Panoramica tecnica
Citrix Virtual Apps and Desktops sono soluzioni di virtualizzazione che offrono al personale IT il controllo di macchine virtuali, applicazioni, licenze e sicurezza, garantendo al contempo l’accesso ovunque e da qualsiasi dispositivo.
Citrix Virtual Apps and Desktops consente:
- Consentire agli utenti finali di eseguire applicazioni e desktop indipendentemente dal sistema operativo e dall’interfaccia del dispositivo.
- Gli amministratori possono gestire la rete e controllare l’accesso da dispositivi selezionati o da tutti i dispositivi.
- Amministratori che gestiscono un’intera rete da un unico data center.
Citrix Virtual Apps and Desktops condividono un’architettura unificata denominata FlexCast Management Architecture (FMA). Le caratteristiche principali di FMA sono la possibilità di eseguire più versioni di Citrix Virtual Apps o Citrix Virtual Desktops da un unico sito e il provisioning integrato.
Componenti chiave
Questo articolo è particolarmente utile se non hai familiarità con Citrix Virtual Apps and Desktops. Se attualmente disponi di una farm XenApp 6.x o precedente, oppure di un sito XenDesktop 5.6 o precedente, consulta anche Modifiche in 7.x.
Questa illustrazione mostra i componenti chiave di una tipica distribuzione, denominata sito.
Controllore di consegna
Il Delivery Controller è il componente di gestione centrale di un sito. Ogni sito dispone di uno o più Delivery Controller. È installato su almeno un server nel data center. Per garantire l’affidabilità e la disponibilità del sito, installare i controller su più server. Se la distribuzione include un hypervisor o un altro servizio, i servizi del Controller comunicano con esso per:
- Distribuisci applicazioni e desktop
- Autenticare e gestire l’accesso degli utenti
- Gestire le connessioni tra gli utenti e i loro desktop e applicazioni
- Ottimizzare le connessioni degli utenti
- Bilanciare il carico di queste connessioni.
Il servizio Broker del Controller tiene traccia di quali utenti hanno effettuato l’accesso e dove, di quali risorse di sessione dispongono gli utenti e se gli utenti devono riconnettersi alle applicazioni esistenti. Il servizio Broker esegue cmdlet di PowerShell e comunica con un agente broker sui VDA tramite la porta TCP 80. Non ha la possibilità di utilizzare la porta TCP 443.
Il servizio Monitor raccoglie dati storici e li inserisce nel database di monitoraggio. Questo servizio utilizza la porta TCP 80 o 443.
I dati provenienti dai servizi del Titolare del trattamento sono archiviati nel database del sito.
Il Controller gestisce lo stato dei desktop, avviandoli e arrestandoli in base alla richiesta e alla configurazione amministrativa. In alcune edizioni, il Controller consente di installare la Gestione profili per gestire le impostazioni di personalizzazione dell’utente in ambienti Windows virtualizzati o fisici.
Banca dati
Per ogni sito è necessario almeno un database Microsoft SQL Server in cui archiviare le informazioni di configurazione e di sessione. In questo database sono archiviati i dati raccolti e gestiti dai servizi che compongono il Titolare. Installa il database nel tuo data center e assicurati che abbia una connessione persistente al Controller.
Il sito utilizza anche un database di registrazione della configurazione e un database di monitoraggio. Per impostazione predefinita, tali database vengono installati nella stessa posizione del database del sito, ma è possibile modificare questa impostazione.
Agente di consegna virtuale (VDA)
Il VDA viene installato su ogni macchina fisica o virtuale del tuo sito che metti a disposizione degli utenti. Queste macchine forniscono applicazioni o desktop. Il VDA consente alla macchina di registrarsi presso il Controller, il che a sua volta consente di rendere disponibili agli utenti la macchina e le risorse che ospita. I VDA stabiliscono e gestiscono la connessione tra la macchina e il dispositivo dell’utente. I VDA verificano anche che sia disponibile una licenza Citrix per l’utente o la sessione e applicano le policy configurate per la sessione.
