技术简报:适用于 Azure 的Citrix DaaS 标准

适用于 Azure 的 Citrix DaaS 标准版是一款交钥匙的微软 Azure 托管解决方案,用于交付虚拟桌面和应用程序。管理员可以提供 Windows 10 多会话桌面、Windows 10 企业版和 Windows 7 ESU 单会话桌面。此外,只需点击几下鼠标,Windows Server 2008 R2、2012 R2、2016 和 2019 操作系统会话或使用 GUI 界面在上述任何操作系统上运行的应用程序。

管理员可以扩展组织的本地部署以突增到 Azure。管理员可以向承包商或第三方用户提供访问权限,而无需在自己的环境中启动计算机。它还可用于设置需要根据需要进行的培训实验室或开发测试设置。

对于进行合并或收购的公司来说,支持员工入职对于成功至关重要。适用于 Azure 的 Citrix DaaS 标准版可以帮助快速提供对关键应用程序和桌面的访问权限,这些应用程序和桌面是引入新员工并保持其工作效率所必需的。

因为它是可以通过每月订阅订阅的桌面即服务。如果组织选择使用 Citrix 托管 Azure 处理工作负载,Citrix 将为服务和 Azure 资源消耗提供单一账单。

使用此选项,美国、欧盟和亚太地区的组织可以在全球四个 Azure 地点部署 VM:美国东部、美国西部、西欧和澳大利亚东部(以及更多即将推出)。工作负载位置与 Azure 中 Citrix Gateway 服务的 11 个全球存在点 相结合,有助于优化 HDX 交付体验。用户到达 Gateway PoP 后,流量将通过超快速 Azure 骨干重定向到最近的工作负载位置。

Citrix 现在允许客户和合作伙伴使用自己的 Azure 订阅以及适用于 Azure 的 Citrix DaaS 标准版。现在,除了应用 Microsoft 的预留实例定价选项外,客户和合作伙伴都可以灵活地使用任何 Azure 区域或 VM 类型。

标准部署模型和身份验证流程如下所示:

适用于 Azure 服务的Citrix DaaS 标准身份验证流程

用户通过安装了相应 Citrix Workspace 应用程序的端点设备连接到工作区。或者,通过登录工作区 URL,从浏览器中使用适用于 HTML5 的 Citrix Workspace 应用程序。

身份验证从用户的设备(提供凭据的位置)流向 Gateway 服务,后者根据客户 Azure 订阅中的 Azure Active Directory 验证相同。(身份也可能基于本地 Active Directory。通常,管理员会使用 Azure AD Connect 将本地广告与 Azure AD 同步。)

用户进行身份验证后,Gateway 服务会将用户重定向到相应的 Workspace。如果用户随后从 DaaS 标准目录中选择资源,则用户的请求将通过托管桌面服务和云连接器路由到相应的 VM。然后,用户将单独登录到 Azure 中的 VM,用户将登录到会话。会话将使用 HDX 协议重定向到用户。

部署方案

为了支持多种拓扑,组织可以从众多部署方案中选择一个选项,分为两个主要类别:

1) 非域加入的工作负载 2) 已加入域的工作

非域加入的工作负载

在此类别中,工作负载(即在 Azure 中运行的 Windows 计算机)未加入域。此类部署适用于概念验证、开发/测试设置或承包商桌面。此外,适用于根本没有创建 Active Directory 并使用 Azure AD 标识的小型组织。

由于用户和计算机身份不在同一个域/工作组中,我们需要一种将用户 ID 映射到计算机的方法。该映射允许用户配置文件映射等。包装令牌封装用户 ID 令牌并使用(Citrix 托管或组织)Azure AD 或组织的 AD。此包装令牌用于为计算机上的用户身份创建映射帐户。

用户的本地映射帐户是通过使用存储在 Azure AD 或组织 AD 中的数据创建的,并安全地存储关联的密码。此过程由特权服务完成。如果这是用户第一次登录计算机,则该服务为计算机上的用户创建一个帐户。当用户使用首选标识向 Workspace 进行身份验证时,将检索本地映射帐户的用户名密码信息。检索到的凭据反过来用于登录计算机。

