Panoramica tecnica
Citrix Virtual Apps and Desktops™ sono soluzioni di virtualizzazione che offrono all’IT il controllo di macchine virtuali, applicazioni, licenze e sicurezza, fornendo al contempo accesso da qualsiasi luogo per qualsiasi dispositivo.
Citrix Virtual Apps and Desktops consentono:
- Agli utenti finali di eseguire applicazioni e desktop indipendentemente dal sistema operativo e dall’interfaccia del dispositivo.
- Agli amministratori di gestire la rete e controllare l’accesso da dispositivi selezionati o da tutti i dispositivi.
- Agli amministratori di gestire un’intera rete da un unico data center.
Citrix Virtual Apps and Desktops condividono un’architettura unificata chiamata FlexCast Management Architecture (FMA). Le caratteristiche principali di FMA sono la capacità di eseguire più versioni di Citrix Virtual Apps o Citrix Virtual Desktops™ da un singolo sito e il provisioning integrato.
Componenti chiave
Questo articolo è particolarmente utile se non si ha familiarità con Citrix Virtual Apps and Desktops.
Questa illustrazione mostra i componenti chiave in una distribuzione tipica, chiamata sito.
Delivery Controller™
Il Delivery Controller è il componente di gestione centrale di un sito. Ogni sito ha uno o più Delivery Controller. È installato su almeno un server nel data center. Per l’affidabilità e la disponibilità del sito, installare i Controller su più di un server. Se la vostra distribuzione include un hypervisor o un altro servizio, i servizi del Controller comunicano con esso per:
- Distribuire applicazioni e desktop
- Autenticare e gestire l’accesso degli utenti
- Intermediare le connessioni tra gli utenti e i loro desktop e applicazioni
- Ottimizzare le connessioni degli utenti
- Bilanciare il carico delle connessioni
Il Broker Service del Controller tiene traccia degli utenti connessi e della loro posizione, delle risorse di sessione di cui dispongono e se gli utenti devono riconnettersi ad applicazioni esistenti. Il Broker Service esegue cmdlet PowerShell e comunica con un agente broker sui VDA tramite la porta TCP 80. Non ha la possibilità di utilizzare la porta TCP 443.
Il Monitor Service raccoglie dati storici e li inserisce nel database di monitoraggio. Questo servizio utilizza la porta TCP 80 o 443.
I dati dei servizi del Controller sono archiviati nel database del sito.
Il Controller gestisce lo stato dei desktop, avviandoli e arrestandoli in base alla domanda e alla configurazione amministrativa.
Database
Per ogni sito è richiesto almeno un database Microsoft SQL Server per archiviare le informazioni di configurazione e di sessione. Questo database archivia i dati raccolti e gestiti dai servizi che compongono il Controller. Installare il database all’interno del data center e assicurarsi che abbia una connessione persistente al Controller.
Il sito utilizza anche un database di registrazione della configurazione e un database di monitoraggio. Per impostazione predefinita, questi database sono installati nella stessa posizione del database del sito, ma è possibile modificarlo.
Virtual Delivery Agent (VDA)
Il VDA è installato su ogni macchina fisica o virtuale nel vostro sito che rendete disponibile agli utenti. Queste macchine forniscono applicazioni o desktop. Il VDA consente alla macchina di registrarsi con il Controller, il che a sua volta permette che la macchina e le risorse che ospita siano rese disponibili agli utenti. I VDA stabiliscono e gestiscono la connessione tra la macchina e il dispositivo utente. I VDA verificano inoltre che una licenza Citrix® sia disponibile per l’utente o la sessione e applicano le policy configurate per la sessione.
Il VDA comunica le informazioni di sessione al Broker Service nel Controller tramite l’agente broker nel VDA. L’agente broker ospita più plug-in e raccoglie dati in tempo reale. Comunica con il Controller tramite la porta TCP 80.
La parola “VDA” è spesso usata per riferirsi all’agente e alla macchina su cui è installato.
I VDA sono disponibili per sistemi operativi Windows a sessione singola e multi-sessione. I VDA per sistemi operativi Windows multi-sessione consentono a più utenti di connettersi al server contemporaneamente. I VDA per sistemi operativi Windows a sessione singola consentono a un solo utente di connettersi al desktop alla volta. Sono disponibili anche VDA Linux.
