製品の技術概要
Citrix Virtual Apps and Desktopsの仮想化ソリューションで、IT担当者は仮想マシン、アプリケーション、ライセンス、セキュリティを完全に制御でき、あらゆるデバイスからのアクセスを提供できます。
Citrix Virtual Apps and Desktopsでは次のことが可能です:
- エンドユーザーは、デバイスで動作するオペレーティングシステムやインターフェイスに依存せずにアプリケーションやデスクトップを実行できます。
- 管理者はネットワークを管理して、特定のデバイスまたはすべてのデバイスにアクセスを制御できます。
- 管理者は、単一のデータセンターからネットワーク全体を管理できます。
Citrix Virtual Apps and Desktopsでは「FlexCast Management Architecture(FMA)」と呼ばれる共通の統合アーキテクチャが使用されます。FMAにより、単一サイトで複数のバージョンのCitrix Virtual AppsまたはCitrix Virtual Desktopsを実行でき、プロビジョニング機能が統合されます。
製品名の変更についてはこちらを参照してください。
主要コンポーネント
この記事は、Citrix Virtual Apps and Desktopsを初めてご使用の方に役立ちます。6.x以前のXenAppファームまたはXenDesktop 5.6以前のサイトを使用している場合は、「7.xでの変更点」も参照してください。
次の図は、サイトと呼ばれる典型的な展開での主要なコンポーネントを示しています。
Delivery Controller
Delivery Controllerは、サイトでの中心的な管理コンポーネントです。各サイトには1つ以上のDelivery Controllerが必要で、データセンター内で動作する1つ以上のサーバー上にインストールします。サイトの信頼性および可用性を向上させるには、複数のサーバー上にControllerをインストールします。展開にハイパーバイザーまたはクラウドサービスが含まれる場合、Controllerサービスがそれと通信してアプリケーションやデスクトップを配信したり、ユーザーアクセスを認証および管理したり、ユーザーと仮想デスクトップやアプリケーションとの接続を仲介したり、接続の使用を最適化したり、接続の負荷を分散させたりします。
ControllerのBroker Serviceは、ログオンしているユーザー、ログオン先、ユーザーのセッションリソース、既存のアプリケーションへの再接続が必要かどうかを追跡します。Broker Serviceは、PowerShellコマンドレットを実行し、VDA上のTCPポート80でBroker Agentと通信します。TCPポート443を使用するオプションはありません。
Monitor Serviceは履歴データを収集して監視データベースに配置します。このサービスはTCPポート80または443を使用します。
Controllerサービスからのデータはサイトデータベースに格納されます。
Controllerは、仮想デスクトップの状態を管理してユーザーからの要求や管理構成に基づいてそれらを起動および停止します。一部のエディションでは、Profile Managementをインストールして、仮想化または物理的なWindows環境でユーザーの個人用設定を管理できます。
データベース
各サイトには、構成情報やセッション情報を格納するためのMicrosoft SQL Serverデータベースが少なくとも1つ必要です。このデータベースには、Controllerを構成する各サービスによって収集および管理されたデータが格納されます。データセンター内にデータベースをインストールして、Controllerと永続的に接続されるようにしてください。
サイトは、構成ログデータベースおよび監視データベースも使用します。これらはデフォルトではサイトデータベースと同じ場所にインストールされますが、その場所は変更できます。
Virtual Delivery Agent(VDA)
サイトでユーザーが利用可能な各物理マシンおよび仮想マシン上にVDAをインストールします。これらのマシンでは、アプリケーションやデスクトップが配信されます。VDAにより、これらのマシンがControllerに登録され、ユーザーがこれらのマシンおよびマシン上でホストされるリソースを使用できるようになります。VDAは、マシンとユーザーデバイスとの間の接続を確立して管理します。また、VDAはCitrixライセンスがユーザーまたはセッションで使用可能であることを確認し、セッションに対して構成されているポリシーを適用します。
