技术简报:Workspace Environment Management
简介
Workspace Environment Management (WEM) 使用智能资源管理和 Profile Management 技术尽可能为 Citrix Virtual Apps and Desktops (CVAD) 部署提供最佳性能、桌面登录和应用程序响应时间。WEM 具有多项安全功能,可增强部署的安全态势。这是一个纯软件、不需要驱动程序的解决方案。
体系结构
Workspace Environment Management 可以安装在本地,也可以作为一项服务从 Citrix Cloud 进行访问。
WEM 将配置文件设置推送给运行会话的用户和计算机,它从组织的 Active Directory 中获取数据。
WEM 代理 - WEM 代理在本地和服务部署选项中都很常见。它安装在 WEM 管理的 Windows 会话主机或物理机上。WEM 代理实时监视主机并报告计算机的状态。它接收来自 WEM 基础结构服务的指令,在计算机上应用策略设置并对其进行配置。代理维护设置的本地缓存,以适应无法访问 WEM 服务器/服务的情况。
本地部署
本地 WEM 部署体系结构:
本地体系结构的其他组件包括:
WEM 管理控制台 - 部署在单会话或多会话 Windows 操作系统计算机上,该控制台用于管理 WEM。它与基础结构服务器交互并允许管理员控制各种功能。
WEM 基础结构服务器 - 这些服务安装在多会话 Windows 操作系统计算机上,便于 WEM 部署的各个组件之间的通信和同步。
SQL Server 数据库 - WEM 需要 SQL Server 数据库来存储其设置。如有必要,数据库可以托管在 SQL Server AlwaysOn 可用性组中。
WEM 服务
WEM 服务部署体系结构:
使用 Citrix Cloud 托管的 WEM 服务时,控制和数据库组件托管在云中并由 Citrix 管理。管理控制台、基础结构服务和数据库(托管在 Azure SQL 中)是服务的一部分。从 Citrix Cloud Web 控制台访问 WEM 服务时,可以通过 Manage(管理)选项卡访问管理控制台。
Cloud Connector - Citrix Cloud Connector 是资源位置中的实体与 Citrix Cloud 服务进行通信的渠道。为了提高恢复能力,我们建议在每个资源位置中至少安装一对 Cloud Connector。WEM 服务使用 Cloud Connector 访问客户 Active Directory 并对资源位置中的 WEM 代理进行身份验证。
WEM 代理 - 它使用 Citrix Cloud 消息服务通过 HTTPS 与 WEM 服务进行交互。代理维护设置的本地缓存,以适应网络中断和服务中断。在撰写本文时,单个服务实例可以支持 100000 个 WEM 代理。请查看限制页面,获取每个 WEM 服务实例支持的 WEM 代理的当前数量。
将本地 WEM 迁移到 WEM 服务
迁移包括导出本地 SQL Server 内容并将其上载到服务。运行一个工具包将现有的本地 WEM 数据库迁移到 WEM 服务。该工具包包括一个向导,用于生成包含本地 WEM 数据库内容的 SQL 文件。管理员可以将 SQL 文件上载到 WEM 服务 Azure 数据库。有关详细信息,请阅读迁移到 WEM 服务。
WEM 功能
了解了 WEM 的本地和服务产品的体系结构后,让我们来看看 WEM 为组织提供的功能。有三个主要功能集:
资源管理
为了向用户提供最佳体验,WEM 代理实时监视和分析用户和应用程序的行为。然后,它会智能地调整用户工作区环境中的 RAM、CPU 和 I/O。
RAM 优化
启动了新进程时,它占用的 RAM 超过正常运行所需的 RAM。但总体而言,一旦分配了这些资源,该进程就不会放弃这些资源。WEM 可以实时检测哪些进程是用户关注的焦点。然后,可以回收一部分未对焦的应用程序的 RAM 工作集。据观察,即使这些应用程序重新成为焦点,它们通常也需要从中回收的一小部分 RAM 量。这些操作优化了云中的 RAM 消耗,提高了单服务器的可扩展性。
下图显示了一组会话消耗的内存量,而无论有没有 WEM。
单击此处观看有关 RAM 优化的技术洞察视频。
CPU 优化
如果检测到某个进程占用了 CPU 资源,这不仅会对其中正在运行的会话产生负面影响,还会减慢在同一台计算机上运行的其他会话的速度,甚至影响其他用户的登录时间。
使用 WEM 的 CPU 优化,包括对每个 VM 上运行的进程进行实时监视。当检测到进程占用 CPU 资源(在定义的时间内)时,WEM 会自动降低该进程的优先级。此操作允许其他进程使用 CPU 并减轻服务器负载。当看到该进程在一段时间内恢复到较低的 CPU 消耗状态时,其优先级将重置为正常。
单击此处观看有关 CPU 优化的技术洞察视频。
为了验证 WEM 进行 CPU 优化的效果,在嘈杂的邻居场景中,进行了基于 Login VSI 的规模测试。为了模拟嘈杂的邻居,将不参与 LoginVSI 知识工作者测试运行的用户添加到测试设置中。根据 Azure VM 中的内核数,此用户的会话配置为启动一个进程,该进程占用 3 个 CPU 内核,平均占总 CPU 的 50%-70%。