Citrix StoreFront™
StoreFront autentica gli utenti e gestisce i negozi di desktop e applicazioni a cui gli utenti accedono. Può ospitare il vostro negozio di applicazioni aziendali, che offre agli utenti accesso self-service ai desktop e alle applicazioni che mettete a loro disposizione. Tiene anche traccia degli abbonamenti alle applicazioni degli utenti, dei nomi dei collegamenti e di altri dati. Questo aiuta a garantire che gli utenti abbiano un’esperienza coerente su più dispositivi.
Citrix Workspace™ app
Installata sui dispositivi degli utenti e su altri endpoint (come i desktop virtuali), l’app Citrix Workspace fornisce agli utenti un accesso rapido, sicuro e self-service a documenti, applicazioni e desktop. L’app Citrix Workspace fornisce accesso on-demand ad applicazioni Windows, web e Software as a Service (SaaS). Per i dispositivi che non possono installare il software specifico per il dispositivo dell’app Citrix Workspace, l’app Citrix Workspace per HTML5 fornisce una connessione tramite un browser web compatibile con HTML5.
Studio
È possibile gestire la distribuzione di Citrix Virtual Apps and Desktops utilizzando due console di gestione: Web Studio (basata sul web) e Citrix Studio (basata su Windows). Questa documentazione del prodotto copre solo Web Studio. Per informazioni su Citrix Studio, consultare Citrix Virtual Apps and Desktops 7 2212 o versioni precedenti.
Web Studio
Web Studio è una console di gestione basata sul web che consente di configurare e gestire la distribuzione on-premises di Citrix Virtual Apps and Desktops. È progettata per un’esperienza utente migliorata e generalmente risponde più velocemente di Citrix Studio, la console di gestione basata su Windows. Vedere Installare Web Studio.
Citrix Studio
Citrix Studio è la console di gestione in cui si configura e si gestisce la distribuzione di Citrix Virtual Apps and Desktops. Citrix Studio elimina la necessità di console di gestione separate per la gestione della distribuzione di applicazioni e desktop. Citrix Studio fornisce procedure guidate per configurare l’ambiente, creare carichi di lavoro per ospitare applicazioni e desktop e assegnare applicazioni e desktop agli utenti. È inoltre possibile utilizzare Studio per allocare e tenere traccia delle licenze Citrix per il proprio sito.
Citrix Studio ottiene le informazioni che visualizza dal Broker Service nel Controller, comunicando tramite la porta TCP 80.
Secure Private Access
La soluzione on-premises Citrix Secure Private Access migliora la postura complessiva di sicurezza e conformità di un’organizzazione con la capacità di fornire facilmente Zero Trust Network Access ad app basate su browser (app web interne e app SaaS) utilizzando StoreFront come portale di accesso unificato ad app web e SaaS, insieme ad app e desktop virtuali come parte integrante di Citrix Workspace. La soluzione è compatibile con le versioni esistenti di NetScaler e StoreFront senza alcuna modifica alle versioni. Per i dettagli, vedere Secure Private Access on-premises.
Citrix Director
Director è uno strumento basato sul web che consente ai team di supporto IT e help desk di monitorare un ambiente, risolvere i problemi prima che diventino critici per il sistema ed eseguire attività di supporto per gli utenti finali. È possibile utilizzare una distribuzione di Director per connettersi e monitorare più siti Citrix Virtual Apps o Citrix Virtual Desktops.
Director visualizza:
-
Dati di sessione in tempo reale dal Broker Service nel Controller, che includono i dati che il Broker Service ottiene dall’agente broker nel VDA.
-
Dati storici del sito dal Monitor Service nel Controller.
Director utilizza i dati di performance e euristici ICA® acquisiti dal dispositivo Citrix Gateway per costruire analisi dai dati e poi presentarli agli amministratori.
È inoltre possibile visualizzare e interagire con le sessioni di un utente tramite Director, utilizzando l’Assistenza remota di Windows.
