参考架构:Virtual Apps and Desktops 服务
概述
当 Covid-19 发生时,它迫使 Worldwide Co. 的所有员工远程办公。Worldwide Co. 办公室用户通常使用与其立方/办公室相关的公司拥有的 PC 工作。Worldwide Co. 快速部署了 Citrix Virtual Apps and Desktops 服务,允许用户使用 Remote PC Access 从家中安全地访问其工作 PC。
在 2020 年疫情期间,Worldwide Co. 意识到,担任某些角色的员工在家工作比在办公室工作的效率同等或更高。因此,他们希望确保自己的环境允许这些新的永久远程员工使用。
尽管许多员工成为永久性远程员工,但是一组员工的角色需要现场办公。但是,Worldwide Co. 希望为办公室的员工提供根据需要进行远程办公的灵活性。
此参考体系结构显示了 Worldwide Co. 如何规划其 Citrix Virtual Apps and Desktops 环境。
成功标准
Worldwide Co. 定义了一系列成功标准,这些标准构成了总体设计的基础。
成功标准 | 说明 | 解决方案 |
---|---|---|
灵活的工作方式 | 尽管许多用户都有主要工作环境,但该解决方案支持工作方式灵活性,允许用户根据需要随时随地工作 | Citrix Virtual Apps and Desktops 服务 |
将硬件成本降至 | 很大一部分用户在办公室使用传统 PC 工作。该解决方案允许用户在保持相同体验的同时远程工作。 | Remote PC Access |
安全的资源 | 对于使用不受信任的终端节点或从不安全位置访问的用户,必须保护公司资源。 | 无 VPN 访问 |
尽量减少数据中心占 | 最大限度地减少数据中心占用空间,以便灵活性和敏捷性根据需要进行扩展,并减少需要管理的物理硬件和设备的数量。 | Citrix Virtual Apps and Desktops 服务和云 VDI |
自适应会话 | 由于最终用户与资源的连接性质不同,随着最终用户环境的变化,体验会动态变化。 | HDX 自适应技术 |
用户体验报告 | 由于 IT 无法完全控制远程用户与虚拟桌面之间的链路,他们需要能够监控整体体验并确定需要改进的领域。 | Performance Analytics |
最佳路由 | 为了减少延迟并改善体验,解决方案必须尽可能使用最佳路线。 | Citrix Gateway 服务 |
优化云成本 | 根据计划和使用情况自动扩展工作负载,最大限度地降低 | AutoScale |
多因素身份验证 | 考虑到安全性,需要 MFA 来确保对企业资源进行另一层身份验证和保护。 | 基于时间的一次性密码微服 |
最佳性能和应用响应时间 | 在多用户环境中,避免出现单个用户可以垄断 CPU 资源的情况,这会对其他用户造成负面影响。 | 工作区管理-CPU 优化 |
优化向最终用户提供的图像 | 帮助管理员优化图像的简单工具 | Citrix Optimizer |
业务连续性 | 云服务出现中断时的弹性选项 | Citrix 服务连续性 |
概念体系结构
根据上述要求,Worldwide Co. 创建了以下架构。这种架构不仅能够满足上述所有要求,而且还将为 Worldwide Co. 提供扩展到未来确定的其他用例所需的基础。
Citrix Virtual Apps and Desktops 体系结构分为多个层。此框架为了解最常见的虚拟桌面/应用程序部署方案的技术体系结构奠定了基础。所有层都流在一起,为组织创建完整的端到端解决方案。
在高级别上:
-
用户层: 此层描述用于连接资源的最终用户环境和终端设备。
- 外部用户:访问 Citrix Workspace 以访问在 Azure 中托管的 Azure 虚拟桌面。
- 内部用户:在办公室时,继续使用他们的物理 PC。远程办公时,他们会访问 Citrix Workspace 和 Remote PC Access 以连接到基于办公室的物理 PC。
-
接入层: 此层描述了有关 Citrix 环境的外部和内部访问的详细信息。
- Citrix Workspace:一个完整的数字化工作空间解决方案,允许您安全访问与组织中的人员角色相关的信息、应用程序和其他内容。
- 网关服务:这项基于云的服务通过身份识别和访问管理 (iDAM) 功能提供安全的远程访问,为 SaaS(软件即服务)应用程序、虚拟应用程序和桌面提供统一的体验。
-
资源层: 此层定义了提供给每个用户组的虚拟桌面、应用程序和数据。
- Remote PC Access:传统的本地 Windows 桌面,分配给单个用户,可以在本地进行物理访问或远程访问。
- Azure 虚拟桌面:虚拟化 Windows 10 多会话操作系统,使用户能够远程访问其桌面和应用程序。
-
控制层: 此层描述了用于支持其余环境的组件的详细信息。
- Virtual Apps and Desktops 服务:此基于云的服务管理 Azure 虚拟桌面和远程 PC 访问的授权和代理。
- Workspace Environment Management 服务:此基于云的服务使用智能资源管理和配置文件管理技术,提供尽可能最佳的性能、桌面登录和应用程序响应时间。
