参考体系结构: Remote PC Access

Remote PC Access 概述

通过 Citrix Remote PC Access 解决方案,最终用户能够使用全套 HDX 功能从任何地点和任何设备安全地访问其办公室中的物理 Windows 台式机和便携式计算机,以获得最佳用户体验。

安装在办公室 PC 上的 Virtual Delivery Agent (VDA) 向 Cloud Connector (Citrix Cloud) 或 Delivery Controller(本地)注册其状态。它允许管理员管理 VDI 实施中的物理 PC,包括访问、策略和完整的 HDX 堆栈的用户体验功能。

一个用户可以访问多个桌面,包括多个 Remote PC Access 或 Remote PC Access 和 VDI 桌面的组合。此解决方案是 Citrix Virtual Apps and Desktops 的扩展,因此为用户提供和管理对办公室 PC 的远程访问与对虚拟应用程序和桌面提供访问一样简单。

Citrix Remote PC Access 解决方案的示例用例

在本节中,我们将讨论组织可以插入 Citrix Remote PC Access 或将现有繁琐的远程访问解决方案替换为 Citrix Remote PC Access 以提供最佳远程访问用户体验的用例。

用例 #1

已部署本地 Citrix Virtual Apps and Desktops 解决方案的客户也渴望通过在用户需要在家办公时提供与办公室 PC 的连接来实现其最终用户的远程访问。为了满足要求,Citrix 管理员通常从 Citrix Virtual Apps 解决方案发布 RDP 客户端应用程序,该解决方案允许用户通过 HDX 连接访问 RDP 客户端应用程序。用户在 RDP 客户端上键入其桌面 IP 地址或计算机名称,然后用户进行身份验证以从虚拟应用程序服务器建立 RDP 连接。然后,此连接将使用 Virtual Apps 服务器作为协议转换代理服务器来访问物理 PC 和所需的资源,来代替端到端的单一协议。

客户可以将限制性的 RDP 代理解决方案替换为 Remote PC Access HDX 解决方案,并安全地集成到现有 Citrix Virtual Apps and Desktops 解决方案中。使用 Remote PC Access,用户可以通过安全的 HDX 连接进行单点登录以访问办公室 PC,无需多次身份验证提示。此外,它还允许企业管理员通过应用受限的 HDX 策略并仅允许 HDX 访问分配的桌面来控制办公室 PC 的访问权限。受限 HDX 策略有助于启用/禁用剪贴板重定向、打印机重定向和客户端驱动器映射。

用例 #2

企业组织有一个 VPN 解决方案,允许其员工远程访问企业网络。为了达到此要求,网络管理员启用了具有双重身份验证的 VPN 通道。VPN 身份验证后,用户随后创建自己的 RDP 链接以访问位于局域网中的计算机。用户通过 VPN 安全连接访问远程桌面和应用程序。在此解决方案中,管理员需要应用网络访问控制以确保用户从允许的系统进行连接,并应用策略来启用/禁用某些协议以限制数据访问。组织安全政策坚持认为,只有当预身份验证扫描在远程用户的 PC 上有效时,才允许建立用户连接,有时需要特定的操作系统修补程序级别来保持免受病毒和恶意软件攻击的安全边界。该组织发现,用户对 VPN 解决方案不满意,这是因为在发生防病毒更新和其他安全故障时经常断开连接和拒绝 VPN 连接。

IT 团队可以实施 Citrix Remote PC Access 解决方案来取代 VPN/RDP 解决方案。他们可以部署专用的 Remote PC Access 站点,以允许用户访问向其分配的办公室物理 PC。使用 Remote PC Access,用户可以通过足够的 SmartAccess 安全策略(禁用客户端驱动器、剪贴板映射和打印机连接)借助 HDX 连接无缝访问其办公室 PC。Citrix HDX 策略允许企业管理员通过阻止按键记录和屏幕捕获技术来控制用户对桌面及其数据的访问权限。

