Share via

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用 Citrix Cloud 和 Azure 的混合网络

  • 项目

本文介绍一个参考体系结构,该体系结构演示了具有多个订阅的 Azure 和 Citrix Cloud 环境的主要设计领域和设计最佳做法。

体系结构

以下体系结构图显示了具有多个订阅的 Azure 和 Citrix Cloud 环境。

Diagram of a reference architecture that demonstrates major design areas and design best practices in an Azure and Citrix Cloud multisubscription environment.

下载 Visio 文件。

组件

可以使用以下组件实现此体系结构:

  • Active Directory 域服务 (AD DS) 服务器和自定义域名系统 (DNS) 服务器
  • 网络安全组
  • Azure 网络观察程序
  • 通过默认 Azure 虚拟网络 路径的出站 Internet
  • 用于与本地建立混合连接的 Azure ExpressRoute 或 Azure VPN 网关
  • Azure 专用终结点
  • Azure 文件存储存储帐户或Azure NetApp 文档比较配置文件存储选项
  • Azure Key Vault

此方案还包括 Azure 登陆区域中的以下 Citrix 组件:

  • Citrix Cloud 连接or 在 Citrix Cloud 与资源位置之间建立连接。
  • Citrix 虚拟交付代理(VDA) 安装在托管应用或桌面的主映像或目标设备上。 此代理可将这些资源的连接、预配和业务流程作为持久性或非持久性计算机。 VDA 与物理或虚拟设备和 Windows Server、Windows 客户端或 Linux OS 兼容。
  • Citrix 工作区 是一项云服务,可安全地访问与最终用户角色相关的信息、应用和其他内容。 Citrix Workspace 集成了 Azure 和本地资产,使你能够从任意位置在任何设备上统一访问一个位置中的所有用户资源。

可选 Citrix 组件

Azure 登陆区域中的以下 Citrix 组件是可选的。 如果需要高级功能,请考虑这些组件。

  • Citrix 联合身份验证服务为用户动态颁发证书,允许他们像拥有智能卡一样登录到 Active Directory 环境。 此服务在使用基于安全断言标记语言(SAML)的身份验证时启用单一登录。 可以使用广泛的身份验证选项和第三方标识提供者,例如 Okta 和 Ping。
  • Citrix StoreFront 是 Citrix Workspace 的替代内部用户访问点。 StoreFront 是自我管理的,可跨多个本地和 Azure 环境无缝聚合资源。 直接迁移方案通常使用 StoreFront 在将工作负载移动到 Azure 时维护对现有 Citrix 部署的用户访问权限。
  • Citrix ADC(NetScaler) 是 Citrix 工作区和网关服务的替代外部用户接入点。 Citrix ADC 是 Azure 租户中的自管理虚拟设备,可为外部连接和身份验证提供安全代理。 可以将 Citrix ADC 与 StoreFront 或 Workspace 集成。 直接迁移方案通常使用 Citrix ADC 在将工作负载移动到 Azure 时保持对现有 Citrix 部署的用户访问权限。
  • Citrix 预配 是一种基于网络的映像管理解决方案,可在 Azure 租户中部署,以实现多达数千台非永久性计算机的可缩放部署。 Citrix 预配通过 Azure 虚拟网络流式传输集中式映像,支持快速更新和降低存储要求。
  • Citrix 应用分层设备是托管管理控制台的应用分层技术的中心组件,允许创建和管理层、层分配和图像模板。 应用分层有助于管理单个 OS 和应用实例,并从层撰写映像,从而大大减少了具有许多黄金映像的环境中的工作。

Citrix 设计注意事项

Citrix TechZone 上提供了 适用于 Microsoft Azure 上的 Citrix DaaS 的设计指南 - 适用于 Microsoft Azure 上的 Citrix DaaS 的设计指南。 该指南重点介绍了 Citrix 技术的系统、工作负荷、用户和网络注意事项,这些注意事项符合云采用框架设计原则。

Azure 上的 Citrix 解决方案需要每个用户的吞吐量,各种协议和端口以及其他网络注意事项。 必须在灾难恢复方案中适当调整所有网络设备(如 Citrix ADC 和防火墙)的大小,以处理负载增加的情况。 有关详细信息,请参阅 设计决策:Azure 特定注意事项

网络分段

Citrix 还提供了有关 Azure 网络分段和逻辑分段子网的指导。 查看有关 Citrix 工作负荷的网络分段指南时,请使用以下指南来帮助进行初始规划:

按工作负荷类型细分

创建单独的单会话和多会话虚拟网络或子网,以实现每个网络类型的增长,而不会影响其他类型的可伸缩性。

例如,如果使用虚拟桌面基础结构(VDI)填充共享多会话子网和单会话子网,则可能需要创建新的托管单元来支持应用程序。 新的托管单元需要创建多个计算机目录来支持缩放应用程序,或将现有应用程序目录迁移到新子网。

如果将 工作负荷订阅 用作多订阅体系结构的一部分,请了解每个 Azure 订阅虚拟机数(MCS)的 Citrix 计算机创建服务(MCS) 限制 。 在虚拟网络设计中考虑这些限制,并在计划 IP 寻址考虑这些限制。

按租户、业务部门或安全区域细分

如果运行的是多租户部署(例如 Citrix 服务提供商体系结构),建议在网络或子网之间隔离租户。 如果现有的安全标准需要网络级别的特定隔离要求,请考虑隔离组织内的单独业务部门或安全区域。

根据整体环境复杂性增加的影响,将特定于工作负荷的网络以外的业务部门分段权衡。 此方法应该是例外,而不是规则,并应用正确的理由和投影的规模。 例如,可以为支持财务的 1,000 名承包商创建一个网络,以满足标准单会话 VDI 网络以外的安全需求。

可以使用 应用程序安全组 仅允许特定 VM 访问共享虚拟网络上的业务单元应用程序后端。 例如,可以限制客户关系管理(CRM)后端对营销在多部署 VDA 网络中使用的 CRM 计算机目录 VM 的访问。

后续步骤

若要详细了解 Azure 网络最佳做法以及如何根据隔离、连接和位置要求规划虚拟网络,请参阅 “规划虚拟网络”。

查看特定于 Azure 上 Citrix 部署的管理和监视的关键设计注意事项和建议。