参考体系结构:Citrix DaaS-面向通信服务提供商的 Microsoft Active Directory 托管服务的 GCP 架构

简介

本文档的目的是为希望使用 Google 云端平台 (GCP) 作为 Citrix DaaS 资源位置的 Citrix Service Provider (CSP) 提供设计和架构指导,并使用面向 Microsoft Active Directory 的托管服务

本文档不打算提供有关如何为 CSP 部署 Citrix DaaS 的分步指导。它假定您了解 CSP Virtual Apps and Desktops 参考体系结构,该体系结构提供了针对 CSP 的 Citrix DaaS 环境的深入设计和部署注意事项。

有关 GCP 上的 Citrix DaaS 的详细指导,请参阅 谷歌云上的 Citrix DaaS 解决方案中心

在本文档开始时,我们将回顾您需要了解的最常见的 GCP 元素,以便舒适地使用本文档。谷歌创造了自己的方式来命名和组织 GCP 中的组件,因此了解它们对于成功设计和部署至关重要。

接下来,我们将审查托管 AD 服务的详细信息、它与传统 Microsoft Active Directory 的相似和不同之处,以及可用作 CSP 来配置 GCP 托管资源位置的部署模型。

最后,我们介绍了在 GCP 中部署托管 AD 服务域所需的步骤。

术语

尽管多项服务在不同的公有云提供商中提供了类似的功能,但术语可能会有所不同。以下是在遵循此参考体系结构时需要了解的最常见的 GCP 元素,如 GCP 文档中所述。

  • VPC 网络: GCP 的虚拟网络对象。GCP 中的虚拟私有云网络 (VPC) 是全球性的,这意味着您可以从每个 GCP 区域向 VPC 部署子网。您可以在自动模式下部署 VPC,这会自动创建所有子网和 CIDR 范围,也可以在自定义模式下部署 VPC,这使您可以手动创建子网和 CIDR 范围。可以通过 VPC 对等连接来自不同项目的非重叠 VPC。
  • VPC 对等互连: VPC 对等允许您连接否则将断开连接的 VPC。在这种情况下,GCP 托管 AD 服务会自动创建 VPC 对等以将我们的 VPC 连接到托管 AD Service VPC。
  • 共享 VPC: 共享 VPC 可跨多个项目跨越多个项目,无需为每个项目创建单独的 VPC,也无需使用 VPC 对等。
  • GCP 组织:组 织表示 GCP 资源层次结构中的根节点。要创建组织,需要使用 GCP Cloud Identity 或 Google Workspace(以前为 G-Suite)。组织不是必需的,但强烈建议您为生产环境部署一个组织,以便更好地组织和管理资源。
  • 文件夹:文 件夹用于组织 GCP 内的资源,它们可以包含更多文件夹或项目。例如,您可以创建文件夹以按部门、环境类型或任何其他条件分隔项目。文件夹并不总是必需的,但与组织相同,为了更好地组织资源,建议使用这些文件夹。
  • 项目: 项目提供了 GCP 内资源的抽象分组,GCP 中的所有资源必须属于项目。在正常情况下,除非使用 VPC 对等互连或共享 VPC,否则来自一个项目的虚拟机实例无法与另一个项目中的虚拟机实例进行通信。
  • 账单帐户: 账单帐户代表用于支付 GCP 消费的付款资料。账单帐户可以关联到多个项目,但是一个项目只能关联到单个账单帐户。
  • IAM: GCP 的身份和访问管理平台用于授予用户对 GCP 资源执行操作的权限。此平台还用于部署和管理服务帐户。
  • 服务帐户: 服务帐号是未连接到实际用户的 GCP 帐户,而是代表虚拟机实例或应用程序。可以向服务帐户授予对各种 GCP API 执行不同操作的权限。需要一个服务帐户才能将 Citrix DaaS 连接到 GCP 并启用 Machine Creation Services。
  • GCE: Google Compute Engine 是一个 GCP 平台,您可以在其中部署计算资源,包括虚拟机实例、磁盘、实例模板、实例组等。
  • GCE 实例: GCE 实例是指在 GCE 平台上部署的任何虚拟机。Cloud Connector、黄金映像、AD 管理虚拟机和环境中的任何其他虚拟机都被视为 GCE 实例。
  • 实例模板: 可用于在 GCP 中部署虚拟机和实例组的“基准”资源。Citrix MCS 进程将黄金映像复制到实例模板中,然后使用该模板来部署目录计算机。
  • 云 DNS: 用于管理 DNS 区域和记录的 GCP 服务。创建托管 AD 服务后,Cloud DNS 会自动配置为将 DNS 查询转发到受管域控制器。

GCP 上的托管 AD 服务

GCP 的 Microsoft Active Directory 托管服务 是Google 云端平台上完全托管的Active Directory 服务。此服务为您提供功能齐全的 Active Directory 森林/域,无需构建和维护 Windows Server 虚拟机实例的开销。

托管 AD 服务基于高度可用、由 Google 管理的基础架构构建,并作为托管服务提供。每个目录都部署在多个 GCP 区域中,监控功能会自动检测并替换失败的域控制器。您不必安装软件,谷歌会处理所有修补程序和软件更新。