- Performance Analytics:这项基于云的服务可跟踪、聚合和可视化 Citrix Virtual Apps and Desktops 环境的关键性能指标。
-
主机层: 此层描述用于 Citrix 环境的硬件组件(私有云、公共云和混合云)— 硬件、存储和虚拟化详细信息。
- 物理 PC:他们使用自己已经拥有的物理 PC,但允许用户在需要时远程访问它们
- Azure:为了减少数据中心占用空间,他们在 Azure 上部署新的虚拟桌面资源。
在下面的部分中,我们将介绍上述每个架构组件,以及它们如何满足 XYZ 公司的要求。
详细的架构
用户层
将用户要求与适当的虚拟桌面保持一致是创建完整的端到端解决方案的第一步。Worldwide Co. 定义了下面的用户要求。
用户需要访问… | 用户包括… | 终端节点包括… | 常见地点包括… | 它提供了… |
---|---|---|---|---|
带业务线应用程序的标准化桌面环境 | 工程师设计师 | 在办公室:实体企业 PC 远程:个人设备 | 主要是内部本地网络。有时是远程、不受信任的网络。 | Remote PC Access |
带业务线应用程序的标准化桌面环境 | 销售营销 | 个人设备平板电脑 | 远程不受信任的网络 | Azure 虚拟桌面 |
办公室工作人员通常使用公司拥有的 PC 在办公室工作。疫情发生时,他们需要一种方法来安全地在家办公,同时仍然使用办公室中的个人电脑。Worldwide Co. 意识到办公室工作人员可以作为远程工作人员提高生产力,并希望提供远程办公的灵活性。他们在办公室工作时继续在本地使用 PC,并在家办公时通过 Citrix Virtual Apps and Desktops Remote PC Access 远程访问它们。
员工主要是远程员工。Worldwide Co. 不想提供公司拥有的设备,而是希望为这些员工提供使用他们想要的任何设备的选择。这可能包括个人笔记本电脑、智能手机或平板电脑等设备。由于 Worldwide Co. 希望尽量减少其数据中心占用空间,因此他们选择为这组员工部署 Citrix Virtual Apps and Desktops 服务的 Azure 虚拟桌面。
访问层
提供对环境的访问权限不仅仅包括与资源建立连接。除了组织定义的安全策略之外,提供适当的访问级别还取决于用户所在的位置。Worldwide Co. 选择执行以下操作:
-
最小化数据中心占用空间:
- 网关服务:全球公司决定部署网关服务,以符合减少数据中心占用空间的目标。Gateway 服务允许他们为外部用户提供安全的远程访问,而无需部署和维护任何物理硬件、公共 IP 地址或防火墙规则。他们也不必担心冗余架构,因为 Citrix 会为他们处理冗余问题 — Gateway Service 在全球多个区域运行,集成冗余。Gateway 服务最大限度地减少了所需的基础设施,从而使管理员能够在需要时(并购、灾难恢复、新用户或承包商)快速扩展。有关网关服务的更多信息可以 在这里找到。
- Rendezvous 协议:Worldwide Co. 还开启了 Rendezvous 协议,该协议 允许 HDX 会话绕过 Citrix Cloud Connector 直接连接到 Citrix Gateway 服务。聚合协议减少了 Cloud Connector 的负载,这有助于减少数据中心占用空间。
- 多因素身份验证: Worldwide Co. 决定实施多因素身份验证来保护他们的知识产权。他们选择通过 Citrix Workspace 中的 基于时间的一次性密码微服务 来执行此操作。他们选择 TOTP 是因为它允许他们满足安全需求,而无需部署或维护其他第三方系统。有关 TOTP 和工作空间标识的其他信息可 在此处找到。
- 最佳路由-网关服务: 由于网关服务是全球分布的,它允许用户通过最快的接入点进行连接,从而创造最佳的用户体验。
- 安全资源: 所有用户使用 Workspace 和 Gateway 服务进行身份验证,都提供对其物理 PC 和云托管 VDI 桌面的无 VPN 访问权限。虽然此参考体系结构仅显示访问虚拟应用程序和桌面的用户,但 Workspace 使组织能够灵活地从一个统一位置为最终用户提供 SaaS、Web、移动设备、文件和微应用。此外,它还提供了 SSO,因此用户不必一遍又一次地不断地重新进行身份验证。
-
业务连续性: Worldwide Co. 还利用了 Citrix Workspace 中最新的服务连续性功能。服务连续性进一步扩展了 Citrix Virtual Apps 程序和桌面服务的弹性,以防出现以下任何一种情况的中断:
- Citrix Workspace 门户
- Citrix Cloud 平台
- Citrix 身份提供商服务
- Citrix Virtual Apps and Desktops 控制面
- AWS 和 Azure 平台
Worldwide Co. 选择了这种方法,而不是本地主机缓存,因为服务连续性没有任何本地要求。基本上,它将长期连接票证用于工作区,只要终端和 VDA 之间存在网络连接,就可以将用户连接到他们的 VDA。有关服务连续性的更多信息可以 在这里找到。
资源层