VDAは、VDA内のBroker Agentを介してController上のBroker Serviceとセッションに関する情報を送受信します。Broker Agentは複数のプラグインをホストし、リアルタイムデータを収集します。Studioは、TCPポート80でControllerと通信します。
「VDA」という語は、それがインストールされているマシンだけでなく、エージェントを指すためにもしばしば使用されます。
VDAはシングルセッションおよびマルチセッションのWindowsオペレーティングシステムで利用できます。マルチセッションWindows Server OS対応VDAでは、同時に複数のユーザーがそのサーバーに接続できます。シングルセッションWindows OS対応VDAでは、デスクトップへの単一ユーザー接続のみが許可されます。Linux VDAも利用可能です。
Citrix StoreFront
StoreFrontはユーザーを認証して、ユーザーのデスクトップやアプリケーションのストアを管理します。StoreFrontにより、デスクトップやアプリケーションへのセルフサービスアクセスをユーザーに提供する「エンタープライズアプリケーションストア」がホストされます。また、ユーザーのアプリケーションのサブスクリプション、ショートカット名、およびその他のデータを追跡します。これにより、ユーザーが複数のデバイス間で一貫性のある操作を行えるようになります。
Citrix Workspaceアプリ
Citrix Workspaceアプリは、ユーザーデバイスや他のエンドポイント(仮想デスクトップなど)にインストールされ、ドキュメント、アプリケーション、およびデスクトップへの迅速かつ安全なセルフサービスアクセスをユーザーに提供します。また、Citrix Workspaceアプリにより、Windows、Web、およびSaaS(Software as a Service)アプリケーションへのオンデマンドアクセスも可能になります。デバイス固有のCitrix Workspaceアプリソフトウェアをインストールできないデバイスでは、HTML5互換のWebブラウザーからHTML5向けCitrix Workspaceアプリを使用してアクセスすることもできます。
Citrix Studio
Studioは、Citrix Virtual Apps and Desktopsの展開を設定および管理する管理コンソールです。Studioにより、アプリケーションやデスクトップの配信を管理するための個別の管理コンソールが不要になります。Studioでは、環境のセットアップ、アプリケーションやデスクトップをホストするためのワークロードの作成、およびアプリケーションやデスクトップのユーザーへの割り当てを案内するさまざまなウィザードが提供されます。Studioでは、サイトのCitrixライセンスの割り当てや追跡も可能です。
Studioは、Controller上のBroker ServiceとTCPポート80経由で通信して、そこからの情報を表示します。
Citrix Director
Directorは、ITサポート担当者やヘルプデスクのスタッフが環境の状態を監視して、重大な障害が生じる前にトラブルシューティングを講じたりエンドユーザーをサポートしたりするためのWebベースのツールです。Directorでは、複数のCitrix Virtual AppsまたはCitrix Virtual Desktopsサイトに接続して監視することができます。
Directorには次のものが表示されます:
-
Controller上のBroker Serviceからのリアルタイムセッションデータ。これには、VDA内のBroker AgentからBroker Serviceが収集したデータも含まれます。
-
Controller上のMonitor Serviceからのサイト履歴データ。
Directorでは、Citrix GatewayデバイスでキャプチャされたICAパフォーマンスおよびヒューリスティックデータを使用してデータから分析を作成し、管理者に提示します。
また、Windowsリモートアシスタンスを使用すると、Directorを介してユーザーのセッションを表示したり制御したりすることもできます。
Citrixライセンスサーバー
ライセンスサーバーはCitrix製品のライセンスを管理します。Controllerと通信して各ユーザーセッションのライセンスを管理し、Studioと通信してライセンスファイルを割り当てます。各サイトには、ライセンスファイルを格納および管理するためのライセンスサーバーが1つ以上必要です。
ハイパーバイザーまたはクラウドサービス
ハイパーバイザーまたはクラウドサービスは、サイトの仮想マシンをホストします。これには、アプリケーションやデスクトップをホストする仮想マシンだけでなく、Citrix Virtual Apps and Desktopsのコンポーネントをホストする仮想マシンも含まれます。ハイパーバイザーは、仮想マシンをホストする専用のコンピューター上にインストールします。