Windows 10 2004 多会话 VM 在安装了 CVAD 2006、应用了 Citrix Optimizer 以及利用 HDX 的 WEM 代理的情况下进行了测试。为了确定测试结果的基准,使用 Microsoft RDP 作为连接协议运行了相同的测试,并且 VM 进行了 Microsoft 提供的开箱即用优化。
从下表可以看出,包含 WEM 可以抑制嘈杂的邻居占用 CPU 的影响。WEM 包含将 VSImax(计算机上可以支持的用户数量)从 20% 增加到 43%。即使在这种压力下,也导致可以在单个 VM 上运行的用户数量增加。
使用“嘈杂的邻居”场景进行规模细分:
| Azure 大小 | 基线 | Citrix HDX | WEM 可扩展性改进百分比 (%) |
|---|---|---|---|
| D4V3 | 7.3 | 11.3 | 43.0% |
| D3V2 | 12 | 16 | 28.6% |
| D4V2 | 28 | 34.5 | 20.8% |
由于 WEM 减少了 CPU 峰值,从结果中得出的另一个重要推断是,用户的响应时间要好得多。与相同数量的用户的基准(达到 VSImax 的那一刻)相比,Citrix Virtual Apps and Desktops 会话的响应时间缩短了将近 1000 毫秒。
同样,在配备 4 个 vCPU 的两台计算机上,会话中观察到的延迟要短 25%-50%。这两个结果都表明,使用 WEM 时,用户体验要流畅得多,并且更加快速。
登录优化
为了提供最佳登录性能,WEM 服务将常用的 Windows 组策略对象对象、登录脚本和首选项替换为部署在每个虚拟机或服务器上的代理。该代理是多线程的,仅在需要时才将更改应用到用户环境,从而确保用户始终能够尽快访问其桌面。耗时的进程与初始登录过程不同步处理。
单击此处观看有关登录优化的技术洞察视频。
Profile Management
为 Citrix Profile Management 提供管理界面。在 Citrix Profile Management 设置(在“策略和配置文件”中)下,控制台支持为当前版本的 Citrix Profile Management 配置所有设置。
安全功能
WEM 包含多项功能,可增强安全态势并减少部署的威胁面。
应用程序安全性
WEM 的应用程序安全组件是 Microsoft AppLocker 的前端。
使用 Workspace Environment Management 设置应用程序安全策略 (AppLocker) 的过程与使用组策略对象设置应用程序安全策略 (AppLocker) 的过程相同。管理员创建可执行文件、Windows 安装程序、脚本、软件包和 DLL 规则。对于每条规则,相同的选项可用于将规则建立在发布者、路径或文件哈希的基础上。但是,与 AppLocker 不同,WEM 允许管理员选择多个规则并更改分配的用户,从而轻松支持数百种应用程序安全策略。
与基于 GPO 的 AppLocker 方法相比,WEM 策略引擎可确保 AppLocker 策略更一致地应用到所有受管理的会话。
权限提升
在许多情况下,用户需要管理员权限才能安装或运行应用程序。由于大多数组织采用最小权限原则,因此通常不向最终用户授予管理员权限。
在需要的情况下,管理员必须登录系统(物理或通过远程访问)或向用户提供临时管理员密码。这种做法对管理员来说很乏味,或者最终需要创建安全策略的解决方法。
此功能允许管理员暂时将用户的权限提升为本地管理员权限,从而可以安装或运行所需的应用程序。批准的列表中的应用程序可以随此功能进行安装,而阻止列表中的应用程序无法安装并且会记录操作。每条规则都基于可执行文件的路径、发布者或哈希。
添加新规则后,有三个选项可用: 应用到子进程(如果您希望子进程继承权限提升)。
开始和结束时间选项允许将提升限制在特定时间段内。
部署选项
部署 WEM 有三种类型的配置。请使用最适合实际环境的类型。
单个林中的单个域
此配置可以在单个林中有一个域的环境中使用。通常情况下,这个单域包含所有资源和用户对象。因此,在此配置中,管理员只需要部署一组 Cloud Connector 即可使所有设备连接到 WEM 服务。
单个林中的多个域
此配置可以在单个林中存在多个域的环境中使用。由于林中的域可以相互通信,因此,在此配置中,管理员只需要部署一组 Cloud Connector 即可使所有设备连接到 WEM 服务。
不同林中的用户和资源(信任)
在此配置中,出于管理目的,用户和资源驻留在不同的域林中。两个林之间存在信任关系,允许用户登录到另一个林中的资源。在此部署中,管理员需要将 Cloud Connector 部署到每个域林中才能完成 WEM 部署。
配置注意事项
WEM 服务专为大规模企业部署而设计。在服务器端,WEM 服务监视前端与后端组件之间的通信流,并根据传输中的数据动态向上或向下扩展。 在评估 WEM 服务的规模和可扩展性时,计算机大小和 Cloud Connector 的数量很重要。为确保高可用性,根据前面讨论的部署选项,我们建议在每个资源位置至少安装两个 Cloud Connector。
有关确定 Cloud Connector 大小的信息,请参阅 Citrix Cloud Connector。
要了解更多信息,请访问 WEM 产品文档。
有关 WEM 的最新更新,请查看新增内容。