托管 AD 服务在隔离的 GCP 项目和 VPC 网络上自动部署和管理高度可用的 Active Directory 域控制器。VPC 对等互连将自动与服务一起部署,使您的广告依赖工作负载能够访问 Active Directory。此外,Google Cloud DNS 会自动配置为将所有 DNS 查询转发到托管广告服务。

托管 AD 服务注意事项

虽然传统的 Microsoft Active Directory 环境与 GCP 中的托管广告服务有许多相似之处,但在部署 GCP 的托管广告服务时必须牢记一些注意事项。

  1. 域控制器访问受到限制,您只能通过部署管理实例和安装远程服务器管理工具来管理域。
  2. 在 GCP 共享资源位置添加新客户/项目之前,必须部署共享 VPC。项目必须属于共享 VPC 才能访问受管 AD 域。在具有对等连接到共享 VPC 的 VPC 的项目上部署的资源无法访问托管 AD Service 域。有关更多详细信息,请查看 GCP VPC 对等互连要求页面和 Citrix DaaS 支持的 Google 云端平台 (GCP) 的共享 VPC Tech Zone Poc 指南。
  3. 域管理员/企业管理员帐户权限不可用,这些帐户仅由 GCP 用于为您管理域。
  4. AD 对象不能在任何默认容器(例如 /Computers)中创建,它们是只读的。使用 Citrix 的 MCS 配置技术时,此限制会引发一个常见错误,您必须在可写容器 /OU 中为 MCS 托管 VDA 创建计算机帐户。如果您不选择这样的位置,MCS 将无法创建计算机帐户。
  5. 某些 AD 集成功能(如证书服务)无法安装。因此,此限制会影响需要使用 Citrix 的联合身份验证服务 (FAS) 技术(需要 AD 集成证书服务)的 CSP。这些客户必须使用 Windows Server 虚拟机实例在谷歌云上构建和管理自己的 Active Directory。
  6. 该服务创建了两个主要组织单位 (OU)。“云”OU,托管所有托管 AD 资源。您可以完全控制这个 OU 及其任何子项。还有 GCP 用来管理域的“云服务对象”OU。资源和 OU 本身是只读的,但某些属性是可写的。
  7. 该服务会自动创建 多个 AD 用户组 ,以支持不同的 AD 管理功能。您可以管理这些用户组的成员资格。
  8. 在创建服务时创建一个帐户,默认名称为“setupadmin”。该帐户用于管理域名。查看此页面 以获取“setupadmin”帐户的完整权限列表。
  9. 可以将信托配置为本地 Active Directory 环境的单向出站信任。使用此配置,托管 AD Service 域是托管计算机帐户的“信任”域,本地域是托管用户帐户的“受信任”域。此模型通常与资源林部署一起使用,下一节将对此进行说明。

托管 AD 服务林设计注意事项

在 Citrix Service Provider 的上下文中,托管 AD 服务可以在两种不同的 Active Directory 林设计模型下进行部署。

部署托管 AD 服务的第一种也是更简单的方法是使用组织林设计模型。在此模型中,GCP 托管 AD 服务同时托管用户帐户和资源(计算机帐户)以及任何管理帐户。

在正常情况下,组织林允许将信任配置为与另一个组织林建立关系。但是,请记住,GCP 托管的 AD 服务仅支持单向出站信托。

CSP-Image-001

第二种森林设计模型是资源森林。在此模型中,单向出站信任配置为与本地 Active Directory 环境建立关系。

如前所述,在此部署模型中,托管 AD Service 是托管资源的“信任”林,而内部部署 AD 是用户身份所在的“受信任”林。换句话说,托管 AD Service 域允许本地域中的用户访问其资源。

注意:
在设计 Active Directory 林模型时,请记住 Citrix Cloud Connector 技术详细信息 。Cloud Connector无法遍历林信任,除非在该林中部署了一组Cloud Connector,否则在 Citrix Cloud 中不可见本地 Active Directory 中的用户帐户。

CSP-Image-002

体系结构

我们知道,并非所有 CSP 都处于云采用之旅的同一阶段。有关基于 GCP 的 Citrix 的各种设计模式的深入解释,请查看 Google Cloud 上的 Citrix 虚拟化参考体系结构的 这一部分

此外,我们假设完全了解面向 CSP 的 Citrix Cloud 多租户和客户管理功能。这些功能在 CSP Virtual Apps and Desktops 参考体系结构中有深入介绍。

适用于 CSP 的Microsoft Active Directory 的托管服务设计模式

适用于 CSP 的 Microsoft Active Directory 托管服务设计模式侧重于在使用托管 AD 服务时使用 GCP 托管资源位置的 CSP 可用的不同体系结构模型的组合。

通过 Citrix Cloud 部署托管 DaaS 产品的合作伙伴可以使用 CSP 可用的独家客户管理和多租户功能。这些多租户功能允许 CSP 在共享 Citrix Cloud 控制平面/租户上部署多个客户,或为他们提供专用的控制平面/租户。