Il VDA comunica le informazioni sulla sessione al Broker Service nel Controller tramite l’agente broker nel VDA. L’agente broker ospita più plug-in e raccoglie dati in tempo reale. Comunica con il Controller tramite la porta TCP 80.
Il termine “VDA” viene spesso utilizzato per riferirsi all’agente e alla macchina su cui è installato.
I VDA sono disponibili per i sistemi operativi Windows a sessione singola e multisessione. I VDA per i sistemi operativi Windows multisessione consentono a più utenti di connettersi contemporaneamente al server. Le VDA per i sistemi operativi Windows a sessione singola consentono la connessione al desktop a un solo utente alla volta. Sono disponibili anche VDA Linux.
Citrix StoreFront
StoreFront autentica gli utenti e gestisce gli archivi di desktop e applicazioni a cui gli utenti accedono. Può ospitare il tuo archivio di applicazioni aziendali, che offre agli utenti un accesso self-service ai desktop e alle applicazioni che metti a loro disposizione. Tiene traccia anche degli abbonamenti alle applicazioni degli utenti, dei nomi dei collegamenti e di altri dati. Ciò contribuisce a garantire che gli utenti abbiano un’esperienza coerente su più dispositivi.
Applicazione Citrix Workspace
Installata sui dispositivi degli utenti e su altri endpoint (come i desktop virtuali), l’app Citrix Workspace fornisce agli utenti un accesso rapido, sicuro e self-service a documenti, applicazioni e desktop. L’app Citrix Workspace fornisce accesso on-demand alle applicazioni Windows, Web e Software as a Service (SaaS). Per i dispositivi su cui non è possibile installare il software dell’app Citrix Workspace specifico del dispositivo, l’app Citrix Workspace per HTML5 fornisce una connessione tramite un browser Web compatibile con HTML5.
Studio Citrix
Studio è la console di gestione in cui puoi configurare e gestire la distribuzione di Citrix Virtual Apps and Desktops. Studio elimina la necessità di console di gestione separate per gestire la distribuzione di applicazioni e desktop. Studio fornisce procedure guidate per assisterti nella configurazione dell’ambiente, nella creazione di carichi di lavoro per ospitare applicazioni e desktop e nell’assegnazione di applicazioni e desktop agli utenti. Puoi anche utilizzare Studio per assegnare e monitorare le licenze Citrix per il tuo sito.
Studio ottiene le informazioni che visualizza dal Broker Service nel Controller, comunicando tramite la porta TCP 80.
Direttore Citrix
Director è uno strumento basato sul Web che consente ai team di supporto IT e di help desk di monitorare un ambiente, risolvere i problemi prima che diventino critici per il sistema ed eseguire attività di supporto per gli utenti finali. È possibile utilizzare una distribuzione di Director per connettersi e monitorare più siti Citrix Virtual Apps o Citrix Virtual Desktops.
Il direttore visualizza:
-
Dati di sessione in tempo reale dal Broker Service nel Controller, che includono i dati che il Broker Service riceve dall’agente broker nel VDA.
-
Dati storici del sito dal servizio Monitor nel Controller.
Director utilizza i dati euristici e sulle prestazioni ICA acquisiti dal dispositivo Citrix Gateway per creare analisi a partire dai dati e poi presentarle agli amministratori.
È inoltre possibile visualizzare e interagire con le sessioni di un utente tramite Director, utilizzando Assistenza remota di Windows.
Server di licenza Citrix
Il License Server gestisce le licenze dei prodotti Citrix. Comunica con il Controller per gestire le licenze per la sessione di ciascun utente e con Studio per allocare i file di licenza. Un sito deve disporre di almeno un server di licenze per archiviare e gestire i file di licenza.
Hypervisor o altro servizio
L’hypervisor o un altro servizio ospita le macchine virtuali nel tuo sito. Possono essere le VM utilizzate per ospitare applicazioni e desktop e le VM utilizzate per ospitare i componenti Citrix Virtual Apps and Desktops. Un hypervisor viene installato su un computer host dedicato esclusivamente all’esecuzione dell’hypervisor e all’hosting di macchine virtuali.
