资源位置都可以部署在不同的云基础架构中。例如,Azure、GCP、AWS、本地虚拟机管理程序需要为新的资源位置定义新的资源托管连接。 导航到页面左上角的汉堡菜单,然后选择 Citrix Virtual Apps and Desktops。

CSP-Image-021

选择管理服务,Citrix Studio 将加载,然后从左侧 Studio 菜单中选择托管。

CSP-Image-022

从 “操作” 窗格中选择添加连接或资源。 选择创建新连接,选择连接类型,然后输入连接的凭据和地址,使用正确的命名法命名连接。

CSP-Image-022

选择资源的存储位置。

选择与新客户关联的网络。

CSP-Image-024

选择最近加入的客户的范围,查看托管连接,然后选择完成。

CSP-Image-025

为新客户配置计算机目录

在 CSP 合作伙伴的 Citrix Cloud 门户页面中,导航到 Citrix Virtual Apps and Desktops 服务,然后选择管理服务。

从 Citrix Studio 中,选择计算机目录,然后从操作窗格中选择创建计算机目录。

在此示例中,我们使用的是使用计算机创建服务创建的计算机。托管在能够控制电源状态的数据中心的虚拟机管理程序上。选择相应的资源位置共享或单个资源位置等,对于相应的客户分配计算机目录,选择下一步

CSP-Image-026

从相应的 Active Directory 中添加计算机以及客户的区域。 输入计算机的名称,然后选择确定。 确认区域以及要添加的计算机上安装的 VDA 的最低功能级别。显示的是来自 1811 或更高版本的 VDA,请选择下一步。

CSP-Image-027

选择新客户的范围,然后选择下一步。

CSP-Image-028

由于计算机目录是针对特定客户范围创建的,因此在多租户部署中需要预定义的命名约定。 计算机将显示在计算机目录列表中。

CSP-Image-029

使用查看计算机搜索选项确认新计算机目录的注册状态。

CSP-Image-030

CSP-Image-031

为新客户创建交付组

在 Citrix Studio 中,选择交付组,然后从操作窗格中选择创建交付组。 阅读入门信息,然后选择下一步。 选择分配给客户范围的相关计算机目录,然后选择下一步。

CSP-Image-032

建议将用户管理留给 Citrix Cloud,然后选择下一步。

选择 “从源添加应用程序”,如果应用程序出现在相应的 VDA 上,通常是 “开始” 菜单。所有选定的应用程序都显示在同一交付组下,并且可作为库使用,供随后通过 Citrix Cloud 门户添加的所有订阅者使用。可以为需要受限访问权限的应用程序和用户组创建单独的交付组。

在多租户部署下,某些交付组可能包含不同租户名称相同的应用程序。为了避免混淆并明确定义这些应用程序的所有权。建议将应用程序命名更新为特定于租户,如下面的示例所示。用户的应用程序名称可以保持不变。

CSP-Image-033

CSP-Image-034

将客户的范围分配给交付组,然后选择下一步

CSP-Image-035

为了在多租户设置中安全隔离客户,交付组仅分配给特定客户范围。不同的客户范围不共享交付组。在多租户部署中,交付组的预定义命名约定也是必要的。

为新客户配置联合域

尽管命名法非常相似,但 CSP 域联合与联合身份验证服务 (FAS) 不同。

对于单租户(私有工作空间)体系结构模型下的大型客户,不需要执行此步骤。域和资源位置直接在客户的云帐户中进行配置。

让新客户在合作伙伴的多租户 Virtual Apps and Desktops 服务部署下进行管理,并保持自己的工作空间体验。例如,要启用 Customer Gateway URL,客户需要联合到在合作伙伴帐户下配置的域。 在合作伙伴的 Citrix Cloud 帐户中,从身份和访问管理页面的域选项卡中选择客户域,然后选择管理联合域。

CSP-Image-036

选择要添加到域中的客户,允许租户使用自定义的 Workspace 配置。

CSP-Image-037

注意:此处介绍的多租户 Virtual Apps and Desktops 服务的联合域仅用于工作区配置,不与 ADFS 或 Citrix 联合身份验证服务集成。

为客户用户组订阅产品

在单租户体系结构模型下,每个客户都有自己的服务实例。直接在客户的云帐户中管理图书馆订阅者,有关详细信息,请参阅在线文档

使用库向服务产品分配用户和组

在多租户体系结构模型下,将用户组订阅库是在 CSP 合作伙伴的 Citrix Cloud 帐户内执行的。首选方法是将命名良好的 Active Directory 组分配给库资源,以便于管理和可扩展性。

