Citrix Remote PC Access 解决方案的参考体系结构

贡献者

作者: Vivekananthan Devaraj

特别感谢:

Gabe Carrejo Miguel Contreras

Remote PC Access 概述

Citrix Remote PC Access 解决方案使最终用户能够从任何地方和任何设备安全地访问其办公室中的物理 Windows 台式机和笔记本电脑,从而获得最佳用户体验。

安装在办公室 PC 上的 Virtual Delivery Agent (VDA) 向 Cloud Connector (Citrix Cloud) 或 Delivery Controller(本地)注册其状态。它允许管理员在 VDI 实施中管理物理 PC,包括访问、策略和用户体验功能的完整 HDX 堆栈。

用户可以访问多个桌面,包括多个 Remote PC Access 或 Remote PC Access 和 VDI 桌面的组合。此解决方案是 Citrix Virtual Apps and Desktops 的扩展,因此为用户提供和管理对其办公室电脑的远程访问就像虚拟应用程序和桌面一样简单。

Citrix Remote PC Access 解决方案示例使用案例

在本节中,我们将讨论组织可以插入 Citrix Remote PC Access 或用 Citrix Remote PC Access 替换现有繁琐的远程访问解决方案以提供远程访问的最佳用户体验的使用案例。

使用案例 #1

部署了本地 Citrix Virtual Apps and Desktops 解决方案的客户还希望在用户需要在家工作时提供与其办公室电脑的连接,从而为其最终用户启用远程访问功能。为满足此要求,Citrix 管理员通常从 Citrix Virtual Apps 用程序解决方案发布 RDP 客户端应用程序,该解决方案允许用户通过 HDX 连接访问 RDP 客户端应用程序。用户在 RDP 客户端上输入桌面 IP 地址或计算机名称,然后用户进行身份验证以从 Virtual Apps 用服务器建立 RDP 连接。然后,此连接将 Virtual Apps 服务器用作协议转换代理服务器,以访问物理 PC 和所需资源,而不是端到端的单一协议。

客户可以将限制性 RDP 代理解决方案替换为 Remote PC Access HDX 解决方案,并安全地集成到现有 Citrix Virtual Apps and Desktops 解决方案中。使用 Remote PC Access,用户可以通过安全的 HDX 连接通过单点登录访问办公室 PC,从而消除多个身份验证提示。此外,它允许企业管理员通过应用受限制的 HDX 策略并允许 HDX 访问分配的桌面来控制 Office PC 的访问。受限 HDX 策略有助于启用/禁用剪贴板重定向、打印机重定向和客户端驱动器映射。

使用案例 #2

企业组织拥有 VPN 解决方案,允许其员工远程访问企业网络。为了达到这一要求,网络管理员已启用具有双重身份验证的 VPN 隧道。VPN 身份验证后,用户会创建自己的 RDP 链接,以访问驻留在 LAN 上的计算机。用户通过 VPN 安全连接访问远程桌面和应用程序。在此解决方案中,管理员需要应用网络访问控制来确保用户从允许的系统进行连接,并应用策略来启用/禁用某些协议以限制数据访问。组织安全策略坚持认为,只有当预身份验证扫描在远程用户的 PC 中有效时,才允许用户连接,并且在某些情况下,需要某些操作系统修补程序级别来维护防范病毒和恶意软件的安全外围。该组织发现用户对 VPN 解决方案不满意,因为在防病毒更新发生时频繁断开连接和拒绝 VPN 连接以及其他安全故障。

IT 团队可以实施 Citrix Remote PC Access 解决方案,以取代 VPN/RDP 解决方案。他们可以部署专用的 Remote PC Access 站点,以允许用户访问其分配的办公室物理 PC。使用 Remote PC Access,用户将能够通过 HDX 连接无缝访问其办公室 PC,使用适当的 SmartAccess 安全策略禁用客户端驱动器、剪贴板映射和打印机连接。Citrix HDX 策略允许企业管理员通过阻止密钥日志记录和屏幕捕获技术来控制用户对桌面及其数据的访问。