Citrix License Server
Il License Server gestisce le licenze dei prodotti Citrix. Comunica con il Controller per gestire le licenze per la sessione di ogni utente e con Studio per allocare i file di licenza. Un sito deve avere almeno un server licenze per archiviare e gestire i file di licenza.
Hypervisor o altro servizio
L’hypervisor o altro servizio ospita le macchine virtuali nel vostro sito. Queste possono essere le VM che utilizzate per ospitare applicazioni e desktop, e le VM che utilizzate per ospitare i componenti di Citrix Virtual Apps and Desktops. Un hypervisor è installato su un computer host dedicato interamente all’esecuzione dell’hypervisor e all’hosting di macchine virtuali.
Citrix Virtual Apps and Desktops supportano vari hypervisor e altri servizi.
Sebbene molte distribuzioni richiedano un hypervisor, non ne è necessario uno per fornire Remote PC Access. Un hypervisor non è inoltre richiesto quando si utilizzano i Provisioning Services (PVS) per il provisioning delle VM.
Componenti aggiuntivi
I seguenti componenti possono essere inclusi anche nelle distribuzioni di Citrix Virtual Apps and Desktops. Per maggiori informazioni, consultare la loro documentazione.
Citrix Provisioning™
Citrix Provisioning (precedentemente Provisioning Services) è un componente opzionale disponibile con alcune edizioni. Fornisce un’alternativa a MCS per il provisioning delle macchine virtuali. Mentre MCS crea copie di un’immagine master, PVS trasmette l’immagine master ai dispositivi utente. PVS non richiede un hypervisor per fare ciò, quindi è possibile utilizzarlo per ospitare macchine fisiche. PVS comunica con il Controller per fornire risorse agli utenti.
Citrix Gateway
Quando gli utenti si connettono dall’esterno del firewall aziendale, Citrix Virtual Apps and Desktops possono utilizzare la tecnologia Citrix Gateway (precedentemente Access Gateway e NetScaler® Gateway) per proteggere queste connessioni con TLS. L’appliance virtuale Citrix Gateway o VPX è un’appliance SSL VPN distribuita nella zona demilitarizzata (DMZ). Fornisce un unico punto di accesso sicuro attraverso il firewall aziendale.
Citrix SD-WAN™
Nelle distribuzioni in cui i desktop virtuali vengono forniti agli utenti in sedi remote come le filiali, la tecnologia Citrix SD-WAN può essere impiegata per ottimizzare le prestazioni. I ripetitori accelerano le prestazioni attraverso le WAN. Con i ripetitori nella rete, gli utenti nella filiale sperimentano prestazioni simili a quelle LAN sulla WAN. Citrix SD-WAN può dare priorità a diverse parti dell’esperienza utente in modo che, ad esempio, l’esperienza utente non si degradi nella sede della filiale quando un file di grandi dimensioni o un lavoro di stampa viene inviato sulla rete. L’ottimizzazione WAN HDX™ fornisce compressione tokenizzata e deduplicazione dei dati, riducendo drasticamente i requisiti di larghezza di banda e migliorando le prestazioni.
Come funzionano le distribuzioni tipiche
Un sito è composto da macchine con ruoli dedicati che consentono scalabilità, alta disponibilità e failover, e forniscono una soluzione sicura per progettazione. Un sito è costituito da server e macchine desktop con VDA installato, e dal Delivery Controller, che gestisce l’accesso.
Il VDA consente agli utenti di connettersi a desktop e applicazioni. È installato su macchine virtuali nel data center per la maggior parte dei metodi di distribuzione, ma può anche essere installato su PC fisici per Remote PC Access.
Il Controller è composto da servizi Windows indipendenti che gestiscono risorse, applicazioni e desktop, e ottimizzano e bilanciano le connessioni utente. Ogni sito ha uno o più Controller. Poiché le sessioni sono influenzate da latenza, larghezza di banda e affidabilità della rete, posizionare tutti i Controller sulla stessa LAN, se possibile.
Gli utenti non accedono mai direttamente al Controller. Il VDA funge da intermediario tra gli utenti e il Controller. Quando gli utenti accedono utilizzando StoreFront, le loro credenziali passano al Broker Service sul Controller. Il Broker Service ottiene quindi profili e risorse disponibili in base alle policy impostate per loro.
