技术简报:Citrix 桌面即服务 (DaaS)
概述
Citrix 桌面即服务 (DaaS) 使您能够安全地向任何设备提供高性能的虚拟应用程序和桌面体验。该解决方案由 Citrix 托管的管理服务运行,无论终端节点在哪个操作系统上运行,都可让最终用户从中心位置安全地访问 Windows 和 Linux 应用程序和桌面。
用户获得灵活性和一致性。它们不再绑定到特定的终端节点。
IT 部门也可以从这种混合云产品中获益。首先,您可以获得数据安全和 IP 保护,因为您的工作负载是由您托管和管理的。即使所有工作负载都在本地托管,也可以从 Citrix Cloud 服务部署和管理桌面和应用程序。我们的管理工具集使您能够随着实施的发展将部署到云和内部位置。您可以根据使用案例方便地托管应用程序。此外,您可以根据自己的业务需求迁移到云端。
许多本地虚拟应用程序和桌面环境已经过时,因为管理员没有时间手动解决修补程序和升级问题。过时的环境不仅会降低用户体验,而且还会对组织构成安全威胁。Citrix DaaS 使您能够保持对应用程序、策略和用户的完全控制。但是,您将控制平面维护、修补和升级卸载到 Citrix。这可以确保您的环境始终保持最新状态。
已切换到 Citrix Cloud 服务的客户可以快速扩展其环境,灵活应对意外的业务状况,并轻松部署新功能。所有这些都不必部署新的基础架构。
为什么要迁移到 Citrix DaaS
迁移到 Citrix DaaS 可以让 IT 专注于业务需求,最终用户可以利用最新的特性和功能。Citrix Cloud 服务可帮助您按照自己的节奏过渡到云。借助混合、多云方法,您可以灵活地选择适当的数据中心或云来托管每个应用程序。
Citrix DaaS 不受云和虚拟机管理程序的限制。您可以避免锁定,为组织提供真正的资源灵活性。Citrix Cloud 服务为您的企业提供了响应灾难恢复或业务连续性事件所需的敏捷性,而无需部署新的基础架构。这些服务还允许您调整工作空间,以快速轻松地应对新的用例。您可以增强对所有 Citrix 基础架构的可见性和控制力。下面列出了使用 Citrix DaaS 的一些原因。
全球可用性
Citrix Cloud 部署在全球多个区域,并使用行业最佳实践进行设计,以实现高度的服务可用性(您可以在 产品文档中阅读有关当前 SLA 的更多信息)。为了确保最佳的用户体验,可以使用 Citrix Gateway 服务来部署 Citrix DaaS。Citrix Intelligent Traffic Management (ITM) 可确保快速可靠的会话。
在传统的本地环境中,客户构建和设计环境以包含多个站点。这可以确保最终用户即使停机也能访问其应用程序和桌面。由于 Citrix Cloud 可在世界各地的多个接入点 (POP) 中使用,因此它提供了最佳的正常运行时间,并且无需管理员在多个站点进行部署。
Citrix Gateway 服务在世界各地的多个 POP 中使用 ITM 运行。如果出于任何原因 POP 关闭或连接降级,Citrix ITM 会响应来自下一个最接近 POP 的后续域名系统 (DNS) 查询。更多信息请 点击此处。
Citrix Cloud 在全球拥有业务。在全球范围内,您可以选择位于中心的控制平面区域来为用户提供服务。您可以在美国、欧盟或亚太地区之间进行选择,以确保最佳性能。您已发布的应用程序和桌面可以托管在全球任何位置。策略控制强制数据主权并保护知识产权。
混合云
Citrix DaaS 允许您在混合部署中一起管理本地数据中心和公有云工作负载。Citrix DaaS 允许您连接到公有云 Microsoft Azure、Amazon (AWS) 和 Google Cloud,以及 Citrix Hypervisor、 Microsoft Hyper-V 和 VMware vSphere 等本地虚拟机管理程序。通过允许混合、多云方法,Citrix 可让您灵活地在全球不同的资源位置部署不同的应用程序。