从多租户服务的共享或专用资源位置将用户添加到已发布的应用程序或桌面产品中。从 Citrix Cloud 主页的库产品中找到库产品。选择 “查看库” 选项,搜索或使用三点菜单查找要添加用户的资源。管理订阅者,从托管域列表中进行选择,然后添加资源组。

CSP-Image-038

配置租户工作区

CSP 多租户 Virtual Apps and Desktops 服务允许每个租户维护自己的 Workspace 体验。 要从 Citrix Cloud 仪表板页面更改客户的工作区,请选择客户,查看详细信息。 选择客户,然后使用箭头展开,然后选择查看客户详细信息。

CSP-Image-039

选择访问客户帐户(还有一种通过更改客户访问客户账户的替代方法)

CSP-Image-040

确认您要离开 Citrix 服务提供商的帐户以输入客户帐户,然后选择继续。

输入租户的 Citrix Cloud 帐户后,导航到汉堡菜单并选择 Workspace 配置:

CSP-Image-041

访问 URL

在 “访问” 选项卡下,可以自定义客户网关 URL。编辑 URL 并选择保存。

CSP-Image-042

身份验证

在身份验证选项卡中,为客户指定身份验证方法:

CSP-Image-043

如果使用 Active Directory 身份验证并且租户是在共享资源位置中配置的。例如,租户用户帐户和组位于托管的多租户 Active Directory 的 OU 中。用户的 UPN 后缀(通常是客户自己的域)与 AD 系统域不同。例如,以下示例中的客户域 selwashion.nz 与托管广告的 cms.azr 系统域。要通过自定义 Workspace URL 识别和身份验证的用户的 UPN 域。UPN 后缀需要在根级别添加到主机 Active Directory 中。

CSP-Image-044

外观

定制品牌和外观通常有助于最终用户体验。在 “自定义” 选项卡中,配置客户徽标和首选项。

CSP-Image-045

用户登录工作区

当客户的用户通过自定义 URL 登录到工作区时。例如,使用 https://selwfashion.cloud.com, 同一组 UPN 和密码的凭据(例如,与其 Office 365 帐户匹配的电子邮件地址和密码)。

CSP-Image-046

登录用户的工作区后,将类似于以下内容。

CSP-Image-047

性能和监控

Citrix Virtual Apps and Desktops 服务允许 Citrix 服务提供商在云控制台中集中控制和监控工作负载。降低管理层的成本和管理工作,使运营团队能够延长正常运行时间。

Director

Citrix 服务提供商管理员可以使用单个监控控制台管理其多租户共享和专用资源位置客户。CSP 管理员可以选择查看所有资源的概览或向下钻取特定客户。服务提供商还可以为其团队记住设置基于角色的访问控制权限,以管理特定客户范围或执行一部分功能。

CSP-Image-048

CSP-Image-049

私有工作区中的单租户拥有 Citrix Virtual Apps and Desktops 服务的自己的实例,他们的监控控制台是专用的。具有管理员权限的 Citrix 服务提供商可登录客户的云帐户以通过此控制台进行访问和管理。

Citrix Analytics 服务

Citrix 服务提供商工作区中包含的 Analytics 服务可跨托管网络、用户、文件和终端节点收集数据。服务提供商可以集中管理洞察,以处理安全威胁、监控服务性能和优化以及改进其产品。

CSP-Image-050

许可证使用情况

Citrix 服务提供商可以深入了解 Citrix Cloud 的 “许可” 页面中根据其总承诺金额分配的用户许可证数量。

置备 Citrix 服务提供商特定的授权时,页面上的许可规则将与计划规则保持一致。服务提供商可以期望每月重置 “已分配” 许可证计数,超量金额将与承诺金额分开突出显示。有关体验的相应详细信息,请参阅图片中的关联号码。

  1. 提供所有租户的 “已分配” 许可证计数和总承诺金额。这个 “已分配” 每月重置。
  2. 所有租户每月分配的许可证与承诺金额的图形表示。
  3. 导出第 4 项中列出的当月详细用户列表的能力。在 “许可证使用情况见解” 服务中提供多租户的长期解决方案之前,这是合作伙伴在不同租户中突破用户的最佳方式。
  4. 本月已分配许可证的用户的详细列表。此列表构成了 “已分配” 总数。首次分配许可证时,会提供更多见解。

CSP-Image-051

来源

此参考体系结构的目标是帮助您规划自己的实施。为了简化这项工作,我们希望为您提供源图,您可以在自己的详细设计和实施指南中进行调整: 源图

引用

资源位置

身份识别和访问管理

图书馆产品和用户分配

Cloud Connector Internet 连接要求

Cloud Connector 安全部署

Citrix FAS

Citrix Gateway 服务

Virtual Delivery Agent

托管连接