参考架构:Citrix DaaS

概述

当 Covid-19 发生时,它迫使 Worldwide Co. 的所有员工远程办公。Worldwide Co. 办公室用户通常使用与其立方体/办公室相关的公司自有电脑工作。Worldwide Co. 快速部署了 Citrix DaaS,允许用户使用 Remote PC Access 在家中安全地访问其工作 PC。

在 2020 年疫情期间,Worldwide Co. 意识到,担任某些角色的员工在家工作比在办公室工作的效率同等或更高。因此,他们希望确保自己的环境允许这些新的永久远程员工使用。

尽管许多员工成为永久性远程员工,但是一组员工的角色需要现场办公。但是,Worldwide Co. 希望为办公室的员工提供根据需要进行远程办公的灵活性。

该参考架构显示了 Worldwide Co. 是如何规划他们的 Citrix DaaS 环境的。

成功标准

Worldwide Co. 定义了一系列成功标准,这些标准构成了总体设计的基础。

成功标准 说明 解决方案
灵活的工作方式 尽管许多用户拥有主要工作环境,但该解决方案支持灵活的工作方式,允许用户根据需要在任何地方工作。 Citrix DaaS
将硬件成本降至 很大一部分用户在办公室使用传统电脑工作。该解决方案允许用户在保持相同体验的同时远程工作。 Remote PC Access
安全的资源 对于使用不可信端点或从不安全的位置访问的用户,必须保护企业资源。 无 VPN 访问
尽量减少数据中心占 最大限度地减少数据中心占地面积,从而灵活灵活地根据需要进行扩展,并减少需要管理的物理硬件和设备的数量。 Citrix DaaS
自适应会话 由于最终用户与资源的连接性质不同,随着最终用户环境的变化,体验会动态变化。 HDX 自适应技术
用户体验报告 由于 IT 无法完全控制远程用户与虚拟桌面之间的链路,他们需要能够监视整体体验并确定需要改进的领域。 Citrix Analytics for Performance
检测安全威胁 防止知识产权丢失,实时评估、检测和防范安全风险。 Citrix Analytics for Security
最佳路由 为了减少延迟并改善体验,解决方案必须尽可能使用最佳路线。 Citrix Gateway 服务
优化云成本 根据计划和使用情况自动扩展工作负载,最大限度地降低 AutoScale
多因素身份验证 考虑到安全性,需要 MFA 来确保对企业资源进行另一层身份验证和保护。 基于时间的一次性密码微服
最佳性能和应用响应时间 在多用户环境中,避免出现单个用户可以独占 CPU 资源的情况,这会对其他用户产生负面影响。 工作区管理 - CPU 优化
优化向最终用户提供的图像 帮助管理员优化图像的简单工具 Citrix Optimizer
业务连续性 云服务出现中断时的弹性选项 Citrix 服务连续性

概念体系结构

根据上述要求,Worldwide Co. 创建了以下架构。这种架构不仅能够满足上述所有要求,而且还将为 Worldwide Co. 提供扩展到未来确定的其他用例所需的基础。

概念体系结构

Citrix DaaS 架构分为多个层。此框架为了解最常见的虚拟桌面/应用程序部署方案的技术体系结构奠定了基础。所有层都流在一起,为组织创建完整的端到端解决方案。

在高级别上:

  • 用户层: 此层描述用于连接资源的最终用户环境和终端设备。
    • 外部用户:访问 Citrix Workspace 以访问在 Azure 中托管的 Azure 虚拟桌面。
    • 内部用户:在办公室时,继续使用其物理电脑。远程办公时,他们会访问 Citrix Workspace 和 Remote PC Access 以连接到基于办公室的物理 PC。
  • 接入层: 此层描述了有关 Citrix 环境的外部和内部访问的详细信息。
    • Citrix Workspace:一个完整的数字化工作空间解决方案,允许您安全访问与组织中的人员角色相关的信息、应用程序和其他内容。
    • Gateway 服务:这项基于云的服务通过身份识别和访问管理 (IdAM) 功能提供安全的远程访问,为 SaaS(软件即服务)应用程序、虚拟应用程序和桌面提供统一的体验。
  • 资源层: 此层定义了提供给每个用户组的虚拟桌面、应用程序和数据。
    • Remote PC Access:传统的本地 Windows 桌面,分配给单个用户,可以在本地进行物理访问或远程访问。
    • Azure 虚拟桌面:虚拟化 Windows 10 多会话操作系统,使用户能够远程访问其桌面和应用程序。
  • 控制层: 此层描述了用于支持其余环境的组件的详细信息。
    • Citrix DaaS:这项基于云的服务管理 Azure 虚拟桌面和远程电脑访问的授权和代理。
    • Workspace Environment Management 服务:此基于云的服务使用智能资源管理和配置文件管理技术,提供尽可能最佳的性能、桌面登录和应用程序响应时间。
    • Citrix Analytics for Performance:这项基于云的服务跟踪、汇总和可视化 Citrix DaaS 环境的关键性能指标。
    • Citrix Analytics for Security:这项基于云的服务可以实时评估、检测和预防风险。它为您提供主动安全保护,而不会使员工体验复杂化。
  • 主机层: 此层描述用于 Citrix 环境的硬件组件(私有云、公共云和混合云)— 硬件、存储和虚拟化详细信息。
    • 物理 PC:他们使用自己已经拥有的物理 PC,但允许用户在需要时远程访问它们
    • Azure:为了减少数据中心占用空间,他们在 Azure 上部署新的虚拟桌面资源。