Citrix Virtual Apps and Desktops supporta vari hypervisor e altri servizi.
Sebbene molte distribuzioni richiedano un hypervisor, non è necessario per fornire l’accesso remoto al PC. Inoltre, non è necessario un hypervisor quando si utilizzano Provisioning Services (PVS) per il provisioning delle VM.
Componenti aggiuntivi
I seguenti componenti possono essere inclusi anche nelle distribuzioni di Citrix Virtual Apps and Desktops. Per ulteriori informazioni, consultare la documentazione.
Fornitura Citrix
Citrix Provisioning (in precedenza Provisioning Services) è un componente opzionale disponibile in alcune edizioni. Fornisce un’alternativa a MCS per il provisioning di macchine virtuali. Mentre MCS crea copie di un’immagine master, PVS trasmette l’immagine master ai dispositivi degli utenti. Per fare questo, PVS non necessita di un hypervisor, quindi è possibile utilizzarlo per ospitare macchine fisiche. PVS comunica con il Controller per fornire risorse agli utenti.
Gateway Citrix
Quando gli utenti si connettono dall’esterno del firewall aziendale, Citrix Virtual Apps and Desktops può utilizzare la tecnologia Citrix Gateway (in precedenza Access Gateway e NetScaler Gateway) per proteggere queste connessioni con TLS. L’appliance virtuale Citrix Gateway o VPX è un’appliance VPN SSL distribuita nella zona demilitarizzata (DMZ). Fornisce un unico punto di accesso sicuro attraverso il firewall aziendale.
Citrix SD-WAN
Nelle distribuzioni in cui i desktop virtuali vengono forniti agli utenti in sedi remote, come le filiali, è possibile utilizzare la tecnologia Citrix SD-WAN per ottimizzare le prestazioni. I ripetitori accelerano le prestazioni nelle reti WAN. Grazie ai ripetitori nella rete, gli utenti delle filiali possono usufruire di prestazioni simili a quelle di una LAN sulla WAN. Citrix SD-WAN può dare priorità a diverse parti dell’esperienza utente in modo che, ad esempio, l’esperienza utente non peggiori nella filiale quando un file di grandi dimensioni o un processo di stampa vengono inviati tramite la rete. L’ottimizzazione WAN HDX fornisce compressione tokenizzata e deduplicazione dei dati, riducendo drasticamente i requisiti di larghezza di banda e migliorando le prestazioni.
Come funzionano le distribuzioni tipiche
Un sito è costituito da macchine con ruoli dedicati che consentono scalabilità, elevata disponibilità e failover e forniscono una soluzione sicura in base alla progettazione. Un sito è costituito da server e computer desktop installati tramite VDA e dal Delivery Controller, che gestisce l’accesso.
VDA consente agli utenti di connettersi a desktop e applicazioni. Viene installato su macchine virtuali nel data center per la maggior parte dei metodi di distribuzione, ma può essere installato anche su PC fisici per l’accesso remoto al PC.
Il controller è costituito da servizi Windows indipendenti che gestiscono risorse, applicazioni e desktop e ottimizzano e bilanciano le connessioni degli utenti. Ogni sito ha uno o più controllori. Poiché le sessioni sono influenzate dalla latenza, dalla larghezza di banda e dall’affidabilità della rete, se possibile posizionare tutti i controller sulla stessa LAN.
Gli utenti non accedono mai direttamente al Controller. La VDA funge da intermediario tra gli utenti e il Titolare del trattamento. Quando gli utenti accedono tramite StoreFront, le loro credenziali vengono trasmesse al Broker Service sul Controller. Il Broker Service ottiene quindi profili e risorse disponibili in base alle policy impostate per loro.
Come vengono gestite le connessioni degli utenti
Per avviare una sessione, l’utente si connette tramite l’app Citrix Workspace installata sul suo dispositivo oppure tramite il sito web StoreFront.
L’utente seleziona il desktop fisico o virtuale oppure l’applicazione virtuale di cui ha bisogno.