在非域加入的工作负载部署模型中,用户帐户有 3 个选项:

1) Citrix 托管 Azure Active Directory 中的用户帐户

在这种情况下,用户的帐户驻留在 Citrix 为特定部署创建的 Azure Active Directory 订阅中。用户帐户由组织中的管理员通过 URL(允许访问 Azure AD)进行管理。该 URL 位于 Citrix Cloud 控制台的 身份和访问管理 部分。用户的 Azure 帐户用户名(由组织管理)用于登录工作区。此部署模型有助于快速执行 PoC,让整个环境能够快速站立起来。用于展示管理员设置解决方案的轻松性。

部署场景 1

2) 客户 Azure Active Directory 中的用户帐户

在这种情况下,用户帐户位于客户的 Azure AD 订阅中。这种情况在银行、金融服务和保险行业以及高度监管的行业很常见。在这个领域,客户希望在不使用组织的公司域的情况下授予承包商或临时第三方用户的访问权限,这有助于在承包商环境和员工环境之间建立一个障碍。使用 Azure MFA 启用多重身份验证。用户帐户的管理由组织的 Azure AD 管理员完成。

部署场景 2

3) 组织内部部署 Active Directory 中的用户帐户

在这种情况下,用户的帐户位于客户的本地数据中心内的 Active Directory 中。为了在服务与组织 AD 之间建立连接,客户的数据中心安装了 Windows 2012 R2/2016 服务器虚拟机(部署在 HA 对中),称为 Citrix Cloud Connector。上面安装了允许基于 TCP 443 的出站连接到 Citrix DaaS 适用于 Azure 的标准服务的软件。在这种情况下,用户无法访问公司内部部署数据中心中的任何配置文件数据和文件服务器。本机双因素身份验证可使用基于时间的一次性密码进行。

部署场景 3

已加入域的工作

在此类别中,计算机(即在 Azure 中运行的 Windows 计算机)加入到组织的域中。此类设置支持典型的虚拟桌面基础架构使用案例,例如将应用程序和桌面集中在几个位置,远程用户可以在任何设备上随时随地访问这些应用程序和桌面。在这种情况下,有 2 种部署方案:

1) 使用 Azure Active Directory 域服务和组织 Azure Active Directory 中的用户帐户加入的域

在这里,用户的帐户位于组织的 Azure Active Directory 中,计算机在客户的 Azure 订阅中加入 Azure Active Directory 域服务 (AADDS)。为了使计算机能够连接到 AADDS,客户需要在订阅中从 Citrix DaaS Azure 订阅中的网络设置 Azure VNet 对等互连到自己的 Azure 网络。管理员可以通过组织的 Azure Active Directory 管理用户和计算机帐户。

部署场景 4

2) 域通过 Azure Active Directory 域服务和组织内部部署 Active Directory 中的用户帐户加入组织的本地 Active Directory

在这里,用户的帐户位于组织的本地 Active Directory 中。Active Directory 使用 Azure AD Connect 与客户 Azure 订阅中的 Azure AD 进行同步。此设置允许通过同步的 Azure AD 对用户的身份进行身份验证。为了使计算机能够连接到本地 AD,客户需要在订阅中从适用于 Azure 的 Citrix DaaS 标准版中的网络设置 Azure VNet 对等互连到自己的 Azure 网络。需要再次连接到数据中心,以访问个人资料和应用程序数据以及文件服务器。第二种连接需要 SDWAN 或站点到站点 VPN 或快速路线。我们建议使用 SDWAN,因为它是一个更可靠、更具成本效益的解决方案。

部署场景 5

3) 已加入的域以及组织内部部署 Active Directory 中的用户帐户

在这里,计算机和用户的帐户都位于组织的本地 Active Directory 中。Citrix DaaS 的 Azure 订阅(已安装 SD-WAN 虚拟设备)和客户的本地(已安装 SD-WAN 分支设备)位置使用 SD-WAN 相互连接。这些设备由客户使用 Citrix Cloud 中的 SD-WAN Orchestrator 进行管理。此部署最简单(因为无需将本地 Active Directory 与客户的 Azure AD 同步),并利用 SD-WAN 中内置的优化来帮助确保用户获得尽可能最佳体验。