Citrix Virtual Apps and Desktopsは、さまざまなハイパーバイザーとクラウドサービスをサポートします。
多くの展開ではハイパーバイザーが必要ですが、リモートPCアクセスを提供する場合はハイパーバイザーは必要ありません。Provisioning Services(PVS)を使用してVMをプロビジョニングする場合も、ハイパーバイザーは必要ありません。
詳しくは、次のトピックを参照してください:
- ネットワークポート。
- データベース。
- Citrix Virtual Apps and DesktopsコンポーネントのWindowsサービス:「ユーザー権限の構成」
- サポートされているハイパーバイザーとクラウドサービス:「システム要件」
追加のコンポーネント
Citrix Virtual Apps and Desktops展開では、上図に示されていない以下の追加コンポーネントを使用することもできます。詳しくは、それぞれのドキュメントを参照してください。
Citrix Provisioning
Citrix Provisioning(旧Provisioning Services)は、一部のエディションで使用できるオプションコンポーネントです。仮想マシンをプロビジョニングするMCSの代替として使用できます。MCSがマスターイメージのコピーを作成するのに対し、PVSはマスターイメージをユーザーデバイスにストリーム配信します。PVSではハイパーバイザーが不要なため、物理マシンをホストすることができます。PVSはControllerと通信して、ユーザーにリソースを提供します。
Citrix Gateway
ユーザーが社内ファイアウォールの外側から接続する場合、Citrix Virtual Apps and DesktopsでCitrix Gateway(旧Access GatewayおよびNetScaler Gateway)テクノロジを使用して接続をTLSで保護できます。Citrix GatewayやVPX仮想アプライアンスは非武装地帯(DMZ)に配置するSSL VPNアプライアンスであり、企業ファイアウォールを介した安全な単一アクセスポイントを提供します。
Citrix SD-WAN
支店など遠隔地のユーザーがWANを介して仮想デスクトップに接続する環境では、Citrix SD-WAN技術によりWAN接続のパフォーマンスを最適化できますリピータは、広域ネットワークにわたりパフォーマンスを向上させます。ネットワーク内のリピーターによって、WAN接続でもLAN接続のようなユーザーエクスペリエンスが支店のユーザーに提供されます。Citrix SD-WANでは、さまざまなユーザー操作に優先順位を割り当てることができます。たとえば、ネットワーク上で大きなファイルや印刷ジョブを送信する操作に高い優先度を割り当てて、遠隔地のユーザーがストレスなく作業できるようにします。HDX WANの最適化によりトークン化された圧縮およびデータ重複排除が提供され、帯域幅消費が減少してパフォーマンスが向上します。
典型的な展開方法
サイトは、スケーラビリティ、高可用性、およびフェールオーバーを実現する特定の役割を持ついくつかのマシンで構成され、計画的にセキュアなソリューションを提供します。サイトは、VDAがインストールされているサーバーマシンとデスクトップマシン、およびアクセスを管理するDelivery Controllerで構成されます。
VDAは、ユーザーがデスクトップやアプリケーションにアクセスすることを可能にするエージェントソフトウェアです。多くの場合、このコンポーネントはデータセンター内のサーバーまたはデスクトップマシン上にインストールされますが、リモートPCアクセス展開では社内の物理PC上にインストールされます。
Controllerは、リソース、アプリケーション、およびデスクトップを管理したりユーザー接続を最適化および負荷分散したりする、独立したいくつかのWindowsサービスで構成されます。各サイトには1つまたは複数のDelivery Controllerがあります。セッションは遅延、帯域幅、ネットワークの信頼性の影響を受けるため、すべてのControllerが同じLAN上にあることが理想的です。
ユーザーがControllerに直接アクセスすることはありません。ユーザーとController間の通信の中継点としてVDAが機能します。ユーザーがStoreFrontを使用してログオンすると、その資格情報はController上のBroker Serviceにパススルーされます。Broker Serviceは、設定されているポリシーに基づいてプロファイルと利用可能なリソースを取得します。