用例 #3

现有 Citrix DaaS 客户,希望从 Citrix 获得更多价值,以提供令人兴奋的新方法,在现有 Citrix 部署的同时提供对办公室 PC 的远程访问。

为了实现上述要求,IT 管理员可以部署 Remote PC Access 解决方案以实现对办公室 PC 的远程访问,并集成到现有 Citrix 部署中。要为最终用户启用访问权限,Citrix 管理员可以在 Citrix Cloud 上创建 Remote PC Access 计算机目录和交付组,并将计算机分配给相应的用户。这允许最终用户使用现有的 Citrix URL 访问其 Office PC。现有的 Citrix HDX 和 SmartAccess 策略仍然允许 Citrix 管理员控制对办公室桌面及其数据的访问权限。

用例 #4

一家企业客户选择部署 Remote PC Access 解决方案以提供对办公室 PC 的访问权限。之所以考虑 Citrix Remote PC Access,是因为在 PC 更新周期内将其办公室 PC 迁移到 Citrix VDI 更容易,这样组织就可以节省资本支出成本。

借助 VDI,组织可以延长当前硬件的使用范围并消除花在管理硬件上的无数 IT 时间,从而避免与 PC 更新相关的升级或硬件购置成本。迁移到基于云的 VDI (DaaS) 还有一项优势,即有助于节省成本、减少管理投资以及提供未来的工作空间。

Citrix Cloud 上 Remote PC Access 的概念性体系结构

借助 Workspace 和网关服务通过 Citrix Cloud 连接 Remote PC Access

在此体系结构中,控制平面托管在 Citrix Cloud 上,由 Citrix 与 Workspace 和网关服务一起管理,后者使用户能够通过 Citrix Cloud 环境连接 Remote PC Access。

Citrix Remote PC Access 部署的概念性体系结构如下所示。让我们回顾一下面向 Citrix Cloud 和本地部署的 Remote PC Access 解决方案的设计框架中有关此体系结构中的每个层,了解 Remote PC Access 解决方案的工作流程。

RemotePC-RA-Image-1

借助 Workspace 和本地网关通过 Citrix Cloud 连接 Remote PC Access

在此体系结构中,控制平面托管在 Citrix Cloud 上,由 Citrix 和 Workspace 一起管理。包含本地网关的目的是使用户能够通过 Internet 连接到 Remote PC Access 解决方案。

RemotePC-RA-Image-2

借助本地网关和 StoreFront 通过 Citrix Cloud 连接 Remote PC Access

在此体系结构中,控制平面托管在 Citrix Cloud 上,由 Citrix 和 Workspace 一起管理。本地 StoreFront 和网关,它使用户能够通过本地 StoreFront 和网关借助 Internet 连接到 Remote PC Access。

RemotePC-RA-Image-3

上面讨论了 Citrix Remote PC Access 部署的概念性体系结构。让我们回顾一下面向 Citrix Cloud 的 Remote PC Access 解决方案的设计框架中有关此体系结构中的每个层,了解 Remote PC Access 的工作流程。

用户层

此层描述了 Citrix 环境的最终用户和用于连接到办公室资源的端点设备。

用户使用 Citrix Remote PC Access 解决方案通过 Internet 远程连接到办公室 PC。用户使用自己的台式机、便携式计算机和平板电脑等个人设备连接到办公室 PC,因此建议在个人端点设备上安装最新的 Citrix Workspace 应用程序客户端。此外,如果用户无法在设备上安装完整版的 Workspace 应用程序,则可以使用 HTML5 版本的 Workspace。

用户通过浏览器导航到 Citrix Cloud Workspace URL https://customer.cloud.com,通过 Internet 从端点设备访问办公室 PC。登录页面显示给用户,以使用各种身份验证方法验证其身份。经过身份验证后,用户将看到资源页面,其中显示了分配的应用程序和桌面。用户单击 Remote PC Access Desktop(Remote PC Access 桌面)图标启动桌面。安装在其端点设备上的 Citrix Workspace 应用程序可启动桌面,并提供无缝的最佳 HDX 体验,就像用户在办公室工作一样。