部署场景 6

现在我们已经看到了各种部署选项,让我们来看看其他主要概念。

映像管理

Machine Creation Services (MCS) 用于在控制台中配置工作负载 VM。MCS 配置、启动、停止和删除虚拟机 (VM)。MCS 使用主映像的副本(称为链接克隆)来快速配置虚拟桌面。通过更新映像,然后将该映像用作目录的主映像,可以轻松更新这些克隆。在撰写本简报时,可用的主映像适用于 Win 10 多会话、Win 10 以及 Windows Server 2012 R2 和 2016。

1) Windows 10 和 Windows 7 ESU 是标准的单会话桌面操作系统。它们用于向用户授予对整个 Windows 桌面的访问权限。单个用户可能会也可能不会完全消耗计算资源。

2) Windows 10 多会话是 Azure 中提供的新操作系统,允许多个用户登录到 Windows 10 计算机。此操作系统有助于减少为同一组用户提供服务而必须在 Azure 中启动的计算机数量。此操作系统还有助于充分利用部署的计算机的计算资源。这种类型的计算机不需要 RDS CAL 即可允许多用户访问。

3) Windows Server 2008 R2/2012 R2/2016/2019 是允许多个用户连接到单台计算机的服务器操作系统。其中一个操作系统可用于向用户提供应用程序或提供对桌面会话的访问权限(可以将其蒙皮看起来像桌面操作系统会话一样)。与选项 1 相比,这些操作系统是交付台式机的更便宜的选择。 注意:每个连接到此计算机的用户都需要 RDS CAL 或 RDS SAL。

注意:对于 Windows 7 ESU 和 Windows Server 2008 R2 操作系统,要在映像上安装的 Virtual Delivery Agent 的版本必须是 Citrix Virtual Apps and Desktops 7.15 LTSR。

Master_images_SS

这些预构建的映像只安装了操作系统和 Virtual Delivery Agent(用于管理系统的 Citrix 软件)。他们不会拥有组织为用户提供可用桌面所需的一切。

管理员可以导入其中一个操作系统自己的映像(所有组织应用程序和配置都完成)。或者,使用这些映像之一作为基础从控制台构建映像,以获取所需配置的主映像。

Build_image_SS

请访问此 链接 ,了解 Citrix 和客户之间如何分担维护责任。然后可以更新创建的映像,更新后的映像可用于生成新的 VM。

这些模板中的每一个都可应用于启动时可用的 4 个 VM 大小

Machine_Performance_SS

管理员可以根据工作负载和预期连接到每台计算机的用户数来选择 VM 大小。CPU 较少和 RAM 较少的计算机更适合较轻的工作负载或一次性服务单个会话或两种选项。具有更多 CPU 和更多内存的计算机可以支持更密集的工作负载,或同时支持更多会话,或同时支持更多的会话。

管理员可以选择两种创建目录的方法:快速创建和自定义创建。

快速创建 从加入 Citrix 托管 Azure AD 的 Citrix 托管 Win 10 主映像创建静态 VM(虚拟机上的数据在会话启动期间一直保留)。此目录与组织的公司网络没有连接(因此,企业应用程序无法访问在那里托管的数据)。这种类型的目录更适合 PoC。管理员只能选择计算机的大小和数量以及计算机要进入的区域。

Quick_Create_SS

自定义创建 为管理员提供了各种选项,因此可以创建所需的目录。

管理员可以选择目录类型、创建 VM 的订阅、设置与公司网络的连接、Azure 区域、目录中的存储类型、工作负载和计算机数量以及除 AutoScale 之外要使用的主映像目录的设置。

Custom_Create_SS

可用的目录类型有: 多会话 -此类型适用于 Windows 10 多会话或 Windows Server 2016 操作系统计算机。预计将有多个用户登录到一台计算机。为管理员提供最大限度地利用机器资源和减少为特定数量用户提供服务所需的机器数量的好处。

静态(个人桌面) — 此类型适用于 Windows 7 ESU、Windows 10 和 Windows 2008 R2/2012 R2/2016/2019(服务器 VDI)操作系统计算机。计算机将分配给特定个人,并在重新启动期间保留其数据和状态。该机器旨在随着时间的推移由同一用户使用。