使用案例 #3

现有 Citrix Cloud Virtual Apps and Desktops Service 服务客户希望从 Citrix 中获得更多价值,以启用令人兴奋的新方法,在现有 Citrix 部署的同时提供对 Office PC 的远程访问权限。

要达到上述要求,IT 管理员可以部署 Remote PC Access 解决方案,以启用对办公室 PC 的远程访问并在现有 Citrix 部署中集成。要为最终用户启用访问权限,Citrix 管理员可以在 Citrix Cloud 上创建 Remote PC Access 计算机目录和交付组,并将计算机分配给各自的用户。这允许最终用户使用现有 Citrix URL 访问其 Office 电脑。现有 Citrix HDX 和 SmartAccess 策略仍允许 Citrix 管理员控制对办公桌面及其数据的访问。

使用案例 #4

企业客户选择部署 Remote PC Access 解决方案以提供对办公电脑的访问权限。考虑 Citrix Remote PC Access,因为在 PC 刷新周期中将其办公室电脑迁移到 Citrix VDI 更容易,以便组织可以节省资本支出成本。

借助 VDI,组织可以通过扩展当前硬件的使用并消除无数 IT 小时来管理它们,从而避免与 PC 刷新相关的升级或硬件购置成本。迁移到基于云的 VDI (DaaS) 还有帮助提高成本节约、减少管理投资并提供未来 Workspace 的额外好处。

Citrix Cloud 上 Remote PC Access 的概念体系结构

通过 Citrix Cloud 提供 Workspace and Gateway Service 的 Remote PC Access

在此体系结构中,控制平面托管在 Citrix Cloud 上,并由 Citrix 连同 进行管理,使 Workspace and Gateway Service 用户能够通过 Citrix Cloud 环境连接 Remote PC Access。

Citrix Remote PC Access 部署的概念体系结构如下所示。让我们查看针对此体系结构上每个层的 Citrix Cloud 和本地部署的 Remote PC Access 解决方案的设计框架,以了解 Remote PC Access 解决方案的工作流。

RemotePC-RA-Image-1

通过 Citrix Cloud 与 Workspace 和本地网关进行 Remote PC Access

在此体系结构中,控制平面托管在 Citrix Cloud 上,并由 Citrix 与 Workspace 一起管理。内置网关是为了使用户能够通过 Internet 连接到 Remote PC Access 解决方案。

RemotePC-RA-Image-2

通过 Citrix Cloud 与本地网关和 StoreFront 进行 Remote PC Access

在此体系结构中,控制平面托管在 Citrix Cloud 上,并由 Citrix 与 Workspace 一起管理。使用本地 StoreFront 和网关,用户可以通过本地 StoreFront 和网关通过互联网连接到 Remote PC Access。

RemotePC-RA-Image-3

上文讨论了 Citrix Remote PC Access 部署的概念体系结构。让我们回顾 Citrix Cloud 的 Remote PC Access 解决方案的设计框架,以了解 Remote PC Access 的工作流程。

用户层

此图层描述 Citrix 环境的最终用户以及用于连接到办公室资源的终端设备。

用户通过使用 Citrix Remote PC Access 解决方案通过 Internet 远程连接到其办公室电脑。用户使用其个人设备(如台式机、笔记本电脑和平板电脑设备)连接到他们的办公电脑,因此建议在个人终端设备上安装最新的 Citrix Workspace 应用客户端。此外,如果用户无法在设备上安装完整版本的 Workspace 应用程序,则可以使用 HTML5 版本的 Workspace。

用户通过浏览器导航到 Citrix Cloud Workspace URL https://customer.cloud.com,以便通过 Internet 从其终端设备访问办公室 PC。登录页面会显示给用户,以便使用各种身份验证方法验证他们的身份。经过身份验证后,用户会看到显示分配的应用程序和桌面的资源页面。用户单击“Remote PC Access 桌面”图标以启动桌面。安装在端点设备上的 Citrix Workspace 应用程序会启动桌面,并提供无缝且最佳的 HDX 体验,就像用户在办公室工作一样。