ユーザー接続を処理するしくみ
ユーザーがセッションを開始するには、ユーザーデバイス上にインストールされているCitrix Workspaceアプリ、またはStoreFront Webサイトを使用して接続します。
ユーザーは、使用する物理デスクトップまたは仮想デスクトップ、または仮想アプリケーションを選択します。
下図の経路で、Controllerにアクセスするためのユーザーの資格情報が転送されます。Controllerは、Broker Serviceと通信して必要なリソースを決定します。Citrix Workspaceアプリから送信される資格情報を暗号化で保護するために、StoreFront上にSSL証明書をインストールすることをお勧めします。
Broker Serviceにより、ユーザーがアクセスできるデスクトップやアプリケーションが決定されます。
資格情報の検証後、アクセス可能なデスクトップやアプリケーションの情報がStoreFrontとCitrix Workspaceアプリ経由でユーザー側に返送されます。ユーザーがこのリストからアプリケーションまたはデスクトップを選択すると、その情報が同じ経路でControllerに送信されます。Controllerは、特定のアプリケーションまたはデスクトップをホストするための適切なVDAを決定します。
Controllerはユーザーの資格情報をメッセージとしてVDAに送信し、さらにユーザーと接続に関するすべてのデータをVDAに送信します。VDAは接続を受け入れ、同じ経路でCitrix Workspaceアプリに情報を返送します。必要なパラメーターのセットがStoreFront上で収集されます。収集されたパラメーターは、Citrix WorkspaceアプリStoreFront間でのプロトコル変換の一部として、またはIndependent Computing Architecture(ICA)ファイルに変換されダウンロードされて、Citrix Workspaceアプリに送信されます。サイトが正しく構成されている場合、ユーザーの資格情報はこれらの処理をとおして暗号化されたまま転送されます。
ICAファイルがユーザーデバイスにコピーされ、VDA上で実行されるICAスタックとの直接接続が確立されます。この接続により、管理インフラストラクチャ(Citrix Workspaceアプリ、StoreFront、およびController)がバイパスされます。
Citrix WorkspaceアプリとVDA間の接続ではCitrix Gateway Protocol(CGP)が使用されます。接続が中断されても、セッション画面の保持機能により同じVDAに再接続されます。管理インフラストラクチャ経由でセッションを再起動する必要はありません。セッション画面の保持機能の有効または無効の設定はCitrixポリシーで行います。
クライアントがVDAに接続すると、VDAはユーザーがログオンしていることをControllerに通知します。Controllerはその情報をサイトデータベースに送信し、監視データベースにデータを記録し始めます。
データアクセスのしくみ
IT担当者は、Citrix Virtual Apps and Desktopsの各セッションにより提供されるデータにStudioやDirectorでアクセスできます。Studioを使用すると、管理者はBroker Agentからのリアルタイムデータにアクセスしてサイトを管理できます。Directorは、同じデータに加えて、監視データベースに格納されている履歴データにアクセスします。また、ヘルプデスクによるサポートとトラブルシューティングのためにNetScaler GatewayからのHDXデータにアクセスします。
Controller内では、Broker Serviceがリアルタイムデータを提供するマシン上の各セッションについてのセッションデータをレポートします。Monitor Serviceもこのリアルタイムデータを監視して、履歴データとして監視データベース内に格納します。
StudioはBroker Serviceのみと通信するため、リアルタイムデータのみにアクセスします。Directorは、Broker Serviceと(Broker Agent内のプラグイン経由で)通信してサイトデータベースにアクセスします。
また、DirectorはCitrix Gatewayにもアクセスして、HDXデータの情報を取得します。
デスクトップおよびアプリケーションの配信
アプリケーションおよびデスクトップを配信するマシンをマシンカタログにセットアップします。次に、(カタログにあるマシンを使用して)利用可能なアプリケーションやデスクトップ、およびどのユーザーがそれらにアクセスできるかを指定するデリバリーグループを作成します。また、アプリケーショングループを作成して、アプリケーションのコレクションを管理できます。