随机(池桌面) — 此类型适用于 Windows 7 ESU、Windows 10 和 Windows 2008 R2/2012 R2/2016/2019(服务器 VDI)计算机。计算机可以分配给请求桌面的任何用户。注销会话后,这些计算机将重置为主映像默认值。因此,它们可以用来向下一个登录的用户提供一个可重复的桌面,例如交给轮班工作人员,他需要与上一班相同的环境,但不需要数据。

Azure 订阅 选项允许管理员选择 VM 的位置。该位置可能位于 Citrix 托管 Azure 订阅或组织的 Azure 订阅中。

网络连接 选项允许管理员选择他们配置为用于将计算机连接到 Azure 订阅的 Azure VNet-Peer 节点。

区域 ” 选项允许管理员选择我们当前支持在中托管 VM 的 4 个 Azure 区域中的一个。

存储 选项使管理员能够在标准磁盘 (HDD) 或高级磁盘 (SSD) 之间进行选择。

选择计算机部分,对于多会话和单会话目录类型,用于选择计算机的选项不同。 多会话目录将提供工作负载下拉列表,我们可以在其中估计每个 VM 可以服务的会话数。

工作负载选项允许管理员从 4 个工作负载选项中进行选择,这使管理员能够了解每台计算机将提供的工作负载类型。具体如下:

workload_options_SS

轻: 每个用户的预期工作负载都很轻,计算机支持 16 个此类会话。

中: 每个用户的预期工作负载为中等,每台计算机支持 10 个此类会话。

繁重: 每个用户的预期工作负载为中等,每台计算机都支持 4 个此类会话。

自定义: 选项为管理员提供了一个下拉列表,供管理员从前面讨论的适用于 Azure 的 Citrix DaaS 标准中的 4 种可用 VM 大小中进行选择。

对于 计算机性能下拉列表中的静态和随机 (单会话目录),管理员可以从前面讨论的 4 种计算机大小中进行选择。

VNet 对等互连

想要在 Citrix 订阅中连接 Azure 托管 VM 的客户需要将它们连接回自己的 Azure 订阅,这些订阅托管 Azure AD 或应用程序和配置文件数据或两者兼有。正如加入域的工作负载的部署方案中所见,Citrix 托管 Azure 订阅(资源位置)需要使 VNet 与组织 Azure 订阅(主机 Azure AD)对等。可以使用右侧菜单中的 “ 网络连接 ” 项进行连接。

VNet_Peering_SS

此处列出了现有的 VNet 对等网络。管理员可以通过单击 + 添加连接来添加新的 VNet 对等体。然后单击 Azure 客户的简易设置链接。只需使用订阅所有者帐户登录并同意提供以下权限。将检索并显示订阅中的网络列表。管理员可以选择需要哪些检索到的连接与 Citrix 托管网络对等。

VNet_Peering_Permissions_SS

用户定义的路线

某些使用适用于 Azure 的 Citrix DaaS 标准服务的组织可能要求传出互联网流量来自已知的静态 IP 地址。由于 Azure 中内置了默认路由机制,源自已部署计算机的流量来自一组随机的公共 IP。解决方案是配置在 NVA 的 WAN 接口上具有静态分配公共 IP 的 Azure 网络虚拟设备 (NVA)。为此,必须在组织的 Azure 订阅上将计算机加入域(加入域的部署方案 1 和 2),并在 Citrix Managed Azure 和客户的 Azure 订阅之间启用 VNet 对等互连。Azure 订阅网络必须有 2 个子网,一个子网包含所有 Azure 资源(称为 LAN),另一个包含外部(传出)IP 地址(称为 WAN)。WAN 子网可能具有较小的网络地址空间,因为它仅用于外部路由。

要使传出 IP 保持静态,管理员必须将其分配给 Azure NVA。随着 NVA 的到位,可以使用额外的功能,包括但不限于 URL 过滤、内容/SSL 检查、威胁检测(如病毒扫描等)