Come vengono gestite le connessioni utente
Per avviare una sessione, l’utente si connette tramite l’app Citrix Workspace installata sul dispositivo dell’utente o tramite un sito web StoreFront.
L’utente seleziona il desktop fisico o virtuale o l’applicazione virtuale necessaria.
Le credenziali dell’utente si muovono attraverso questo percorso per accedere al Controller, che determina quali risorse sono necessarie comunicando con un Broker Service. Citrix raccomanda agli amministratori di posizionare un certificato SSL su StoreFront per crittografare le credenziali provenienti dall’app Citrix Workspace.
Il Broker Service determina a quali desktop e applicazioni l’utente è autorizzato ad accedere.
Dopo che le credenziali sono state verificate, le informazioni sulle applicazioni o sui desktop disponibili vengono inviate all’utente tramite il percorso StoreFront-Citrix Workspace app. Quando l’utente seleziona applicazioni o desktop da questo elenco, tali informazioni tornano indietro lungo il percorso verso il Controller. Il Controller determina quindi il VDA appropriato per ospitare le applicazioni o il desktop specifici.
Il Controller invia un messaggio al VDA con le credenziali dell’utente, quindi invia tutti i dati sull’utente e sulla connessione al VDA. Il VDA accetta la connessione e invia le informazioni indietro attraverso gli stessi percorsi all’app Citrix Workspace. Un set di parametri richiesti viene raccolto su StoreFront. Questi parametri vengono quindi inviati all’app Citrix Workspace come parte della conversazione del protocollo Citrix-Workspace-app-StoreFront, oppure convertiti in un file Independent Computing Architecture (ICA) e scaricati. Purché il sito sia stato configurato correttamente, le credenziali rimangono crittografate durante tutto questo processo.
Il file ICA viene copiato sul dispositivo dell’utente e stabilisce una connessione diretta tra il dispositivo e lo stack ICA in esecuzione sul VDA. Questa connessione bypassa l’infrastruttura di gestione (app Citrix Workspace, StoreFront e Controller).
La connessione tra l’app Citrix Workspace e il VDA utilizza il Citrix Gateway Protocol (CGP). Se una connessione viene persa, la funzione Session Reliability consente all’utente di riconnettersi al VDA anziché dover rilanciare tramite l’infrastruttura di gestione. La Session Reliability può essere abilitata o disabilitata nelle policy Citrix.
Dopo che il client si connette al VDA, il VDA notifica al Controller che l’utente ha effettuato l’accesso. Il Controller invia quindi queste informazioni al database del sito e inizia a registrare i dati nel database di monitoraggio.
Come funziona l’accesso ai dati
Ogni sessione di Citrix Virtual Apps and Desktops produce dati a cui l’IT può accedere tramite Studio o Director. Utilizzando Studio, gli amministratori possono accedere ai dati in tempo reale dal Broker Agent per gestire i siti. Director accede agli stessi dati più i dati storici archiviati nel database di monitoraggio. Accede anche ai dati HDX da NetScaler Gateway per il supporto dell’help desk e la risoluzione dei problemi.
All’interno del Controller, il Broker Service riporta i dati di sessione per ogni sessione sulla macchina fornendo dati in tempo reale. Il Monitor Service traccia anche i dati in tempo reale e li archivia come dati storici nel database di monitoraggio.
Studio comunica solo con il Broker Service. Accede solo ai dati in tempo reale. Director comunica con il Broker Service (tramite un plug-in nel Broker Agent) per accedere al database del sito.
Director può anche accedere a Citrix Gateway per ottenere informazioni sui dati HDX.
Fornire desktop e applicazioni
Si configurano le macchine che forniscono applicazioni e desktop con cataloghi di macchine. Quindi, si creano gruppi di consegna che specificano le applicazioni e i desktop che saranno disponibili (utilizzando le macchine nei cataloghi) e quali utenti possono accedervi. Opzionalmente, è possibile quindi creare gruppi di applicazioni per gestire raccolte di applicazioni.