マシンカタログ
マシンカタログとは、単一のエンティティとして管理される物理マシンまたは仮想マシンのグループを指します。これらのマシンおよびそのアプリケーションや仮想デスクトップは、ユーザーに提供する「リソース」です。カタログ内のすべてのマシンには、同じオペレーティングシステムおよびVDAがインストールされている必要があります。また、同じアプリケーションまたは仮想デスクトップがある必要があります。
通常、管理者はマスターイメージを作成して、それを基にカタログ内に同一構成の仮想マシンを作成します。仮想マシンの場合、そのカタログにあるマシンのプロビジョニング方法を以下から指定できます: Citrixツール(Citrix ProvisioningまたはMCS)または他のツール。または、独自の既存イメージを使用することもできます。その場合、管理者は、サードパーティ製のESD(Electronic Software Delivery:電子ソフトウェア配信)ツールを使用してターゲットデバイスを個別または集合的に管理します。
有効なマシンの種類は以下のとおりです。
- マルチセッションOS: マルチセッションオペレーティングシステムを搭載した仮想マシンまたは物理マシン。Citrix Virtual Apps公開アプリケーション(「サーバーベースでホストされるアプリケーション」とも呼ばれます)およびCitrix Virtual Apps公開デスクトップ(「サーバーでホストされるデスクトップ」とも呼ばれます)の配信に使用されます。これらのマシンには同時に複数のユーザーが接続できます。
- シングルセッションOS: シングルセッションオペレーティングシステム使用の仮想マシンまたは物理マシン。VDIデスクトップ(オプションでパーソナライズできるシングルセッションOSを実行しているデスクトップ)、VMでホストされるアプリケーション(シングルセッションOSのアプリケーション)、およびホストされる物理デスクトップの配信に使用されます。これらの各デスクトップに一度にアクセスできるのは1人のユーザーのみです。
- リモートPCアクセス: リモートユーザーがCitrix Workspaceアプリを実行している任意のデバイスから社内の物理PCにアクセスできるようにします。オフィスPCは、Citrix Virtual Desktopsの展開によって管理され、ユーザーデバイスをホワイトリストで指定する必要があります。
詳しくは、「Citrix Virtual Apps and Desktopsのイメージ管理」および「マシンカタログの作成」を参照してください。
デリバリーグループ
デリバリーグループは、どのマシンのどのアプリケーションやデスクトップをどのユーザーが使用できるかを指定します。デリバリーグループには、マシンカタログに記載されているマシンと、サイトへのアクセス権を持つActive Directoryユーザーが含まれています。Active Directoryグループとデリバリーグループは同様の要件に基づいてユーザーをグループ化する方法であるため、Active Directoryグループを使用してデリバリーグループにユーザーを割り当てることができます。
1つのデリバリーグループに複数のカタログからのマシンを含めることができ、1つのカタログからのマシンを複数のデリバリーグループで使用できます。ただし、1つのマシンが複数のデリバリーグループに属することはできません。
管理者は、デリバリーグループ内のユーザーがどのリソースにアクセスできるのかを定義します。たとえば、異なるアプリケーションを異なるユーザーに配信する場合、1つのマシンカタログのマスターイメージにそれらのすべてのアプリケーションをインストールしておき、複数のデリバリーグループに分配するための十分な数のマシンをそのカタログに作成します。次に、マシンにインストールされているアプリケーションの異なるサブセットが配信されるように各デリバリーグループを構成します。
詳しくは、「デリバリーグループの作成」を参照してください。
アプリケーショングループ
アプリケーショングループは、さらに多くのデリバリーグループを使用するのに比べて、アプリケーション管理とリソース制御に利点をもたらします。タグ制約機能を使用すると、複数の公開タスクに既存のマシンを使用できるので、追加のマシンを展開、管理するコストを節約できます。タグ制約は、デリバリーグループのマシンをさらに分割(またはパーティション化)するものと考えることができます。また、アプリケーショングループを使用すると、デリバリーグループ内のマシンのサブセットを分離してトラブルシューティングするときに便利です。
詳しくは、「アプリケーショングループの作成」を参照してください。