将 Azure NVA 配置为 NAT LAN IP 到 WAN IP。在此链接中的示例中,Windows Server 2016 数据中心版 VM 用于传出 IP。 然后在适用于 Azure UI 的 Citrix DaaS 标准、 网络连接 > 之前创建的 Azure VNet 对等互连 > 路由 选项卡中添加路由。添加指向路由器 LAN IP 的新路由。

用户定义的路线

添加路由后,它会显示在 VNet 对等互连的路由列表中。

AutoScale

使用此功能,管理员可以确保用户的工作负载可用性,同时控制成本。通过基于负载或基于计划的电源管理或两者的组合(当计算机预计不会使用时)来关闭计算机,从而降低了成本。AutoScale 有助于降低在云中运行工作负载的成本。此外,还要确保启动了足够的 VM,以便在需要时处理会话启动请求。

AutoScale_SS

管理员可以根据一天中的时间对目录中的计算机进行强力管理。管理员还可以控制将对空闲或断开连接的会话执行的操作以及发生这些操作的超时时间。

管理员可以设置目录的工作时间(基于时区),然后定义在非工作时间内需要多少 VM。然后我们可以关闭其余 VM,以节省 Azure 的使用成本。AutoScale 还可以在恢复工作时间时调出为会话提供服务所需数量的计算机。当用户尝试再次登录时,将带来很棒的体验。

管理员可以设置空闲会话何时断开连接、注销和关闭电源的超时。

容量缓冲区是当前会话需求的百分比。运行中的计算机的最小数量用于确定我们希望保持打开多少台计算机以便为新的会话请求提供服务。在工作时间和下班后,可以不同地设置待启动的计算机数。在达到此设置中配置的时间之前,管理员还可以使计算机保持关闭电源延迟,以使计算机处于打开电源状态。关机延迟可确保计算机不会因为 AutoScale 而连续打开电源和关闭电源。

管理员可以使用一些预设计划,或者管理员可以创建自定义计划。

监视

管理员可通过 “ 监控 ” 选项卡查看适用于 Azure 的 Citrix DaaS 标准部署。管理员能够了解环境中的情况,以及查看消费模式。管理员可以检测哪些资源的消耗比其他资源更多,以便在容量与需求之间取得平衡了解在某个时间点运行的虚拟机数量是配置 AutoScale 设置的指导。从而在负载预计上升或下降时可用的机器数量最佳。

管理员可以查看桌面使用情况、会话和计算机。

Monitoring_Usage_SS

默认视图是桌面使用情况页面。该页面包含实时活动计算机和会话状态,其中包含一个或多个选定目录中的计算机总数。下图显示了在所选时间段内对一个或多个选定目录处于活动状态的计算机和会话。如果管理员将鼠标悬停在图表中的任何点上,弹出窗口将显示时间点的计数。 此处可用的时间范围为从当前时间开始的 1 天、1 周、1 个月和 3 个月。

Monitoring_Top_10_SS

有两个图表显示了前 10 名频繁用户和 10 大活跃目录。可以根据目录类型(应用程序、多会话和单个会话)筛选这些内容。此处可用的时间范围为从当前时间开始的 1 周、1 个月和 3 个月。

Monitoring_Desktop_Launch_Activity_SS

管理员还可以下载订阅上个月的桌面启动活动报告,该报告将生成 csv 文件。

疑难解答和支持

如果部署中出现问题,管理员可以使用右侧菜单中的 “疑难解 答和支持 ” 部分来解决问题。当管理员尝试创建目录或用户尝试访问其应用程序或桌面时,可能会出现问题。管理员也可以从这里自己打开支持票证。

我们为不同的问题场景提供选项:

TroubleShoot_SS

如果管理员遇到安装程序问题,管理员可以使用称为堡垒主机的计算机对问题进行故障排除。堡垒主机上预先加载了工具。可以在资源位置创建 Bastion 主机(针对计算机创建问题)创建。或者,管理员可以通过 RDP 进入有问题的计算机(如果是会话启动问题)来解决它。

观看此视频,了解适用于 Azure 的 Citrix DaaS 标准的实际运行情况: 技术洞察视频

要了解有关最佳实践的更多信息,请阅读我们的 适用于 Azure 的 Citrix DaaS 标准参考体系结构