Geekly articles weekly

Arquitectura del espacio de trabajo digital de Citrix Cloud



Introduccion


Este artículo describe las características y características arquitectónicas de la plataforma en la nube Citrix Cloud y el conjunto de servicios Citrix Workspace. Estas soluciones son el elemento central y la base para la implementación del concepto de trabajos digitales (trabajos digitales) de Citrix.

En este artículo, traté de comprender y formular relaciones causales entre plataformas en la nube, servicios y suscripciones de Citrix, cuya descripción en las fuentes públicas de la compañía (citrix.com y docs.citrix.com) se ve muy nubosa en algunos lugares. Tecnología en la nube: ¡aparentemente nada más! Vale la pena señalar que la arquitectura y la tecnología se revelan como un todo sano. Surgen dificultades para comprender la relación jerárquica entre servicios y plataformas:

  • ¿Qué plataforma es la principal: Citrix Cloud o Citrix Workspace Platform?
  • ¿Cuál de las plataformas enumeradas anteriormente incluye los numerosos servicios de Citrix necesarios para construir la infraestructura digital del lugar de trabajo?
  • ¿Cuánto es este placer y en qué opciones se puede obtener?
  • ¿Es posible implementar todas las funciones de Citrix digital works sin usar Citrix Cloud?

Respuestas a estas preguntas y una introducción a las soluciones de estaciones de trabajo digitales de Citrix.

Citrix Cloud


Citrix Cloud es una plataforma en la nube que alberga todos los servicios necesarios para organizar estaciones de trabajo digitales. Citrix posee esta nube directamente, se dedica a su mantenimiento y proporciona el SLA especificado (disponibilidad del servicio, al menos 99.5% por mes).

Los clientes (clientes) de Citrix, dependiendo de la suscripción seleccionada (paquete de servicio), obtienen acceso a una lista específica de servicios utilizando el modelo SaaS. Para ellos, Citrix Cloud actúa como el tablero digital de la compañía basado en la nube. Citrix Cloud tiene una arquitectura multiinquilino, los clientes y sus infraestructuras están aislados unos de otros.

Citrix Cloud actúa como un plano de control, aloja numerosos servicios en la nube de Citrix, que incluyen servicio y servicios de gestión de la infraestructura del espacio de trabajo digital. El plano de datos, incluidas las aplicaciones de usuario, los escritorios y los datos, se encuentra fuera de Citrix Cloud. La única excepción es el Servicio de navegador seguro, que está completamente basado en la nube. El plano de datos se puede ubicar en el centro de datos del cliente (local), el centro de datos del proveedor de servicios, hiper-nubes (AWS, Azure, Google Cloud). Las soluciones mixtas y distribuidas son posibles cuando los datos del cliente se encuentran en varios sitios y nubes, mientras que su administración se centraliza desde Citrix Cloud.



Este enfoque tiene una serie de ventajas obvias para los clientes:

  • libertad de elegir un sitio para la colocación de datos;
  • la capacidad de construir una infraestructura distribuida híbrida, que involucra múltiples ubicaciones de diferentes proveedores, en múltiples nubes y locales;
  • falta de acceso directo a los datos del usuario desde Citrix, ya que están ubicados fuera de Citrix Cloud;
  • la capacidad de establecer independientemente el nivel requerido de rendimiento, tolerancia a fallas, confiabilidad, confidencialidad, integridad y disponibilidad de datos; después de eso, seleccione los sitios apropiados para la colocación;
  • la falta de la necesidad de alojar y mantener muchos servicios de administración de estaciones de trabajo digitales, ya que todos están ubicados en Citrix Cloud y son un dolor de cabeza para Citrix; como resultado, reducción de costos.

Espacio de trabajo de Citrix


Citrix Workspace es un concepto trascendental, fundamental e integral. Lo trataremos con más detalle y quedará claro: por qué.

En general, Citrix Workspace representa el concepto de lugar de trabajo digital de Citrix. Es a la vez una solución, un servicio y un conjunto de servicios para crear un lugar de trabajo unificado, seguro, conveniente y manejable.

Los usuarios obtienen SSO sin interrupciones para acceder rápidamente a aplicaciones / servicios, escritorios y datos desde una sola consola desde cualquier dispositivo para un trabajo productivo. Pueden olvidarse felizmente de las muchas cuentas, contraseñas y dificultades para encontrar aplicaciones (accesos directos, el panel de Inicio, navegadores, todo en diferentes lugares).