RemotePC-RA-Image-4

访问层

此图层描述了最终用户如何连接到 Citrix Remote PC Access 环境,并提供了有关通过 Citrix Cloud 访问方法、资源位置连接、Citrix Gateway 和本地访问方法的 StoreFront 要求的设计详细信息。

Citrix Workspace 平台 是 Citrix Cloud 的基本组件,枚举并将所有数字 Workspace 资源传递给用户。用户访问工作区,该工作区是 Citrix Cloud 托管门户,向用户提供其资源。他们通过导航到其公司的 cloud.com URL(例如https://customer.cloud.com)或自定义 URL 来完成此操作。之后,系统会提示用户输入凭据以获取对其资源的访问权限。

Workspace 支持各种身份验证方法:Active Directory、使用 Active Directory + 一次性密码的双重身份验证和 Azure AD。将来会添加更多的身份验证选项。有关更多详细信息,请参阅 Workspace 文档

Cloud Connector 是安装在资源位置的组件,用于将资源连接到 Citrix Cloud。安装在资源位置的一组 Cloud Connector 允许访问 Citrix Cloud 上客户的 Active Directory 域以进行身份验证。Workspace 配置有多个选项,用于为用户配置各种身份验证方法和访问流程,这些用户包括可用于访问环境的传统内部部署 Citrix Gateway 和 StoreFront。

当用户访问 Citrix Cloud Workspace URL (https://customer.cloud.com) 时,系统会要求他们输入 Active Directory 域凭据以及各种身份验证方法,然后通过 Cloud Connector 对其本地 Active Directory 域进行验证。

RemotePC-RA-Image-5

验证凭据后,将向用户显示 Workspace 资源页面,用户可以在其中访问分配的虚拟应用程序、桌面和远程 PC Access 资源。当用户选择要启动的 Remote PC Access 桌面(办公室 PC)时,用户使用 Workspace 应用程序通过 SSL 连接到带 HDX 的网关。HDX 连接是从用户的个人设备与 Citrix Cloud 上的 Citrix Gateway 服务建立的。

Citrix Gateway Service 提供具有多种身份和访问管理 (IdAM) 功能的安全远程访问解决方案,为 SaaS 应用、异构 Virtual Apps and Desktops、Remote PC Access 等提供统一体验。然后,网关服务通过 SSL 建立与本地 Cloud Connector 的连接,并通过 TCP 端口 1494/2598 连接到 Remote PC Access 桌面,以提供无缝的 HDX 体验。

控制层

此图层描述了用于支持和控制 Citrix 环境的管理组件的详细信息,其中包括 Citrix Cloud 服务的站点设计。对于 Citrix 环境、Delivery Controller、SQL 数据库、Studio、Director 和 Licensing 是控制层中的核心组件,这些组件在 Citrix Cloud 上置备并由 Citrix 管理。

RemotePC-RA-Image-6

云置备的 Delivery Controller 与本地 Cloud Connector 通信,以更新资源状态和 Active Directory 进行身份验证。Citrix 管理员使用 Citrix Cloud 门户管理 Virtual Apps and Desktops 环境和授权。“Virtual Apps and Desktops”页面上的管理按钮允许管理员启动 Citrix Studio 来管理环境。使用 Citrix Studio,可以创建用于 Remote PC Access 的计算机目录和交付组以及 Citrix 策略以保护环境。

RemotePC-RA-Image-7

Citrix Cloud 门户中的“监视器”选项卡允许 Citrix 管理员访问 Citrix Director 控制台,通过会话控制、报告、警报等功能监视应用程序和桌面基础结构。

资源层

此图层捕获有关最终用户从 Citrix 环境访问的资源的信息。

资源层侧重于部署中所有 Office PC 的位置,称为 Citrix Cloud 上的资源位置。资源位置是客户的 Citrix 工作负载和其他操作工具所在的位置,无论是公有云还是私有云、分支机构还是数据中心。资源位置包含不同的资源,具体取决于客户正在使用的 Citrix Cloud 服务以及他们希望向订阅者提供的服务。