Citrix Cloud 可以使用 GCP 上的共享或专用资源位置进行部署。不同的指标可以帮助 CSP 确定哪种模型更符合每个客户的特定要求,而且它们可以基于最终客户的规模、安全性和合规性要求、成本节约等。

CSP-Image-003

作为可选组件,GCP 组织 (1) 可用于管理 CSP GCP 订阅上不同项目和文件夹的层次结构。此外,请注意,为特定最终客户使用的 GCP 订阅和资源可能属于最终客户而不属于 CSP。

共享 VPC 网络 (2) 部署在多个客户共享组件的资源位置,如托管 AD 服务域、黄金映像和 Citrix Cloud Connector。其他客户可以托管在同一 GCP 组织下的专用 VPC 和资源位置 (3) 上。这些客户拥有自己的托管 AD 服务域、黄金图像和 Citrix Cloud Connector。

托管 AD 服务可以部署在共享资源位置 (4) 或专用资源位置 (5)。此过程将创建一个项目(无法访问)以及从您的 VPC 到托管 AD 服务的 VPC 的网络对等。

如前所述,无论何时在共享资源位置部署新客户/项目,他们都必须属于共享 VPC 才能访问托管 AD Service 域。在具有对等连接到共享 VPC 的 VPC 的项目上部署的资源无法访问托管 AD Service 域。这种限制与 VPC 不是传递性有关。共享资源位置上的托管 AD Service 域与专用资源位置上的托管 AD Service 域不同。

建议使用单独的 GCP 项目将每个客户的资源 (VDA) 托管在共享资源位置 (6)。这种考虑使负责支持不同环境的管理员可以更轻松地进行资源管理和 IAM 权限申请。

此外,根据领先实践,共享 VPC 主机项目不会托管任何资源 (7)。此项目仅用于部署共享 VPC 和托管 AD 服务域。

注意:
虽然托管 AD 服务域是从宿主项目部署的,但实际资源(域控制器和 VPC 网络)属于谷歌管理的项目。您没有权限访问这个项目。

预配了共享 Citrix Cloud 租户 (8) 以部署和管理多个客户的资源。这些客户共享 Citrix Virtual Apps and Desktops 服务组件(例如 Delivery Controller、数据库、Director、Studio、许可和 API)。

为每位客户部署专门的 Citrix Workspace 体验 (9)。通过专用的 Workspace 体验,CSP 可以为登录页面添加品牌,同时为每个客户自定义访问 URL。每个客户都使用 Citrix Gateway 服务进行身份验证和 HDX 连接到其资源。

可以为规模更大、最复杂的客户配置专用 Citrix Cloud 租户 (10)。此专用环境提供了隔离的 Citrix Virtual Apps and Desktops 服务及其所有组件,以及专用的 Citrix Workspace 体验。部署专用 Citrix Cloud 租户不需要额外的 Citrix 许可费用

为Microsoft Active Directory 部署托管服务

在本节中,我们将介绍部署托管 AD 服务域所需的步骤。本部分假定 GCP 订阅可用,并且项目、VPC 网络、防火墙配置和其他 GCP 组件等资源已经部署。

1-在导航菜单上,转到身份与安全 > 身份 > 托管的 Microsoft AD

CSP-Image-004

2-在 适用于 Microsoft Active Directory 的托管服务 屏幕上,单击 创建新域

CSP-Image-005

备注:
* 托管域控制器使用 ADDS 和 DNS 角色进行部署。
* 管理虚拟机必须单独创建。

3-在 创建新域 屏幕上,输入以下信息:

  • 完全限定的域名:域 FQDN,例如客户er.com
  • NetBIOS:这是自动填充的
  • 选择网络:有权访问该服务的网络,
  • CIDR 范围:用于部署域控制器的 VPC 的 /24 CIDR 范围

CSP-Image-006

备注:
* 作为服务的一部分部署的 VPC 无法从 GCP 控制台进行管理。
* CIDR 范围不得与当前子网重叠。

4-向下滚动并输入以下信息:

  • 区域:要在其中部署托管 AD 服务域的 GCP 区域
  • 委派管理员:委派管理员帐户的名称
  • 点击 创建域

CSP-Image-007

备注:
* 委派管理员帐户位于“用户”容器中。虽然您可以直接在 ADUC 控制台中重置其密码,但不能将对象移动到其他 OU。
* 将计算机加入域时,其 AD 帐户是在 云 > 计算机 OU 下创建的,而不是默认的计算机容器。
* 创建服务最多可能需要 60 分钟。

5-创建完成后,选择您的域,然后单击 设置密码

CSP-Image-008

6-在 设置密码 窗口中,单击 确认

CSP-Image-009

7-在 新密码 窗口中,复制密码并单击 完成

CSP-Image-010

创建服务并准备好使用后,您就可以开始部署其他实例并将其加入域。您还可以完成 Citrix DaaS 站点配置。

参考体系结构:Citrix DaaS-面向通信服务提供商的 Microsoft Active Directory 托管服务的 GCP 架构