Un servicio de TI recibe herramientas para la gestión centralizada de servicios y dispositivos de clientes, seguridad, control de acceso, monitoreo, actualización, optimización de interacción de red, análisis.

Citrix Workspace proporciona acceso unificado a los siguientes recursos:

  • Citrix Virtual Apps and Desktops: virtualización de aplicaciones y escritorios;
  • Aplicaciones web
  • Aplicaciones SaaS en la nube;
  • Aplicaciones móviles
  • Archivos en varios almacenes, incluidos nublado



El acceso a los recursos de Citrix Workspace es a través de:

  • Navegador estándar: compatible con Chrome, Safari, MS IE y Edge, Firefox
  • o aplicación cliente "nativa": aplicación Citrix Workspace.

El acceso es posible desde todos los dispositivos cliente populares:

  • Computadoras completas con Windows, Linux, MacOS e incluso Chrome OS;
  • Dispositivos móviles con iOS o Android.

Citrix Workspace Platform es parte de los muchos servicios en la nube de Citrix Cloud para organizar espacios de trabajo digitales. Vale la pena señalar que Workspace incluye la mayoría de los servicios que están presentes en Citrix Cloud, nos ocuparemos de ellos más adelante.

Por lo tanto, los usuarios finales obtienen la funcionalidad de las estaciones de trabajo digitales en sus dispositivos cliente favoritos a través de la aplicación Workspace o su reemplazo del navegador (aplicación Workspace para HTML5). Para lograr esta funcionalidad, Citrix ofrece la Plataforma de espacio de trabajo en forma de un conjunto de servicios en la nube que los administradores de la compañía administran a través de Citrix Cloud.

Citrix Workspace está disponible en tres paquetes : Standard, Premium, Premium Plus. Difieren en la cantidad de servicios incluidos en el paquete. Además, es posible comprar algunos servicios por separado, fuera del paquete. Por ejemplo, el servicio fundamental Virtual Apps and Desktops se incluye solo en el paquete Premium Plus, y su costo por separado es más alto que el paquete Standard y es casi igual a Premium.

Resulta que Workspace es a la vez una aplicación cliente - Workspace App, y una plataforma en la nube (parte de ella) - Workspace Platform, y el nombre de la variedad de paquetes de servicios, y el concepto de lugares de trabajo digitales de Citrix en su conjunto. Aquí hay una entidad tan diversa.

Arquitectura y requisitos del sistema.


Convencionalmente, en la estructura de Digital Works de Citrix, hay 3 áreas:

  • Muchos dispositivos cliente con la aplicación Workspace o acceso basado en navegador a estaciones de trabajo digitales.
  • Directly Workspace Platform en la nube Citrix Cloud, que vive en algún lugar de Internet en el dominio cloud.com.
  • Ubicación de recursos: sitios propios o arrendados, nubes privadas o públicas, que alojan recursos con aplicaciones, escritorios virtuales y datos de clientes publicados en Citrix Workspace. Este es el mismo plano de datos, que se mencionó anteriormente. Recuerdo que un cliente puede tener varias ubicaciones de recursos.

Los ejemplos de recursos incluyen hipervisores, servidores, dispositivos de red, dominios AD y otros elementos necesarios para proporcionar a los usuarios los servicios de estación de trabajo digital adecuados.

Un escenario de infraestructura distribuida puede involucrar:

  • varias ubicaciones de recursos en los propios centros de datos del cliente,
  • ubicaciones en la nube pública
  • Pequeñas ubicaciones en ubicaciones remotas.

Cuando planifique sus ubicaciones, considere:

  • proximidad de usuarios, datos y aplicaciones;
  • la capacidad de escalar, incluyendo asegurar la rápida creación de capacidad y liquidación;
  • requisitos de seguridad y reguladores.

Las comunicaciones entre Citrix Cloud y las ubicaciones de recursos del cliente se realizan a través de componentes llamados Citrix Cloud Connector. Estos componentes permiten al cliente centrarse en el seguimiento de los recursos proporcionados a los usuarios y olvidarse de los bailes con los servicios de oficina y administración que ya están implementados en la nube y están acompañados por Citrix.