Citrix Cloud 可以有多个用于云订阅的资源位置。安装在办公室 PC 上的 Citrix Virtual Delivery Agent 使用 Cloud Connector 注册 PC 的状态。Cloud Connector 帮助将资源状态更新到 Citrix Cloud 上的 Delivery Controller。网络管理员配置 Office PC 与 Cloud Connector 通信所需的防火墙规则。

RemotePC-RA-Image-8

Citrix 管理员可以为 Remote PC Access 创建多个计算机目录和交付组,以便按位置、部门或其他因素标识办公室 PC。可以使用 Citrix Cloud 中的 Citrix Director 控制台监视所有这些资源。

平台层

此图层介绍用于 Citrix 环境的组件和云 Provisioning 方法,重点介绍硬件、存储和虚拟化详细信息。

在 Remote PC Access 的此体系结构中,核心控制基础结构组件位于 Citrix Cloud 中,并由 Citrix 管理,因此要求仅在数据中心部署 Cloud Connector,以便 VDA(Office PC)可以与 Cloud Connector 通信以注册其状态与 Citrix Cloud。

要托管 Cloud Connector 虚拟机,管理员会使用所需资源量部署服务器硬件。Citrix 管理员在服务器硬件上安装和配置 Citrix Hypervisor 拟机管理程序,以创建适用于 Cloud Connector 的虚拟机。创建虚拟机后,Citrix 管理员将从虚拟机访问 Citrix Cloud 门户,并使用其订阅帐户安装 Cloud Connector。

RemotePC-RA-Image-9

操作层

此层侧重于管理资源位置中 Citrix 工作负载和 Remote PC Access 桌面所需的工具或组件。

对于 Citrix Cloud 体系结构,关键工具是用于访问 Citrix Cloud 上托管的控制基础结构的云门户。通过云门户,管理员可以访问 Citrix Studio 和 Citrix Director 控台。Citrix Studio 可帮助管理员配置计算机目录、交付组和 Citrix 策略。

Citrix Director 有助于监视完整的 Citrix 环境。使用云门户,管理员可以监视 Cloud Connector 状态,还可以帮助配置各种身份验证方法和不同的访问方法。

利用本地部署实现 Remote PC Access 的概念体系结构

具有本地部署的 Citrix Remote PC Access 的概念体系结构如下所示。

RemotePC-RA-Image-10

让我们查看针对此体系结构上每个层的本地部署的远程 PC Access 解决方案的设计框架,以了解工作流程。

用户层

此图层描述 Citrix 环境的最终用户以及用于连接到办公室资源的终端设备。

用户通过使用 Citrix Remote PC Access 解决方案通过 Internet 远程连接到其办公室电脑。用户使用其个人设备(如台式机、笔记本电脑和平板电脑设备)连接到他们的办公电脑,因此建议在个人终端设备上安装最新的 Citrix Workspace 应用客户端。此外,用户可以使用 HTML5 版本的 Workspace,他们无法在设备上安装完整版本的 Workspace 应用程序。

用户通过浏览器导航到本地 Citrix Gateway URL https://citrix.company.com,以便通过 Internet 从其终端设备访问办公室 PC 和其他资源。登录页面显示给用户,以便使用多重身份验证验证其身份。经过身份验证后,用户会显示资源页面,其中显示分配的应用程序和桌面。用户单击 Remote PC Access Office Desktop 图标以启动桌面。安装在端点设备上的 Citrix Workspace 应用程序会启动桌面,并提供无缝且最佳的 HDX 体验,就像用户在办公室工作一样。

RemotePC-RA-Image-11

访问层

此图层描述了最终用户如何连接到 Citrix Remote PC Access 环境,并提供了本地部署访问方法的设计详细信息。

用户访问为 Citrix Virtual Apps and Desktops 解决方案配置的现有 Citrix Gateway URL (https://citrix.company.com) 以访问 Remote PC Access。导航到 Citrix Gateway URL 时,用户会看到一个登录页面,其中包含多种身份验证方法,包括 Active Directory。Citrix Gateway 支持各种身份验证方法,请参阅产品文档了解完整详细信息。