在以下各节中,我们将介绍以前的每个架构组件以及它们如何满足 XYZ 公司的要求。

详细的架构

用户层

将用户要求与适当的虚拟桌面保持一致是创建完整的端到端解决方案的第一步。Worldwide Co. 定义了下面的用户要求。

用户需要访问… 用户包括… 终端节点包括… 常见地点包括… IT 提供了…
带业务线应用程序的标准化桌面环境 工程师设计师 在办公室:来自远程的公司实体电脑:个人设备 主要是内部本地网络。有时是远程的、不可信的网络。 Remote PC Access
带业务线应用程序的标准化桌面环境 销售营销 个人设备平板电脑 远程不受信任的网络 Azure 虚拟桌面

办公室工作人员通常使用公司拥有的 PC 在办公室工作。疫情发生时,他们需要一种既能安全地在家办公,又能继续使用办公室电脑的方法。Worldwide Co. 意识到办公室工作人员可以作为远程工作人员提高生产力,并希望提供远程办公的灵活性。他们在办公室工作时继续在本地使用电脑,而在家办公时则通过 Citrix DaaS Remote PC Access 远程访问电脑。

员工主要是远程员工。Worldwide Co. 不想提供公司拥有的设备,而是希望为这些员工提供使用他们想要的任何设备的选择。这可能包括个人笔记本电脑、智能手机或平板电脑等设备。由于Worldwide Co. 希望最大限度地减少其数据中心占用空间,他们选择为这组员工部署带有 Citrix Virtual Apps and Desktops 服务的 Azure 虚拟桌面。

访问层

提供对环境的访问权限不仅仅包括与资源建立连接。除了组织定义的安全策略之外,提供适当的访问级别还取决于用户所在的位置。Worldwide Co. 选择执行以下操作:

  • 最小化数据中心占用空间:
    • Gateway 服务:全球公司决定部署 Gateway 服务,以符合减少数据中心占用空间的目标。Gateway 服务允许他们为外部用户提供安全的远程访问,而无需部署和维护任何物理硬件、公共 IP 地址或防火墙规则。他们也不必担心冗余架构,因为 Citrix 会为他们处理冗余问题 — Gateway 服务在全球多个区域运行,集成冗余。Gateway 服务最大限度地减少了所需的基础设施,从而使管理员能够在需要时(并购、灾难恢复、新用户或承包商)快速扩展。有关网关服务的更多信息,请单击此处
    • 汇聚协议:Worldwide Co. 还开启了汇聚协议,该协议允许 HDX 会话绕过 Citrix Cloud Connector 直接连接到 Citrix Gateway 服务。Rendezvous 协议减少了云连接器的负载,这有助于减少数据中心占用空间。
  • 多因素身份验证: Worldwide Co. 决定实施多因素身份验证来保护他们的知识产权。他们选择通过 Citrix Workspace 中的 基于时间的一次性密码微服务 来执行此操作。他们之所以选择 TOTP,是因为它使他们无需部署或维护其他第三方系统即可满足其安全需求。有关 TOTP 和 Workspace 标识的其他信息可在此处找到。
  • 最佳路由 - 网关服务: 由于网关服务分布在全球,它允许用户通过最快的接入点进行连接,从而创造最佳的用户体验。
  • 安全资源: 所有用户使用 Workspace 和 Gateway 服务进行身份验证,都提供对其物理 PC 和云托管 VDI 桌面的无 VPN 访问权限。虽然此参考架构仅显示用户访问虚拟应用程序和桌面,但 Workspace 使组织可以灵活地从一个统一的位置为最终用户提供 SaaS 和 Web 应用程序。此外,它还提供了 SSO,因此用户不必一遍又一次地不断地重新进行身份验证。
  • 业务连续性: Worldwide Co. 还利用了 Citrix Workspace 中最新的服务连续性功能。服务连续性进一步扩展了 Citrix Virtual Apps and Desktops 的服务弹性,以防出现以下任何情况中断:
    • Citrix Workspace 门户
    • Citrix Cloud 平台
    • Citrix 身份提供商服务
    • Citrix Virtual Apps and Desktops 控制平面
    • AWS 和 Azure 平台

Worldwide Co. 选择了这种方法,而不是本地主机缓存,因为服务连续性没有任何本地要求。本质上,它使用长期连接票证作为工作区并将用户连接到他们的 VDA,只要端点和 VDA 之间存在网络连接即可。有关服务连续性的更多信息可以 在这里找到。