Para el equilibrio de carga y la tolerancia a fallas, se recomienda que implemente al menos dos Cloud Connectors en cada ubicación de recursos. Cloud Connector se puede instalar en una máquina física o virtual dedicada con Windows Server (2012 R2 o 2016). Es preferible colocarlos en una red interna de asignación de recursos, no en una DMZ.

Cloud Connector autentica y cifra el tráfico entre Citrix Cloud y la ubicación de los recursos a través de https, de forma predeterminada, el puerto TCP 443. Solo se permiten sesiones salientes: desde Cloud Connector a la nube, las conexiones entrantes están prohibidas.

Citrix Cloud requiere Active Directory (AD) en la infraestructura del cliente. AD actúa como el proveedor principal de IdAM y se requiere para autorizar el acceso del usuario a los recursos del espacio de trabajo. Cloud Connectors debe tener acceso a AD. Para la tolerancia a fallas, es una buena práctica tener un par de controladores de dominio en cada ubicación de recursos que interactuarán con los Cloud Connectors de esta ubicación.

Servicios en la nube de Citrix


Ahora vale la pena detenerse en los principales servicios de Citrix Cloud que subyacen a la plataforma Citrix Workspace y permiten a los clientes implementar estaciones de trabajo digitales completas.



Considere el propósito y la funcionalidad de estos servicios.

Aplicaciones virtuales y escritorios


Este es el servicio principal de Citrix Digital Workspace, que proporciona acceso de terminal a aplicaciones y VDI completo. Admite la virtualización de aplicaciones y escritorios de Windows y Linux.

Como un servicio en la nube de Citrix Cloud, el servicio de aplicaciones virtuales y escritorios tiene los mismos componentes que las aplicaciones y escritorios virtuales tradicionales (no en la nube), como se muestra en la figura a continuación. La diferencia es que todos los componentes de control en el caso del servicio están ubicados en Citrix Cloud. El cliente ya no necesita implementar y mantener estos componentes, asignarles potencia informática, Citrix lo hace.



Por su parte, el cliente debe implementar los siguientes componentes en ubicaciones de recursos:

  • Conectores en la nube
  • Controladores de dominio AD
  • Agentes de entrega virtual (VDA);
  • Hipervisores: por regla general, lo son, pero hay situaciones en las que puedes manejar la física;
  • Los componentes opcionales son Citrix Gateway y StoreFront.

Todos estos componentes, excepto Cloud Connectors, son mantenidos por el cliente por su cuenta. Esto es lógico, porque el plano de datos se encuentra aquí, especialmente para nodos físicos e hipervisores con VDA, donde las aplicaciones de usuario y los escritorios se ubican directamente.

Cloud Connectors solo debe ser instalado por el cliente, este es un procedimiento muy simple que se realiza desde la consola Citrix Cloud. Su soporte adicional se lleva a cabo automáticamente.

Control de acceso


Este servicio proporciona las siguientes características:

  • SSO (inicio de sesión único) en una gran lista de aplicaciones SaaS populares;
  • Filtrar el acceso a los recursos de Internet;
  • Monitoreo de la actividad del usuario en Internet.

Los clientes de SSO para servicios SaaS a través de Citrix Workspace son una alternativa más conveniente y segura que el acceso normal al navegador. La lista de aplicaciones SaaS compatibles es bastante grande y se expande constantemente.

El filtrado de acceso a Internet se puede configurar en base a listas blancas o negras de sitios creadas manualmente. Además, la clasificación de acceso por categorías de sitio es compatible con base en listas de URL comerciales extensas, actualizadas. Los usuarios pueden tener acceso restringido a categorías de sitios tales como redes sociales, compras, para adultos, malware, torrents, servidores proxy, etc.

Además de permitir el acceso a sitios / SaaS directamente o bloquear el acceso a ellos, es posible redirigir a los clientes a Secure Browser. Es decir Para reducir los riesgos, el acceso a categorías / listas seleccionadas de recursos de Internet solo será posible a través del Navegador seguro.



El servicio también proporciona análisis detallados para monitorear la actividad del usuario en Internet: sitios y aplicaciones visitados, recursos y ataques peligrosos, acceso bloqueado, volúmenes de datos descargados / descargados.

Navegador seguro


Le permite publicar un navegador de Internet (Google Chrome) para usuarios de Citrix Workspace como una aplicación virtual. Secure Browser es un servicio SaaS administrado y mantenido por Citrix. Está completamente alojado en Citrix Cloud (incluido el plano de datos); el cliente no necesita implementarlo y mantenerlo en sus propias ubicaciones de recursos.