Le credenziali dell’utente seguono questo percorso per accedere al Controller, che determina quali risorse sono necessarie comunicando con un Broker Service. Citrix consiglia agli amministratori di installare un certificato SSL su StoreFront per crittografare le credenziali provenienti dall’app Citrix Workspace.
Il servizio Broker determina a quali desktop e applicazioni l’utente può accedere.
Dopo la verifica delle credenziali, le informazioni sulle applicazioni o sui desktop disponibili vengono inviate all’utente tramite il percorso dell’app StoreFront-Citrix Workspace. Quando l’utente seleziona applicazioni o desktop da questo elenco, tali informazioni vengono reinviate al Controller. Il controller determina quindi il VDA più adatto per ospitare le applicazioni o il desktop specifici.
Il Controller invia un messaggio alla VDA con le credenziali dell’utente e quindi invia tutti i dati sull’utente e sulla connessione alla VDA. Il VDA accetta la connessione e invia le informazioni tramite gli stessi percorsi all’app Citrix Workspace. Un set di parametri obbligatori viene raccolto su StoreFront. Questi parametri vengono quindi inviati all’app Citrix Workspace come parte della conversazione del protocollo Citrix-Workspace-app-StoreFront oppure convertiti in un file Independent Computing Architecture (ICA) e scaricati. Se il sito è stato configurato correttamente, le credenziali rimangono crittografate durante l’intera procedura.
Il file ICA viene copiato sul dispositivo dell’utente e stabilisce una connessione diretta tra il dispositivo e lo stack ICA in esecuzione sul VDA. Questa connessione bypassa l’infrastruttura di gestione (app Citrix Workspace, StoreFront e Controller).
La connessione tra l’app Citrix Workspace e VDA utilizza il protocollo Citrix Gateway Protocol (CGP). In caso di interruzione della connessione, la funzionalità di affidabilità della sessione consente all’utente di riconnettersi al VDA anziché doverlo riavviare tramite l’infrastruttura di gestione. L’affidabilità della sessione può essere abilitata o disabilitata nei criteri Citrix.
Dopo che il client si connette al VDA, il VDA notifica al Controller che l’utente ha effettuato l’accesso. Il Controller invia quindi queste informazioni al database del sito e inizia a registrare i dati nel database di monitoraggio.
Come funziona l’accesso ai dati
Ogni sessione di Citrix Virtual Apps and Desktops produce dati a cui l’IT può accedere tramite Studio o Director. Utilizzando Studio, gli amministratori possono accedere ai dati in tempo reale dal Broker Agent per gestire i siti. Il Direttore accede agli stessi dati, oltre ai dati storici memorizzati nel database di monitoraggio. Accede inoltre ai dati HDX da NetScaler Gateway per il supporto dell’help desk e la risoluzione dei problemi.
All’interno del Controller, il Broker Service segnala i dati di sessione per ogni sessione sulla macchina, fornendo dati in tempo reale. Il servizio Monitor tiene traccia anche dei dati in tempo reale e li memorizza come dati storici nel database di monitoraggio.
Lo Studio comunica esclusivamente con il Broker Service. Accede solo ai dati in tempo reale. Il Direttore comunica con il Broker Service (tramite un plug-in nel Broker Agent) per accedere al database del sito.
Il direttore può anche accedere a Citrix Gateway per ottenere informazioni sui dati HDX.
Fornire desktop e applicazioni
Si configurano le macchine che forniscono applicazioni e desktop con cataloghi di macchine. Si creano quindi gruppi di distribuzione che specificano le applicazioni e i desktop che saranno disponibili (utilizzando le macchine nei cataloghi) e quali utenti potranno accedervi. Facoltativamente, è possibile creare gruppi di applicazioni per gestire raccolte di applicazioni.
Cataloghi macchine
I cataloghi delle macchine sono raccolte di macchine virtuali o fisiche gestite come un’unica entità. Queste macchine e le applicazioni o i desktop virtuali su di esse sono le risorse che fornisci ai tuoi utenti. Tutte le macchine presenti in un catalogo hanno lo stesso sistema operativo e lo stesso VDA installato. Hanno anche le stesse applicazioni o desktop virtuali.