Cataloghi di macchine
I cataloghi di macchine sono raccolte di macchine virtuali o fisiche che si gestiscono come un’unica entità. Queste macchine, e le applicazioni o i desktop virtuali su di esse, sono le risorse che si forniscono agli utenti. Tutte le macchine in un catalogo hanno lo stesso sistema operativo e lo stesso VDA installato. Hanno anche le stesse applicazioni o desktop virtuali.
Tipicamente, si crea un’immagine master e la si utilizza per creare VM identiche nel catalogo. Per le VM è possibile specificare il metodo di provisioning per le macchine in quel catalogo: strumenti Citrix (Citrix Provisioning o MCS) o altri strumenti. In alternativa, è possibile utilizzare le proprie immagini esistenti. In tal caso, è necessario gestire i dispositivi di destinazione su base individuale o collettivamente utilizzando strumenti di distribuzione software elettronica (ESD) di terze parti.
I tipi di macchina validi sono:
- Sistema operativo multi-sessione: Macchine virtuali o fisiche con un sistema operativo multi-sessione. Utilizzate per la distribuzione di app pubblicate Citrix Virtual Apps (note anche come applicazioni ospitate basate su server) e desktop pubblicati Citrix Virtual Apps (noti anche come desktop ospitati su server). Queste macchine consentono a più utenti di connettersi contemporaneamente.
- Sistema operativo a sessione singola: Macchine virtuali o fisiche con un sistema operativo a sessione singola. Utilizzate per la distribuzione di desktop VDI (desktop che eseguono sistemi operativi a sessione singola che possono essere opzionalmente personalizzati), app ospitate su VM (applicazioni da sistemi operativi a sessione singola) e desktop fisici ospitati. Solo un utente alla volta può connettersi a ciascuno di questi desktop.
- Remote PC Access: Consente agli utenti remoti di accedere ai propri PC fisici dell’ufficio da qualsiasi dispositivo che esegue l’app Citrix Workspace. I PC dell’ufficio sono gestiti tramite la distribuzione di Citrix Virtual Desktops e richiedono che i dispositivi utente siano specificati in un elenco di autorizzazione.
Per maggiori informazioni, vedere Gestione delle immagini di Citrix Virtual Apps and Desktops e Creare cataloghi di macchine.
Gruppi di consegna
I gruppi di consegna specificano quali utenti possono accedere a quali applicazioni, desktop o entrambi su quali macchine. I gruppi di consegna contengono macchine dai vostri cataloghi di macchine e utenti di Active Directory che hanno accesso al vostro sito. Potreste assegnare gli utenti ai vostri gruppi di consegna in base al loro gruppo di Active Directory, perché i gruppi di Active Directory e i gruppi di consegna sono modi per raggruppare gli utenti con requisiti simili.
Ogni gruppo di consegna può contenere macchine da più di un catalogo, e ogni catalogo può contribuire con macchine a più di un gruppo di consegna. Tuttavia, ogni singola macchina può appartenere a un solo gruppo di consegna alla volta.
Si definiscono le risorse a cui gli utenti nel gruppo di consegna possono accedere. Ad esempio, per fornire applicazioni diverse a utenti diversi, si potrebbe installare tutte le applicazioni sull’immagine master per un catalogo e creare abbastanza macchine in quel catalogo da distribuire tra diversi gruppi di consegna. È quindi possibile configurare ogni gruppo di consegna per fornire un sottoinsieme diverso di applicazioni installate sulle macchine.
Per maggiori informazioni, vedere Creare gruppi di consegna.
Gruppi di applicazioni
I gruppi di applicazioni offrono vantaggi nella gestione delle applicazioni e nel controllo delle risorse rispetto all’utilizzo di più gruppi di consegna. Utilizzando la funzione di restrizione dei tag, è possibile utilizzare le macchine esistenti per più di un’attività di pubblicazione, risparmiando i costi associati alla distribuzione e alla gestione di più macchine. Una restrizione dei tag può essere pensata come la suddivisione (o partizionamento) delle macchine in un gruppo di consegna. I gruppi di applicazioni possono anche essere utili per isolare e risolvere i problemi di un sottoinsieme di macchine in un gruppo di consegna.
Per maggiori informazioni, vedere Creare gruppi di applicazioni.