您可以根据用户组、地理区域、成本或可用容量选择对您的业务最有意义的托管位置或类型。单个 Workspace 最终用户可以无缝访问托管在不同后端资源位置(例如云或内部)上的应用程序。无论应用程序从哪个来源启动,体验都是一样的。
映像管理
复杂的配置系统允许 IT 人员将 Citrix 部署扩展到成千上万的用户。管理员可以选择使用 Machine Creation Services (MCS) 或 Citrix Provisioning Services (PVS) 创建计算机目录。这些工具可帮助管理员在整个生命周期中维护映像,并确保即使需要安装修补程序或新应用程序也能保持一致性。MCS 的操作方法是克隆主映像以在用户访问的目录中创建相同的 VM。Citrix Provisioning 是一种将操作系统映像流式传输到虚拟机的流技术。
Citrix 的 App Layering 技术允许在不同的虚拟机管理程序或平台上使用相同的映像和应用程序。它缩短了管理 Windows 应用程序和映像所需的时间。通过将操作系统、平台工具和应用程序分成不同层来节省时间。当需要更新单个组件时,它会传播到具有该特定层的所有图像中。App Layering 显著减少了映像蔓延,节省了维护环境的宝贵时间。
还有更多方法可以大规模实现虚拟化的成本效益。用户个性化层 在非持久性虚拟环境中提供基于用户的自定义设置。用户层为用户提供模仿专用桌面的体验,同时提供非持久性 Windows 映像的管理和成本节约。
在这种类型的部署中,将为用户的桌面配置共享 Windows 实例。用户登录时,将生成包含其特定自定义设置的用户层。此用户层允许他们的配置文件设置、数据和本地安装的应用程序保留在便携容器中。当用户注销时,桌面会话将被销毁。但是,单个数据会在下次登录时保留并无缝应用。无论用户是被分配相同还是不同的后端虚拟机,都会发生这种情况。
您可以启用以下用户层:
- 完整用户层: 包括用户的所有数据、设置和本地安装的应用程序存储在用户层中
- Office 365: 对于桌面操作系统,它只保存用户的 Outlook 数据和设置
- 会话 Office 365: 对于服务器操作系统,它只保存用户的 Outlook 数据和设置
在此处查找有关用户层的 更多信息。
Azure 上的多会话窗口
如果您的目标是最大限度地利用Microsoft 授权,那么 Citrix 将通过针对体验、安全性和选择的增强功能来扩展 Microsoft Azure 虚拟桌面平台。最终用户可以获得熟悉的 Windows 10/11 体验,IT 部门仍然可以利用多用户操作系统 (OS) 的可扩展性。Citrix 管理员可以在 Azure 上使用多会话 Windows,同时使用 Citrix 强大的管理工具、优化的 HDX 和网络功能。Citrix 与Microsoft 的长期合作伙伴关系为客户将容量转移到云提供了经济高效的方法。Citrix AutoScale 等技术通过在固定容量数据中心和基于消费的灵活云之间平衡工作负载来节省成本。AutoScale 旨在自动管理 Citrix 环境中的虚拟机以降低成本。您可以在此处找到有关 Autoscale 的 更多信息。
业务连续性和灾难恢复的敏捷性
通过使用 Citrix Cloud 控制平面,管理员能够快速扩展和使用现有映像来扩展到云托管的工作负载。无需投资更多的基础设施,就可以做到这一点。
为业务中断做好准备(无论是计划内还是计划外)通常意味着最终用户必须长时间远程工作。考虑到这一点,业务连续性计划需要设计为快速扩展、对最终用户体验的影响不大,并符合公司的安全要求。借助 Citrix DaaS,您可以使用控制平面将更多用户聚集到混合云中,而无需建立其他基础架构。有关 Citrix 如何帮助您制定业务连续性计划的更多信息,请 点击此处。
Citrix Cloud 架构旨在处理业务中断期间的多个服务中故障。通过使用多个区域和数据中心,Citrix Cloud 在可用性受到计划外事件威胁时“始终准备就绪”。
主动监控您的环境