In genere, si crea un’immagine master e la si utilizza per creare VM identiche nel catalogo. Per le VM è possibile specificare il metodo di provisioning per le macchine in quel catalogo: strumenti Citrix (Citrix Provisioning o MCS) o altri strumenti. In alternativa, puoi utilizzare le tue immagini esistenti. In tal caso, è necessario gestire i dispositivi di destinazione individualmente o collettivamente, utilizzando strumenti di distribuzione elettronica del software (ESD) di terze parti.
I tipi di macchina validi sono:
- Sistema operativo multisessione: Macchine virtuali o fisiche con un sistema operativo multisessione. Utilizzato per distribuire le app pubblicate da Citrix Virtual Apps (note anche come applicazioni ospitate su server) e i desktop pubblicati da Citrix Virtual Apps (noti anche come desktop ospitati su server). Queste macchine consentono a più utenti di connettersi contemporaneamente.
- Sistema operativo a sessione singola: Macchine virtuali o fisiche con sistema operativo a sessione singola. Utilizzato per la distribuzione di desktop VDI (desktop che eseguono sistemi operativi a sessione singola e che possono essere facoltativamente personalizzati), app ospitate su VM (applicazioni da sistemi operativi a sessione singola) e desktop fisici ospitati. A ciascuno di questi desktop può connettersi un solo utente alla volta.
- Accesso al PC remoto: Consente agli utenti remoti di accedere ai propri PC fisici dell’ufficio da qualsiasi dispositivo che esegua l’app Citrix Workspace. I PC dell’ufficio vengono gestiti tramite la distribuzione Citrix Virtual Desktops e richiedono che i dispositivi degli utenti siano specificati in un elenco consentito.
Per ulteriori informazioni, vedere Gestione delle immagini di Citrix Virtual Apps and Desktops e Creazione di cataloghi di macchine.
Gruppi di consegna
I gruppi di distribuzione specificano quali utenti possono accedere a quali applicazioni, desktop o entrambi e su quali macchine. I gruppi di distribuzione contengono macchine presenti nei cataloghi macchine e utenti di Active Directory che hanno accesso al sito. È possibile assegnare gli utenti ai gruppi di distribuzione in base al loro gruppo Active Directory, poiché i gruppi Active Directory e i gruppi di distribuzione sono modi per raggruppare gli utenti con requisiti simili.
Ogni gruppo di consegna può contenere macchine provenienti da più cataloghi e ogni catalogo può contribuire con macchine a più gruppi di consegna. Tuttavia, ogni singola macchina può appartenere a un solo gruppo di consegna alla volta.
È possibile definire a quali risorse possono accedere gli utenti del gruppo di distribuzione. Ad esempio, per distribuire applicazioni diverse a utenti diversi, è possibile installare tutte le applicazioni sull’immagine master per un catalogo e creare in tale catalogo un numero di macchine sufficiente per distribuirle tra diversi gruppi di distribuzione. È quindi possibile configurare ciascun gruppo di distribuzione in modo che distribuisca un diverso sottoinsieme di applicazioni installate sui computer.
Per ulteriori informazioni, vedere Crea gruppi di consegna.
Gruppi di applicazioni
I gruppi di applicazioni offrono vantaggi in termini di gestione delle applicazioni e controllo delle risorse rispetto all’utilizzo di più gruppi di distribuzione. Utilizzando la funzionalità di restrizione dei tag, puoi utilizzare le macchine esistenti per più di un’attività di pubblicazione, risparmiando sui costi associati all’implementazione e alla gestione di più macchine. Una restrizione di tag può essere concepita come una suddivisione (o partizionamento) delle macchine in un gruppo di distribuzione. I gruppi di applicazioni possono rivelarsi utili anche per isolare e risolvere i problemi di un sottoinsieme di macchine in un gruppo di distribuzione.
Per ulteriori informazioni, vedere Creare gruppi di applicazioni.