Citrix es responsable de asignar recursos en su nube para VDA, que aloja los navegadores publicados para los clientes, y garantiza la seguridad y la actualización del sistema operativo y los navegadores.

Los clientes acceden al navegador seguro a través de la aplicación Workspace o el navegador del cliente. La sesión se cifra con TLS. Para usar el servicio, el cliente no necesita descargar ni instalar nada.

Los sitios y las aplicaciones web lanzadas a través de Secure Browser giran en la nube, el cliente solo recibe una imagen de la sesión del terminal, no se hace nada en el dispositivo terminal. Esto le permite aumentar significativamente el nivel de seguridad y protegerse de los ataques del navegador.

La conexión y administración del servicio se lleva a cabo a través del panel de clientes de Citrix Cloud. La conexión se realiza en un par de clics:


La administración también es bastante simple, se trata de establecer la política y las hojas blancas:


La política le permite ajustar la siguiente configuración:

  • Portapapeles: le permite habilitar la opción de copiar y pegar en una sesión del navegador;
  • Impresión: la capacidad de guardar páginas web en un dispositivo cliente en formato PDF;
  • Sin kiosco: habilitado de forma predeterminada, permite el uso completo del navegador (pestañas múltiples, barra de direcciones);
  • Conmutación por error de región: la capacidad de reiniciar el navegador en otra región de Citrix Cloud cuando cae la región principal;
  • Asignación de unidades de cliente: la capacidad de montar un disco de dispositivo de cliente para descargar o descargar archivos de sesión del navegador.

Las hojas blancas (listas blancas) le permiten especificar una lista de sitios a los que los clientes tendrán acceso. Se denegará el acceso a recursos fuera de esta lista.

Colaboración de contenido


Este servicio ofrece la posibilidad de acceso conjunto para los usuarios de Workspace a los archivos y documentos publicados en los recursos internos (locales) del cliente y los servicios de nube pública compatibles. Estos pueden ser carpetas personales del usuario, bolas de red corporativas, documentos de SharePoint o repositorios en la nube como OneDrive, DropBox o Google Drive.

El servicio proporciona SSO para acceder a datos en todo tipo de recursos de almacenamiento. Los usuarios de Citrix Workspace obtienen acceso seguro a los archivos de trabajo desde sus dispositivos, no solo en la oficina, sino también de forma remota, sin ninguna dificultad adicional.

Content Collaboration proporciona las siguientes características para trabajar con datos:

  • intercambio de archivos entre los recursos de Workspace y el dispositivo del cliente (descarga y descarga),
  • sincronización de archivos de usuario en todos los dispositivos,
  • intercambio de archivos y sincronización para múltiples usuarios de Workspace,
  • establecer derechos de acceso a archivos y carpetas para otros usuarios de Workspace,
  • una solicitud de acceso a archivos, la formación de enlaces para cargar (cargar) archivos de forma segura.

Además, se proporcionan mecanismos de protección adicionales:

  • acceso a archivos con contraseñas de un solo uso,
  • cifrado de archivos
  • intercambio de archivos con marca de agua.

Gestión de punto final


Este servicio proporciona la funcionalidad necesaria para que las estaciones de trabajo digitales administren dispositivos móviles (Mobile Device Management - MDM) y aplicaciones (Mobile Application Management - MAM). Citrix lo posiciona como una solución SaaS-EMM: Enterprise Mobility Management como un servicio.

La funcionalidad MDM le permite:

  • Distribuya aplicaciones, políticas de dispositivos, certificados para conectarse a los recursos del cliente,
  • realizar un seguimiento de los dispositivos
  • bloquear y realizar un borrado total o parcial de dispositivos.

La funcionalidad MAM le permite:

  • Asegure aplicaciones y datos en dispositivos móviles
  • Entregue aplicaciones móviles corporativas.

Desde el punto de vista de la arquitectura y el principio de proporcionar servicios al cliente, Endpoint Management es muy similar a la versión en la nube de las aplicaciones virtuales y los escritorios descritos anteriormente. Control Plane y los servicios que lo forman se encuentran en Citrix Cloud, Citrix es responsable de su mantenimiento, lo que nos permite considerar este servicio como SaaS.