Citrix Analytics 是一项直观的分析服务,是 Citrix Workspace 的组成部分。Citrix Analytics 提供两种功能:性能分析和安全分析。机器学习和高级算法使此解决方案能够提供切实可行的见解。Citrix Analytics 可跨用户、终端节点、网络流量和文件收集指标。安全和性能分析都可以通过单个控制台进行管理。
Security Analytics 从不同 Citrix 产品收集数据并生成可操作的见解,以保护您的环境免受恶意或受损用户的侵害。它会持续评估最终用户的行为,并发现与正常行为的偏差。Security Analytics 可确保您的企业数据始终受到保护。
性能分析使您能够跟踪、聚合和查看从最终用户会话中收集的关键绩效指标。通过获得这些见解,您可以主动调整环境,以确保最终用户获得最佳的用户体验 (UX)。有关分析的更多信息可以 在这里找到。
简化部署
在典型的本地虚拟应用程序和桌面部署中,管理员发现自己管理多个网络设备、配置防火墙规则和处理公有 IP 地址,同时跨多个站点复制配置。在许多组织中,Citrix 团队不管理网络。这增加了复杂性,需要团队之间进行协作与合作以部署和跟踪变更。
使用 Citrix Gateway 服务迁移到 Citrix DaaS 使得 IT 能够为所有用户提供相同的体验。无论他们是员工、合作伙伴、第三方供应商还是承包商。对公共 IP 地址和 SSL 证书的需求得到缓解。更改防火墙规则的必要性也是如此。
无需管理网络设备,也无需担心安装或升级。总体而言,除了维护初始环境之外,部署初始环境更简单,也不太容易出错。下面是通过将 Citrix Gateway 卸载到 Citrix Cloud 而被删除的某些管理方面的示例。
此外,将您的环境迁移到 Citrix DaaS 可确保环境中的 Citrix 技术始终处于最新状态。因此,IT 管理员专注于您的业务需求,但您的用户仍然可以利用最新的特性和功能。Citrix Cloud 持续部署新功能、安全增强功能和性能优化。
下图显示了 Citrix 管理的内容以及客户在典型 Citrix 服务部署中管理的内容。
通过在客户管理的资源位置托管虚拟交付代理 (VDA),Citrix Cloud 控制平面可访问的数据和信息量是有限的。控制平面唯一可以访问的是元数据(计算机名称、应用程序名称、应用程序快捷方式等)。这确保了知识产权的安全。客户资源位置和 Citrix Cloud 控制平面之间的所有通信都通过 TCP 协议使用 HTTPS 端口 443 进行加密。所有连接都是出站的。不接受入站连接。Citrix 仅收集对任何潜在问题进行故障排除所需的日志。
Citrix管理的组件:Citrix 管理的所有组件都保持高度可用。
- Studio: 用于配置环境的管理控制台
- Director: 使 IT 支持和帮助台人员能够对问题进行故障排除的监控工具
- 许可证服务器: 管理环境许可证并提供使用统计信息的组件
- 工作区配置: 允许您为用户的工作区创建配置和自定义设置的设置集合
- Delivery Controller: 通过 Cloud Connector 进行通信以对应用程序和桌面进行负载平衡、对用户进行身份验证、代理或优先
- SQL: 用于存储控制器数据的服务器数据库
- Cloud Connector: Citrix Cloud 与客户资源位置之间的通信渠道。这些都托管在客户的每个资源位置,但会从 Citrix Cloud 服务推送计划更新。 (客户处理的唯一部分是 Cloud Connector Windows 更新和修补)
由客户管理的组件:
- Virtual Delivery Agent: VDA 向 Cloud Connector 注册以代理连接并为用户提供他们需要访问的资源。Citrix DaaS 可以使用当前版本 (CR) VDA 或长期服务版本 (LTSR) VDA(1912 或更高版本)。