RemotePC-RA-Image-4

访问层

本层描述了最终用户如何连接到 Citrix Remote PC Access 环境,并提供了通过 Citrix Cloud、资源位置连接、Citrix Gateway 和 StoreFront 的访问方法对本地访问方法的要求的设计细节。

Citrix Workspace Platform 是 Citrix Cloud 的基础组件,它枚举所有数字工作区资源并将其交付给用户。用户访问 Workspace,这是 Citrix Cloud 托管的门户,为用户提供资源。他们通过导航到公司的 cloud.com URL(例如 https://customer.cloud.com)或自定义 URL 来完成此操作。完成后,系统会提示用户输入其凭据以获得对其资源的访问权限。

Workspace 支持各种身份验证方法:Active Directory、使用 Active Directory + 一次性密码的双重身份验证和 Azure AD。将来会添加更多身份验证选项。有关更多详细信息,请参阅 Workspace 文档

Cloud Connector 是一个安装在资源位置的组件,用于将资源连接到 Citrix Cloud。安装在资源位置的一组 Cloud Connector 允许访问客户在 Citrix Cloud 上的 Active Directory 域以进行身份验证。Workspace 配置有多个选项,用于为用户配置各种身份验证方法和访问流程,其中包括可用于访问环境的传统本地 Citrix Gateway 和 StoreFront。

当用户访问 Citrix Cloud Workspace URL (https://customer.cloud.com) 时,系统会要求其输入 Active Directory 域凭据以及各种身份验证方法,然后通过 Cloud Connector 对其本地 Active Directory 域进行验证。

RemotePC-RA-Image-5

验证凭证后,用户将看到 Workspace 资源页面,他们可以在其中访问分配的虚拟应用程序、桌面和 Remote PC Access 资源。当用户选择启动 Remote PC Access 桌面(办公室 PC)时,用户使用 Workspace 应用程序通过 SSL 连接到带 HDX 的网关。HDX 连接是从用户的个人设备建立的与 Citrix Cloud 上的 Citrix Gateway 服务的连接。

Citrix Gateway 服务提供具有多种身份识别和访问管理 (IdAM) 功能的安全远程访问解决方案,为 SaaS 应用程序、异构虚拟应用程序和桌面、Remote PC Access 等提供统一的体验。然后,网关服务通过 SSL 与本地 Cloud Connector 建立连接,并通过 TCP 端口 1494/2598 连接到 Remote PC Access 桌面,以提供无缝 HDX 体验。

控制层

此层描述了有关用于支持和控制 Citrix 环境的管理组件的详细信息,包括 Citrix Cloud 服务的站点设计。对于 Citrix 环境,Delivery Controller、SQL 数据库、Studio、Director 和 Licensing 是控制层中的核心组件,它们在 Citrix Cloud 上预配并由 Citrix 管理。

RemotePC-RA-Image-6

云预配的 Delivery Controller 与本地 Cloud Connector 通信以更新资源状态和用于身份验证的 Active Directory。Citrix 管理员使用 Citrix Cloud 门户来管理 Virtual Apps and Desktops 环境和授权。Virtual Apps and Desktops 页面上的管理按钮允许管理员启动 Citrix Studio 来管理环境。使用 Citrix Studio,将创建用于 Remote PC Access 的计算机目录和交付组以及 Citrix 策略以保护环境。

RemotePC-RA-Image-7

Citrix Cloud 门户中的“Monitor”(监视)选项卡允许 Citrix 管理员访问 Citrix Director 控制台,通过会话控制、报告、警报等监视应用程序和桌面基础结构。

资源层

此层捕获有关最终用户从 Citrix 环境访问的资源的信息。

资源层侧重于所有办公室 PC 在部署中的位置,它被称为 Citrix Cloud 上的资源位置。资源位置是客户的 Citrix 工作负载和其他操作工具所在的位置,无论是公共云还是私有云、分支机构还是数据中心。资源位置中包含不同的资源(具体取决于客户正在使用的 Citrix Cloud 服务)以及要向订阅者提供的服务。