用户需要访问其资源,无论这些资源是桌面还是应用程序。 资源是在由 Worldwide Co. 管理的资源位置配置的。资源的配置必须与用户组的总体需求保持一致。最终用户期望获得类似或优于传统 PC 环境的体验。资源可以位于本地、私有云、公共云或混合方法中。这对最终用户来说是无缝的。Cloud Connector 位于每个资源位置中,用于将资源与 Citrix Cloud 连接起来。Worldwide Co. 选择执行以下操作:
-
尽量减少硬件成本:
- 远程PC访问:远程PC访问允许用户访问其办公室的物理PC。
用户通过自己的个人设备进行访问和通过 Workspace 应用程序身份验证后,用户将有权访问其物理 Windows 桌面。Worldwide Co. 遵循此处找到的 Remote PC Access VDA 的最佳实践 (/zh-cn/tech-zone/design/design-decisions/remote-pc-access.html)。
- 最大限度地减少数据中心占用空间: Worldwide Co. 已选择 Azure 作为其他资源位置。这使他们能够根据需要快速启动新资源,而无需添加新的基础架构。它为他们提供了快速轻松地扩展的灵活性。 Co. 在考虑部署哪个实例系列时,使用了以下“设计决策”指南 。最终,他们选择了一个具有标准硬盘的 D13_v2 实例和带有 Windows 10 多会话操作系统的 2GB MCSIO 缓存。Worldwide Co. 已选择通过 Azure Active Directory 域服务和组织的本地 Active Directory 中的用户帐户将这些域加入到其本地 Active Directory。更多信息可以 在这里找到。
- 优化向最终用户推荐的映像: Worldwide Co. 已选择使用 Citrix Optimizer 来优化其 VDA。有关 Citrix Optimizer 的信息可 在此处找到。
- 适应性会话: Worldwide Co. 使用了 基线策略,但他们开启了“自适应传输”。自适应传输允许会话响应不断变化的网络状况。对于远程员工,自适应传输使他们能够获得最佳的用户体验。他们还利用其他 HDX 技术 来改善整体体验。
控制层
使用 Citrix Virtual Apps and Desktops 服务,交付控制器、SQL 数据库、Studio、Director 和许可是控制层中的核心组件。这些组件是在激活虚拟应用程序和桌面服务期间由 Citrix 在 Citrix Cloud 上预配的。Citrix 处理这些组件的冗余、更新和安装。这允许环境始终拥有最新的功能和安全补丁程序。可以在 Citrix Cloud 中启用更多服务,以支持 Worldwide Co. 的要求。Worldwide Co. 选择了以下内容:
- 用户体验报告: Worldwide Co. 选择启用 Citrix Analytics for Performance,这使他们能够量化最终用户体验并主动解决任何问题。这些信息可以在他们的两个资源位置中看到。更多信息可以 在这里找到。
- 最佳性能和应用程序共享时间: Worldwide Co. 希望避免出现单个用户可以垄断 CPU 资源的情况,这对其他用户产生负面影响(噪音邻居综合征)。因此,他们使用 Workspace Environment Management 服务启用 CPU 管理设置。有关 CPU 管理的更多信息可以 在这里找到。
Worldwide Co. 选择将 Azure Windows 虚拟桌面通过 Azure Active Directory 域服务将其 Azure Windows 虚拟桌面加入组织的本地 Active Directory,并将用户的帐户保留在组织的本地 Active Directory 中。Active Directory 使用 Azure AD Connect 与客户 Azure 订阅中的 Azure AD 进行同步。此设置允许通过同步的 Azure AD 对用户的身份进行身份验证。
主机层
管理员可以灵活地在本地、公共云或混合方法中进行部署。Worldwide Co. 已选择执行以下操作:
-
优化云成本:
- AutoScale:Worldwide Co. 选择部署 AutoScale 来优化云成本。借助 AutoScale,您可以智能地利用、分配和取消分配资源。有关自动缩放的更多信息可以 在这里找到。Worldwide Co. 最初将根据典型工作日使用以下基于计划的 AutoScale 参数:
天 | 高峰时段 | 非高峰时段 | 活动的机器 |
---|---|---|---|
工作日 | 7AM-5PM | 5PM-7AM | 峰值:50% 关闭时峰值:5% |
周末 | 无 | 全天 | 5% |
为了容纳更多用户,Worldwide Co. 还通过以下参数启用了基于负载的扩展:
天 | 容量缓冲区(峰值) | 容量缓冲区(非高峰) |
---|---|---|
工作日 | 20% | 5% |
周末 | 5% | 5% |
- Azure 规模调整:Worldwide Co. 选择使用标准硬盘和 2GB MCSIO 部署 D13_v2 实例,以最低的成本提供最佳用户体验。可以 在这里找到有关 Azure 上的 Citrix Virtual Apps and Desktops 服务的可扩展性的深入分析。