资源层

用户需要访问其资源,无论这些资源是桌面还是应用程序。 资源是在由 Worldwide Co. 管理的资源位置配置的。资源的配置必须与用户组的总体需求保持一致。最终用户期望获得类似或优于传统 PC 环境的体验。资源可以位于本地、私有云、公共云或混合方法中。这对最终用户来说是无缝的。Cloud Connector 位于每个资源位置中,用于将资源与 Citrix Cloud 连接起来。Worldwide Co. 选择执行以下操作:

  • 尽量减少硬件成本:
    • 远程PC访问:远程PC访问允许用户访问其办公室的物理PC。

    Remote PC Access

    用户通过自己的个人设备进行访问并通过 Workspace 应用程序进行访问。身份验证后,用户将有权访问其物理 Windows 桌面。Worldwide Co. 遵循此处找到的 Remote PC Access VDA 的最佳实践 (/zh-cn/tech-zone/design/design-decisions/remote-pc-access.html)。

  • 最大限度地减少数据中心占用空间: Worldwide Co. 已选择 Azure 作为其他资源位置。这使他们能够根据需要快速启动新资源,而无需添加新的基础架构。它为他们提供了快速轻松地扩展的灵活性。 Azure Worldwide Co. 在考虑部署哪个实例系列时,使用了以下“设计决策”指南 。最终,他们选择了一个具有标准 HDD 的 D13_v2 实例和带有 Windows 10 多会话操作系统的 2GB MCSIO 缓存。Worldwide Co. 已选择通过Azure Active Directory域名服务和该组织本地Active Directory中的用户帐户将其域加入其本地Active Directory。更多信息可以 在这里找到。
  • 优化向最终用户推荐的映像: Worldwide Co. 已选择使用 Citrix Optimizer 来优化其 VDA。有关 Citrix Optimizer 的信息可 在此处找到。
  • 适应性会话: Worldwide Co. 使用了 基线策略,但他们开启了“自适应传输”。自适应传输允许会话响应不断变化的网络状况。对于远程员工,自适应传输使他们能够获得最佳的用户体验。他们还利用其他 HDX 技术 来改善整体体验。

控制层

在 Citrix DaaS 中,Delivery Controller、SQL 数据库、Studio、Director 和 Licensing 是控制层的核心组件。这些组件是在激活虚拟应用程序和桌面服务期间由 Citrix 在 Citrix Cloud 上预配的。Citrix 处理这些组件的冗余、更新和安装。这允许环境始终拥有最新的功能和安全补丁程序。可以在 Citrix Cloud 中启用更多服务,以支持 Worldwide Co. 的要求。Worldwide Co. 选择了以下内容:

  • 用户体验报告: Worldwide Co. 选择启用 Citrix Analytics for Performance,这使他们能够量化最终用户体验并主动解决任何问题。这些信息可以在他们的两个资源位置中看到。更多信息可以 在这里找到。
  • 最佳性能和应用程序响应时间: Worldwide Co. 希望避免出现单个用户可以独占 CPU 资源的情况,这种情况会对其他用户产生负面影响(邻居噪音综合症)。因此,他们使用 Workspace Environment Management 服务来启用 CPU 管理设置。有关 CPU 管理的更多信息可以 在这里找到。
  • 实时检测安全风险: Worldwide Co. 希望保护敏感数据,在不增加员工体验复杂性的情况下实时确保资产和员工的安全。有关实时安全分析的更多信息,请参阅此处:Citrix Analytics for Security

Worldwide Co. 选择通过 Azure Active Directory 域服务将他们的 Azure 虚拟桌面加入到组织的本地 Active Directory 中,并将其用户的帐户保留在组织的本地 Active Directory 中。Active Directory 使用 Azure AD Connect 与客户 Azure 订阅中的 Azure AD 进行同步。此设置允许通过同步的 Azure AD 对用户的身份进行身份验证。

主机层

管理员可以灵活地在本地、公共云或混合方法中进行部署。Worldwide Co. 已选择执行以下操作:

  • 优化云成本:
    • AutoScale:Worldwide Co. 选择部署 AutoScale 来优化云成本。AutoScale 允许您智能地使用、分配和释放资源。有关 AutoScale 的更多信息可以在此处找到。Worldwide Co. 最初将根据典型工作日使用以下基于计划的 AutoScale 参数:
高峰时段 非高峰时段 活动的计算机
工作日 7AM-5PM 5PM-7AM 峰值:50% 关闭时峰值:5%
周末 全天 5%

为了容纳更多用户,Worldwide Co. 还通过以下参数启用了基于负载的扩展:

容量缓冲区(峰值) 容量缓冲区(非高峰)
工作日 20% 5%
周末 5% 5%
  • Azure 规模调整:Worldwide Co. 选择使用标准硬盘和 2GB MCSIO 部署 D13_v2 实例,以最低的成本提供最佳用户体验。可以在此处找到对 Azure 上 Citrix DaaS 可伸缩性的深入分析。
参考架构:Citrix DaaS