Citrix Cloud 可以为云订阅提供多个资源位置。安装在办公室 PC 上的 Citrix Virtual Delivery Agent 使用 Cloud Connector 注册 PC 的状态。Cloud Connector 有助于更新 Citrix Cloud 上的 Delivery Controller 的资源状态。网络管理员为办公室 PC 配置必要的防火墙规则,以便与 Cloud Connector 通信。

RemotePC-RA-Image-8

Citrix 管理员可以为 Remote PC Access 创建多个计算机目录和交付组,以按位置、部门或其他因素识别办公室 PC。所有这些资源都可以使用 Citrix Director 控制台从 Citrix Cloud 进行监视。

平台层

本层描述了用于 Citrix 环境的组件和云预配方法,重点是硬件、存储和虚拟化细节。

在此 Remote PC Access 体系结构中,核心控制基础结构组件位于 Citrix Cloud 中并由 Citrix 管理,因此要求仅在数据中心部署 Cloud Connector,以便 VDA(办公室 PC)可以与 Cloud Connector 通信以在 Citrix Cloud 中注册其状态。

要托管 Cloud Connector 虚拟机,管理员需要使用所需的资源数量部署服务器硬件。Citrix 管理员在服务器硬件上安装和配置 Citrix Hypervisor,以便为 Cloud Connector 创建虚拟机。创建虚拟机后,Citrix 管理员将从虚拟机访问 Citrix Cloud 门户,并使用其订阅帐户安装 Cloud Connector。

RemotePC-RA-Image-9

操作层

本层重点介绍管理资源位置内的 Citrix 工作负载和 Remote PC Access 桌面所需的工具或组件。

对于 Citrix Cloud 体系结构来说,关键工具是用于访问 Citrix Cloud 上托管的控制基础结构的云门户。在云门户中,管理员能够访问 Citrix Studio 和 Citrix Director 控制台。Citrix Studio 可帮助管理员配置计算机目录、交付组和 Citrix 策略。

Citrix Director 可帮助监视完整的 Citrix 环境。使用云门户,管理员可以监视 Cloud Connector 状态,还可以帮助配置各种身份验证方法和不同的访问方法。

采用本地部署的 Remote PC Access 的概念性体系结构

本地部署中的 Citrix Remote PC Access 的概念性体系结构如下所示。

RemotePC-RA-Image-10

让我们回顾一下面向本地部署的 Remote PC Access 解决方案的设计框架中有关此体系结构中的每个层,了解工作流程。

用户层

此层描述了 Citrix 环境的最终用户和用于连接到办公室资源的端点设备。

用户使用 Citrix Remote PC Access 解决方案通过 Internet 远程连接到办公室 PC。用户使用自己的台式机、便携式计算机和平板电脑等个人设备连接到办公室 PC,因此建议在个人端点设备上安装最新的 Citrix Workspace 应用程序客户端。此外,当用户无法在设备上安装完整版 Workspace 应用程序时,可以使用 HTML5 版本的 Workspace。

用户通过浏览器导航到本地 Citrix Gateway URL https://citrix.company.com,通过 Internet 从其端点设备访问办公室 PC 和其他资源。登录页面显示给用户,以使用多重身份验证来验证其身份。经过身份验证后,用户将看到资源页面,其中显示了分配的应用程序和桌面。用户单击 Remote PC Access Office Desktop(Remote PC Access 办公桌面)图标启动桌面。安装在其端点设备上的 Citrix Workspace 应用程序可启动桌面,并提供无缝的最佳 HDX 体验,就像用户在办公室工作一样。

RemotePC-RA-Image-11

访问层

此层描述了最终用户如何连接到 Citrix Remote PC Access 环境,并提供了本地部署的访问方法的设计细节。

用户访问为 Citrix Virtual Apps and Desktops 解决方案配置的现有 Citrix Gateway URL (https://citrix.company.com),以同时访问 Remote PC Access。导航到 Citrix Gateway URL 时,会向用户显示一个登录页面,其中包含多种身份验证方法,包括 Active Directory。Citrix Gateway 支持多种身份验证方法,有关完整的详细信息,请参阅产品文档。