- Active Directory: 用于身份验证和授权,Active Directory 对用户进行身份验证,并确保他们能够访问适当的资源。订阅者的身份定义了他们在 Citrix Cloud 中可以访问的服务。此身份来自从资源位置中的域提供的 Active Directory 域帐户。
- 身份提供商: 用户身份的最终权威。支持以下身份提供程序:本地 Active Directory、Active Directory 加令牌、Azure Active Directory、Citrix Gateway 和 Okta。可以 在这里深入了解 Citrix Workspace 如何处理身份和身份验证
- 应用程序和桌面工作负载: Citrix 客户发布的应用程序和桌面实例可以是本地实例、托管在公共云中,也可以混合使用两者。Citrix 提供了许多工具来简化和促进这些会话主机的构建和维护方式。通过允许客户维护会话主持人,知识产权得到保护。
Citrix 或客户可以管理的组件:
- Citrix Gateway: 用于外部用户可以连接到内部资源。Citrix Gateway 既可以在客户的资源位置内部署和管理,也可以在 Citrix Cloud 中进行部署和管理。
- StoreFront: 用作访问应用程序和桌面的 Web 界面。StoreFront 是可选组件,可以安装在客户的数据中心内,或者云托管的 Workspace 可用于实现更多功能。
有关为什么要在本地和云端托管这些组件的更多信息,请参阅 概念架构和流程 部分。
扩展您的工作区
Citrix Cloud 允许您轻松扩展到 Virtual Apps and Desktops 之外,为最终用户提供完整的工作空间。其他 Citrix Cloud 服务允许您使用来自统一位置的应用程序和数据部署、创建和管理工作区。有关这些 Citrix Cloud 服务的描述可以在下面找到:
- Desktops-as-a-Service (DaaS): 提供 Windows、Linux、Web 和 SaaS 应用程序或完整的虚拟桌面。
- Endpoint Management 服务: 通过移动设备管理 (MDM) 或移动应用程序管理 (MAM) 管理端点
- 远程浏览器隔离服务: 隔离网页浏览以保护您的公司网络免受基于浏览器的攻击
- 网关服务: 允许对应用程序和数据进行安全的上下文访问
- Analytics: 收集切实可行的见解,以便主动应对安全威胁、提高应用性能并支持环境的运营
- Application Delivery Management: 从单个集中控制台管理本地或云中的 Citrix 网络部署
目标是为最终用户提供一个完成工作的统一场所。无论它们走到哪里,这个工作区都会跟随它们,因此即使在切换端点或位置时,它们也可以继续下面是用户工作区外观的图片。
正如您所看到的,Citrix Workspace 是一个统一、安全且智能的工作平台,它通过组织、指导和自动化人们完成最佳工作所需的所有活动来改变员工体验。借助 Citrix Workspace,员工可以提高工作效率和参与度,同时 IT 可以获得更多的可见性和控制力,从而简化管理、安全性
供电所需的所有服务都由统一的管理控制台控制。此统一管理员控制台为管理员提供了管理多个 Citrix 服务的更简单的方法它还使他们能够在整个 Citrix 环境中获得宝贵的见解。以下是用于管理 Citrix Cloud 服务的管理控制台的图片。
概念体系结构和流程
如图所示,Citrix DaaS 为 IT 专业人员提供了选择某些组件在 Citrix Cloud 中托管和管理还是由 IT 部署所需的设计灵活性。
使用云托管的工作空间和 Gateway 服务可以简化部署和需要管理的组件。如果您需要高级身份验证方法,则可以将云托管工作区与本地网关结合使用。如果组织环境中的所有身份验证必须在本地进行,则建议在组织的部署中使用内部部署 StoreFront 和网关。
每个组织都不同,因此我们在下面提供了不同的选项和相关流程供考虑。
云托管工作空间和 Gateway 服务