El plano de datos en las ubicaciones de recursos del cliente incluye:

  • Se requieren conectores en la nube para interactuar con Citrix Cloud,
  • Citrix Gateway, que proporciona acceso remoto seguro para los usuarios a los recursos internos del cliente (aplicaciones, datos) y la funcionalidad micro-VPN,
  • Active Directory PKI
  • Intercambio, archivos, aplicaciones virtuales y escritorios.



Puerta de enlace


Citrix Gateway proporciona la siguiente funcionalidad:

  • puerta de enlace de acceso remoto: conexión segura a recursos corporativos para usuarios móviles y remotos fuera del perímetro seguro,
  • Proveedor de IdAM (gestión de identidad y acceso) para proporcionar SSO a recursos corporativos.

En este contexto, los recursos corporativos deben entenderse no solo como aplicaciones virtuales y escritorios, sino también como muchas aplicaciones SaaS.

Para optimizar el tráfico de red y obtener la funcionalidad de micro VPN, debe implementar Citrix Gateway en cada una de las ubicaciones de recursos, generalmente en la DMZ. En este caso, la asignación de las capacidades y el apoyo necesarios recae en los hombros del cliente.

Una alternativa es usar Citrix Gateway como un servicio Citrix Cloud, en este caso, el cliente no necesita implementar y mantener nada por sí mismo, para lo cual Citrix hace esto en su nube.

Analítica


Este es un servicio analítico de Citrix Cloud integrado con todos los servicios en la nube descritos anteriormente. Está diseñado para recopilar y analizar datos generados por los servicios de Citrix a través de mecanismos integrados de aprendizaje automático. Esto tiene en cuenta las métricas relacionadas con los usuarios, las aplicaciones, los archivos, los dispositivos y la red.

Como resultado, se generan informes sobre seguridad, rendimiento y operaciones del usuario.



Además de generar informes estadísticos, Citrix Analytics puede actuar de manera proactiva. Consiste en formar perfiles del comportamiento normal del usuario e identificar anomalías. Si el usuario comienza a usar la aplicación de manera no estándar o se involucra activamente con los datos, él y su dispositivo pueden bloquearse automáticamente. Lo mismo sucede si accede a recursos peligrosos de Internet.

Se presta atención no solo a la seguridad, sino también al rendimiento. Analytics le permite monitorear y resolver rápidamente los problemas asociados con el inicio de sesión prolongado del usuario y los retrasos en la red.

Conclusión


Nos familiarizamos con la arquitectura de la nube Citrix, la plataforma Workspace y sus servicios básicos necesarios para organizar la infraestructura de los lugares de trabajo digitales. Cabe señalar que hemos considerado lejos de todos los servicios de Citrix Cloud, limitándonos al conjunto básico para organizar el espacio de trabajo digital. La lista completa de servicios en la nube de Citrix también incluye herramientas de red, características adicionales para trabajar con aplicaciones y estaciones de trabajo.

También es necesario decir que la funcionalidad básica de los lugares de trabajo digitales se puede implementar sin Citrix Cloud, exclusivamente en las instalaciones. El producto básico Virtual Apps and Desktops todavía está disponible en la versión clásica, cuando no solo VDA, sino todos los servicios de administración, el cliente implementa y mantiene en su sitio de forma independiente, no se necesitan Cloud Connectors en este caso. Lo mismo se aplica a Endpoint Management: su antecesor en pemises se llama XenMobile Server, aunque en la versión en la nube es un poco más funcional. El cliente también puede implementar algunas de las funciones de Control de acceso en su sitio. La funcionalidad del navegador seguro se puede implementar localmente, y la elección del navegador depende del cliente.

El deseo de desplegar todo en su sitio es bueno en términos de seguridad, control y desconfianza de las sanciones de las nubes burguesas. Sin embargo, sin Citrix Cloud, la funcionalidad de Content Collaboration and Analytics será completamente inaccesible. La funcionalidad de otras soluciones locales de Citrix, como se mencionó anteriormente, puede ser inferior a su implementación en la nube. Y lo más importante es que deberá mantener el plano de control y administrarse.

Enlaces utiles:


Hojas de datos de productos Citrix , incluidas Citrix Cloud
Citrix Tech Zone : videos técnicos, artículos y gráficos
Biblioteca de recursos de Citrix Workspace

Source: https://habr.com/ru/post/469593/

More articles:


All Articles