RemotePC-RA-Image-12

验证凭据后,用户将看到传统的 Citrix StoreFront/Workspace 资源页面,他们可以在其中访问分配的虚拟应用程序、桌面和 Remote PC Access。当用户选择启动 Remote PC Access(办公室 PC)时,用户使用 Workspace 应用程序通过 SSL 连接到带 HDX 的网关。使用 SSL 建立从用户的个人设备到本地 Citrix Gateway 的 HDX 连接,然后通过 TCP 端口 1494/2598 连接到办公室 PC,以提供无缝 HDX 体验。

控制层

此层描述了有关用于支持和控制 Citrix 环境的管理组件的详细信息,包括本地 Citrix 环境的站点设计。

本地部署的控制层包括支持整个 Citrix 解决方案的所有基础结构相关的组件,包括 Citrix Delivery Controller、SQL 数据库和 Licensing。

RemotePC-RA-Image-13

只需通过选择 Remote PC Access 来创建计算机目录和交付组,即可使用 Remote PC Access 轻松配置现有的 Virtual Apps and Desktops 部署。

客户还可以选择使用新的 Remote PC Access 站点、Licensing 和 SQL 数据库(可与现有 StoreFront 和 Citrix Gateway 集成,实现统一、无缝访问)来为 Remote PC Access 提供专用环境。使用 Citrix Studio,将创建用于 Remote PC Access 的计算机目录和交付组以及 Citrix 策略以保护环境。

RemotePC-RA-Image-14

资源层

资源层捕获有关办公室 PC 在企业网络中的位置以及如何为 Remote PC Access 配置这些计算机的信息。

在此体系结构中,办公室 PC 位于客户环境的局域网段上。这些办公室 PC 安装了 Virtual Delivery Agent (VDA),以便向本地 Delivery Controller 注册。Citrix 管理员可以配置 Remote PC Access 计算机目录和交付组以启用最终用户的访问权限。

VDA 的部署可以通过现有的电子软件分发 (ESD) 系统进行管理,例如 Microsoft System Center Configuration Manager (SCCM)。升级的最佳做法是重新启动、卸载 VDA 软件、重新启动、安装最新的 VDA,然后最后一次重新启动。

RemotePC-RA-Image-15

Citrix Director 允许 Citrix 管理员监视 Remote PC Access 环境及其现有的 Citrix Virtual Apps and Desktops 环境。

平台层

本层描述了用于 Citrix 环境的硬件组件和云预配方法,主要侧重于硬件、存储和虚拟化细节。

对于本地环境,平台层涵盖了托管核心控制组件的服务器硬件要求。核心组件包括两个或多个 Delivery Controller、一个许可证服务器、两个用于 SQL 数据库的 VM(用于配置群集或 AlwaysOn)、一个用于 Citrix Director 的 VM 以及其他组件。

RemotePC-RA-Image-16

为了托管这些组件,企业管理员部署了具有充足资源的服务器硬件。Citrix 管理员在服务器硬件上安装并配置了 Citrix Hypervisor,以便为所有组件创建虚拟机。创建虚拟机后,Citrix 管理员配置了 Remote PC Access 站点。StoreFront 配置了新的 Delivery Controller,用于为最终用户枚举 Remote PC Access 资源。

操作层

本层重点介绍管理资源位置内的 Citrix 工作负载和 Remote PC Access 桌面所需的工具和组件。 对于本地环境,操作层侧重于 Citrix Studio 和 Citrix Director 等工具,它们有助于控制基础结构和监视整个 Citrix 环境。

Citrix Studio 帮助管理员创建多个计算机目录和交付组,并为 Remote PC Access 解决方案应用 Citrix HDX 策略。Citrix Director 帮助监视环境。

来源

此参考体系结构的目标是帮助您规划自己的实施。为了简化这项工作,我们想为您提供源图,您可以在自己的详细设计和实施指南中进行调整:源图

引用

技术要求和注意事项 Remote PC Access 安全注意事项