RemotePC-RA-Image-12

验证凭据后,将向用户显示传统的 Citrix StoreFront/Workspace 资源页面,用户可以在其中访问分配的虚拟应用程序、桌面和 Remote PC Access Office。当用户选择要启动的 Remote PC Access(办公室 PC)时,用户使用 Workspace 应用程序通过 SSL 连接到带 HDX 的网关。HDX 连接是通过 SSL 从用户的个人设备与本地 Citrix Gateway 建立的,然后通过 TCP 端口 1494/2598 连接到 Office PC,以提供无缝的 HDX 体验。

控制层

此图层描述了用于支持和控制 Citrix 环境的管理组件的详细信息,其中包括本地 Citrix 环境的站点设计。

本地部署的控制层包括支持整体 Citrix 解决方案的所有基础结构相关组件,其中包括 Citrix Delivery Controller、SQL 数据库和许可。

RemotePC-RA-Image-13

只需通过选择 Remote PC Access Office 创建计算机目录和交付组,即可通过 Remote PC Access Office 轻松配置现有 Virtual Apps and Desktops 部署。

客户还可以选择为 Remote PC Access 提供专用环境,方法是通过部署新的传递控制器和新的 Remote PC Access 站点、许可证和 SQL 数据库,这些数据库可以与现有 StoreFront 和 Citrix Gateway 集成以实现统一和无缝访问。使用 Citrix Studio,可以创建用于 Remote PC Access 的计算机目录和交付组以及 Citrix 策略以保护环境。

RemotePC-RA-Image-14

资源层

资源层捕获有关办公室 PC 驻留在企业网络中的位置以及如何为 Remote PC Access 配置这些计算机的信息。

在此体系结构中,Office PC 驻留在客户环境中的 LAN 段上。这些办公室 PC 与 Virtual Delivery Agent (VDA) 一起安装,以便向本地 Delivery Controller 注册。Citrix 管理员可以配置 Remote PC Access 计算机目录和交付组,以便为最终用户启用访问权限。

VDA 的部署可以由现有的电子软件交付 (ESD) 系统进行管理,如 Microsoft System Center Configuration Manager (SCCM)。升级的最佳做法是重新启动、卸载 VDA 软件、重新启动、安装最新的 VDA,然后重新启动最终时间。

RemotePC-RA-Image-15

Citrix Director 使 Citrix 管理员能够监视 Remote PC Access 环境及其现有 Citrix Virtual Apps and Desktops 环境。

平台层

此图层介绍了主要用于硬件、存储和虚拟化详细信息的 Citrix 环境的硬件组件和云 Provisioning 方法。

对于本地环境,平台层涵盖了托管核心控制组件的服务器硬件要求。核心组件包括两个或多个 Delivery Controller、一个许可证服务器、两个用于配置群集的 SQL 数据库的虚拟机或“始终打开”、一个用于 Citrix Director 的虚拟机和其他组件。

RemotePC-RA-Image-16

为了托管这些组件,企业管理员已部署了具有大量资源的服务器硬件。Citrix 管理员在服务器硬件上安装并配置了 Citrix Hypervisor,以便为所有组件创建虚拟机。创建虚拟机后,Citrix 管理员已配置 Remote PC Access 站点。StoreFront 配置了新的 Delivery Controller,以枚举最终用户的 Remote PC Access 资源。

操作层

此层侧重于在资源位置中管理 Citrix 工作负载和 Remote PC Access 桌面所需的工具和组件。 对于本地环境,操作层侧重于 Citrix Studio 和 Citrix Director 等工具,这些工具有助于控制基础结构和监视整个 Citrix 环境。

Citrix Studio 可帮助管理员创建多个计算机目录和交付组,并将 Citrix HDX 策略应用于 Remote PC Access 解决方案。Citrix Director 有助于监视环境。

来源

此参考体系结构的目标是帮助您规划自己的实施。为了简化这项工作,我们希望为您提供源图,您可以在您自己的详细设计和实施指南中进行调整:源图

引用

技术要求和注意事项

Remote PC Access 安全注意事项

Remote PC Access 使用案例视频