在云托管工作区和 Gateway 服务场景中,Citrix 为您完成了繁重的工作。您的团队不需要花费精力进行部署。Citrix 使环境永远保持不变。
Gateway 服务必须与 Citrix Workspace 一起使用。通过部署 Workspace 和 Gateway 服务,减轻了在 DMZ 中部署 Citrix Gateway 设备的需求,并降低了复杂性。这种情况不再需要公共 IP 地址、防火墙更改和网络设备。导致要管理的组件减少。
此外,Citrix Gateway 服务是一种弹性高的解决方案。Gateway 服务的多个实例部署在不同的地理位置。Citrix Gateway 服务允许在出现故障时将用户重定向到最近的 POP。最佳网关路由可确保用户始终连接到最近的 POP。
您可以在下面找到与此类配置相关的流程。
使用本地网关的云托管工作区
如果客户已在本地部署了网关,则可以利用当前的投资。如果客户在本地使用 Gateway 进行完整 VPN 或 micro VPN 等使用案例,并希望继续将其用于虚拟应用程序和桌面,则可以这样做。本地网关允许使用高级身份验证选项以及使用 RADIUS 的多因素身份验证 (MFA)。
某些使用案例要求客户在本地维护 Gateway,例如,具有需要终端分析 (EPA) 的高度安全环境的客户。EPA 扫描最终用户设备是否有某些安全要求。利用这些信息,它可以确定是否允许他们进入环境以及必须应用哪些策略。
您可以在下面找到与此类配置相关的流程。
本地 StoreFront 和网关
对于希望保留对本地身份验证控制权的组织,StoreFront 和 Gateway 是本地部署的一个不错的选择在这种情况下,最终用户不会将密码输入云服务。此外,某些功能(如本地主机缓存)要求 StoreFront 位于本地。本地主机缓存允许用户在 Cloud Connector 中断与 Citrix Cloud 的通信时继续工作。
如果客户需要更高级的身份验证设置(如联合身份验证),则他们将需要本地 StoreFront 联合身份验证服务 (FAS) 为用户动态颁发证书,使用户能够像拥有智能卡一样登录。FAS 允许 StoreFront 使用各种身份验证协议,如 SAML。
您可以在下面找到与此类配置相关的流程。
交付模式
虚拟应用程序和桌面服务可用于交付不同类型的桌面模型。以下是这些模型的词汇表:
- Windows 应用程序: 运行基于服务器的(多用户)操作系统的 Windows 应用程序界面,可供许多用户访问。
- Linux 应用程序: 在基于服务器的操作系统上运行的 Linux 应用程序界面,许多用户都可以
- 安全浏览器: 封装在兼容浏览器选项卡中的应用程序,交付到用户首选浏览器。
- VM 托管的应用程序: Windows 应用程序界面,运行在基于桌面的(单用户)操作系统上,可供单个用户访问。
- 共享 Windows 桌面: 运行在基于服务器的操作系统上的 Windows 桌面界面,可供许多用户访问。
- 共享 Linux 桌面: 运行在基于服务器的操作系统上的 Linux 桌面界面,可供许多用户访问。
- 池 Windows 桌面: 随机分配的基于桌面的 Windows 操作系统,可供单个用户访问。
- 池 Linux 桌面: 随机分配的基于桌面的 Linux 操作系统,可供单个用户访问
- 个人 Windows 桌面: 静态分配的基于桌面的 Windows 操作系统。(单个用户可以访问)
- 个人 Linux 桌面: 静态分配的基于桌面的 Linux 操作系统(单个用户可以访问)
- Pro Graphics Desktop: 使用基于硬件的图形处理单元 (GPU) 的虚拟桌面,可供单个用户访问
- 远程 PC 访问: 可供远程用户使用的传统 Windows PC
- 本地 VM: 在端点设备上的虚拟容器中运行的桌面
在此处深入了解 VDI 模型的评估。
PoC 指南
有多个概念验证 (PoC) 指南可以帮助您开始使用 Citrix DaaS: