Geekly articles weekly

Architecture de l'espace de travail numérique Citrix Cloud



Présentation


Cet article décrit les fonctionnalités et les fonctionnalités architecturales de la plateforme cloud Citrix Cloud et de la suite de services Citrix Workspace. Ces solutions sont l'élément central et la base de la mise en œuvre du concept de travaux numériques (travaux numériques) de Citrix.

Dans cet article, j'ai essayé de comprendre et de formuler des relations causales entre les plateformes cloud, les services et les abonnements Citrix, dont la description dans les sources publiques de l'entreprise (citrix.com et docs.citrix.com) semble très brumeuse par endroits. Technologie cloud - apparemment rien d'autre! Il convient de noter que l'architecture et la technologie sont divulguées dans leur ensemble. Des difficultés surgissent pour comprendre la relation hiérarchique entre les services et les plateformes:

  • quelle plateforme est la principale - Citrix Cloud ou Citrix Workspace Platform?
  • Laquelle des plates-formes répertoriées ci-dessus inclut les nombreux services Citrix nécessaires pour construire l'infrastructure numérique du lieu de travail?
  • Quel est ce plaisir et dans quelles options peut-il être obtenu?
  • Est-il possible de mettre en œuvre toutes les fonctionnalités des œuvres numériques Citrix sans utiliser Citrix Cloud?

Réponses à ces questions et introduction aux solutions de station de travail numérique Citrix.

Citrix Cloud


Citrix Cloud est une plateforme cloud qui héberge tous les services nécessaires à l'organisation des postes de travail numériques. Citrix est propriétaire direct de ce cloud, il est engagé dans sa maintenance et fournit le SLA spécifié (disponibilité du service - au moins 99,5% par mois).

Les clients (clients) de Citrix, en fonction de l'abonnement sélectionné (package de services), ont accès à une liste spécifique de services en utilisant le modèle SaaS. Pour eux, Citrix Cloud agit comme le tableau de bord numérique basé sur le cloud de l'entreprise. Citrix Cloud a une architecture multi-locataire, les clients et leurs infrastructures sont isolés les uns des autres.

Citrix Cloud agit comme un plan de contrôle, il héberge de nombreux services cloud Citrix, dont les services et les services de gestion de l'infrastructure de l'espace de travail numérique. Le plan de données, y compris les applications utilisateur, les bureaux et les données, est situé en dehors du cloud Citrix. La seule exception est le Secure Browser Service, qui est entièrement basé sur le cloud. Le plan de données peut être situé dans le centre de données du client (sur site), le centre de données du fournisseur de services, les hyper-clouds (AWS, Azure, Google Cloud). Des solutions mixtes et distribuées sont possibles lorsque les données client se trouvent sur plusieurs sites et clouds, tandis que leur gestion est centralisée depuis Citrix Cloud.



Cette approche présente un certain nombre d'avantages évidents pour les clients:

  • liberté de choisir un site pour le placement de données;
  • la capacité de construire une infrastructure distribuée hybride, impliquant plusieurs sites de différents fournisseurs, dans plusieurs clouds et sur site;
  • manque d'accès direct aux données utilisateur de Citrix, car elles sont situées en dehors de Citrix Cloud;
  • la capacité de définir indépendamment le niveau requis de performance, de tolérance aux pannes, de fiabilité, de confidentialité, d'intégrité et de disponibilité des données; après cela, sélectionnez les sites appropriés pour le placement;
  • l'absence de nécessité d'héberger et de maintenir de nombreux services de gestion des postes de travail numériques, car tous sont situés dans le cloud Citrix et sont un casse-tête pour Citrix; en conséquence, une réduction des coûts.

Citrix Workspace


Citrix Workspace est un concept transcendantal, fondamental et complet. Nous y reviendrons plus en détail et cela deviendra clair - pourquoi.

Dans l'ensemble, Citrix Workspace représente le concept de lieu de travail numérique de Citrix. C'est à la fois une solution, un service et un ensemble de services pour créer un lieu de travail unifié, sûr, pratique et gérable.

Les utilisateurs bénéficient d'une connexion unique transparente pour un accès rapide aux applications / services, aux bureaux et aux données à partir d'une seule console à partir de n'importe quel appareil pour un travail productif. Ils peuvent heureusement oublier les nombreux comptes, mots de passe et difficultés à trouver des applications (raccourcis, panneau Démarrer, navigateurs - tous à des endroits différents).



Un service informatique reçoit des outils pour la gestion centralisée des services et des appareils clients, la sécurité, le contrôle d'accès, la surveillance, la mise à jour, l'optimisation de l'interaction réseau, l'analyse.

Citrix Workspace fournit un accès unifié aux ressources suivantes:

  • Citrix Virtual Apps and Desktops - virtualisation des applications et des bureaux;
  • Applications Web
  • Applications Cloud SaaS;
  • Applications mobiles
  • Fichiers dans divers stockages, y compris nuageux.



L'accès aux ressources Citrix Workspace se fait par:

  • Navigateur standard - prend en charge Chrome, Safari, MS IE et Edge, Firefox
  • ou application cliente «native» - Citrix Workspace App.

L'accès est possible à partir de tous les appareils clients courants:

  • Ordinateurs à part entière exécutant Windows, Linux, MacOS et même Chrome OS;
  • Appareils mobiles avec iOS ou Android.

La plateforme Citrix Workspace fait partie des nombreux services cloud Citrix Cloud pour l'organisation des espaces de travail numériques. Il convient de noter que Workspace inclut la plupart des services présents dans Citrix Cloud, nous y reviendrons plus tard.

Ainsi, les utilisateurs finaux obtiennent la fonctionnalité des postes de travail numériques sur leurs appareils clients préférés via l'application Workspace ou son remplacement de navigateur (application Workspace pour HTML5). Pour atteindre cette fonctionnalité, Citrix propose la plateforme Workspace sous la forme d'un ensemble de services cloud que les administrateurs de l'entreprise gèrent via Citrix Cloud.

Citrix Workspace est disponible en trois packages : Standard, Premium, Premium Plus. Ils diffèrent par le nombre de services inclus dans le forfait. De plus, il est possible d'acheter certains services séparément, en dehors du forfait. Par exemple, le service fondamental Virtual Apps and Desktops est inclus uniquement dans le package Premium Plus, et son coût séparé est plus élevé que le package Standard et est presque égal à Premium.

Il s'avère que Workspace est à la fois une application client - Workspace App et une plate-forme cloud (en partie) - Workspace Platform, et le nom de la variété de packages de services, et le concept de lieux de travail numériques de Citrix dans son ensemble. Voici une entité si diversifiée.

Architecture et exigences système


Classiquement, dans la structure des Œuvres Numériques de Citrix, il y a 3 domaines:

  • De nombreux appareils clients avec Workspace App ou un accès par navigateur aux postes de travail numériques.
  • Directement Workspace Platform dans le cloud Citrix Cloud, qui réside quelque part sur Internet dans le domaine cloud.com.
  • Emplacement des ressources - sites propres ou loués, clouds privés ou publics, qui hébergent des ressources avec des applications, des bureaux virtuels et des données client publiées dans Citrix Workspace. Il s'agit du même plan de données, qui a été mentionné ci-dessus, je me souviens qu'un client peut avoir plusieurs emplacements de ressources.

Les exemples de ressources incluent les hyperviseurs, les serveurs, les périphériques réseau, les domaines AD et d'autres éléments nécessaires pour fournir aux utilisateurs des services de station de travail numérique appropriés.

Un scénario d'infrastructure distribuée peut impliquer:

  • plusieurs emplacements de ressources dans les propres centres de données du client,
  • emplacements de cloud public
  • Petits emplacements dans des endroits éloignés.

Lors de la planification de vos emplacements, pensez à:

  • la proximité des utilisateurs, des données et des applications;
  • la capacité à évoluer, y compris assurer un renforcement et une liquidation rapides des capacités;
  • exigences de sécurité et régulateurs.

Les communications entre Citrix Cloud et les emplacements des ressources client se font via des composants appelés Citrix Cloud Connector. Ces composants permettent au client de se concentrer sur le suivi des ressources fournies aux utilisateurs et d'oublier les danses avec les services de bureau et de gestion déjà déployés dans le cloud et accompagnés de Citrix.

Pour l'équilibrage de charge et la tolérance aux pannes, il est recommandé de déployer au moins deux connecteurs cloud dans chaque emplacement de ressource. Cloud Connector peut être installé sur une machine physique ou virtuelle dédiée exécutant Windows Server (2012 R2 ou 2016). Il est préférable de les placer dans le réseau interne de localisation des ressources, pas dans la DMZ.

Cloud Connector authentifie et crypte le trafic entre Citrix Cloud et l'emplacement des ressources via https, par défaut - port TCP 443. Seules les sessions sortantes sont autorisées - du Cloud Connector au cloud, les connexions entrantes sont interdites.

Citrix Cloud nécessite Active Directory (AD) dans l'infrastructure du client. AD agit comme le principal fournisseur IdAM et est requis pour autoriser l'accès des utilisateurs aux ressources Workspace. Les connecteurs cloud doivent avoir accès à AD. Pour la tolérance aux pannes, il est recommandé d'avoir une paire de contrôleurs de domaine dans chaque emplacement de ressources qui interagira avec les connecteurs cloud de cet emplacement.

Services cloud Citrix


Maintenant, il vaut la peine de s'attarder sur les principaux services Citrix Cloud qui sous-tendent la plate-forme Citrix Workspace et permettent aux clients de déployer des postes de travail numériques à part entière.



Considérez le but et la fonctionnalité de ces services.

Applications et bureaux virtuels


Il s'agit du service principal de Citrix Digital Workspace, qui fournit un accès terminal aux applications et au VDI complet. Il prend en charge la virtualisation des applications et des bureaux Windows et Linux.

En tant que service cloud Citrix Cloud, le service Virtual Apps and Desktops possède les mêmes composants que les applications et bureaux virtuels traditionnels (hors cloud), comme illustré dans la figure ci-dessous. La différence est que tous les composants de contrôle dans le cas du service sont situés dans le cloud Citrix. Le client n'a plus besoin de déployer et d'entretenir ces composants, de leur allouer la puissance de calcul, ceci est fait par Citrix.



De son côté, le client doit déployer les composants suivants dans les emplacements de ressources:

  • Connecteurs cloud
  • Contrôleurs de domaine AD
  • Agents de livraison virtuelle (VDA);
  • Hyperviseurs - en règle générale, ils le sont, mais il y a des situations où vous pouvez vous débrouiller avec la physique;
  • Les composants facultatifs sont Citrix Gateway et StoreFront.

Tous ces composants, à l'exception des connecteurs cloud, sont maintenus par le client de leur propre chef. C'est logique, car le plan de données se trouve ici, en particulier pour les nœuds physiques et les hyperviseurs avec VDA, où les applications utilisateur et les bureaux sont situés directement.

Les connecteurs Cloud doivent uniquement être installés par le client, il s'agit d'une procédure très simple qui est effectuée à partir de la console Citrix Cloud. Leur assistance supplémentaire est effectuée automatiquement.

Contrôle d'accès


Ce service offre les fonctionnalités suivantes:

  • SSO (authentification unique) à une grande liste d'applications SaaS populaires;
  • Filtrage de l'accès aux ressources Internet;
  • Surveillance de l'activité des utilisateurs sur Internet.

Les clients SSO vers les services SaaS via Citrix Workspace sont une alternative plus pratique et sécurisée que l'accès standard au navigateur. La liste des applications SaaS prises en charge est assez longue et ne cesse de s'étendre.

Le filtrage de l'accès Internet peut être configuré sur la base de listes blanches ou noires de sites créées manuellement. De plus, la classification des accès par catégories de sites est prise en charge sur la base de listes d'URL commerciales complètes et mises à jour. L'accès des utilisateurs à des catégories de sites tels que les réseaux sociaux, les achats, pour les adultes, les logiciels malveillants, les torrents, les proxys, etc. peut être restreint.

En plus de permettre l'accès aux sites / SaaS directement ou de bloquer l'accès à ces sites, il est possible de rediriger les clients vers Secure Browser. C'est-à-dire Pour réduire les risques, l'accès aux catégories / listes sélectionnées de ressources Internet ne sera possible que via Secure Browser.



Le service fournit également des analyses détaillées pour surveiller l'activité des utilisateurs sur Internet: sites et applications visités, ressources et attaques dangereuses, accès bloqués, volumes de données téléchargées / téléchargées.

Navigateur sécurisé


Vous permet de publier un navigateur Internet (Google Chrome) pour les utilisateurs de Citrix Workspace en tant qu'application virtuelle. Secure Browser est un service SaaS géré et maintenu par Citrix. Il est entièrement hébergé sur le cloud Citrix (y compris le plan de données); le client n'a pas besoin de le déployer et de le maintenir dans ses propres emplacements de ressources.

Citrix est responsable de l'allocation des ressources dans son cloud pour VDA, qui hébergent les navigateurs publiés pour les clients, et assure la sécurité et la mise à jour du système d'exploitation et des navigateurs eux-mêmes.

Les clients accèdent au navigateur sécurisé via l'application Workspace ou le navigateur client. La session est chiffrée à l'aide de TLS. Pour utiliser le service, le client n'a pas besoin de télécharger et d'installer quoi que ce soit.

Les sites et applications Web lancés via Secure Browser tournent dans le cloud, le client ne reçoit qu'une image de la session du terminal, rien n'est fait sur le terminal. Cela vous permet d'augmenter considérablement le niveau de sécurité et de vous protéger contre les attaques du navigateur.

La connexion et la gestion des services sont effectuées via le panneau client Citrix Cloud. La connexion s'effectue en quelques clics:


La gestion est également assez simple, il s'agit de définir la politique et les feuilles blanches:


La politique vous permet d'ajuster les paramètres suivants:

  • Presse-papiers - vous permet d'activer l'option de copier-coller dans une session de navigateur;
  • Impression - la possibilité d'enregistrer des pages Web sur un appareil client au format PDF;
  • Non kiosque - activé par défaut, permet une utilisation complète du navigateur (plusieurs onglets, barre d'adresse);
  • Basculement de région - la possibilité de redémarrer le navigateur dans une autre région Citrix Cloud lorsque la région principale tombe;
  • Mappage de lecteur client - la possibilité de monter un disque de périphérique client pour télécharger ou télécharger des fichiers de session de navigateur.

Les feuilles blanches (listes blanches) vous permettent de spécifier une liste de sites auxquels les clients auront accès. L'accès aux ressources en dehors de cette liste sera refusé.

Collaboration de contenu


Ce service offre aux utilisateurs de Workspace un accès commun aux fichiers et documents publiés sur les ressources internes du client (sur site) et aux services de cloud public pris en charge. Il peut s'agir de dossiers personnels d'utilisateurs, de boules de réseau d'entreprise, de documents SharePoint ou de référentiels cloud tels que OneDrive, DropBox ou Google Drive.

Le service fournit un SSO pour accéder aux données sur tous les types de ressources de stockage. Les utilisateurs de Citrix Workspace bénéficient d'un accès sécurisé aux fichiers de travail depuis leurs appareils, non seulement au bureau, mais également à distance, sans aucune difficulté supplémentaire.

Content Collaboration fournit les fonctionnalités suivantes pour travailler avec des données:

  • échange de fichiers entre les ressources Workspace et l'appareil client (téléchargement et téléchargement),
  • synchronisation des fichiers utilisateurs sur tous les appareils,
  • partage et synchronisation de fichiers pour plusieurs utilisateurs de Workspace,
  • définir des droits d'accès aux fichiers et dossiers pour les autres utilisateurs de Workspace,
  • une demande d'accès aux fichiers, la formation de liens pour télécharger (upload) en toute sécurité.

De plus, des mécanismes de protection supplémentaires sont fournis:

  • l'accès aux fichiers avec des mots de passe à usage unique,
  • chiffrement de fichiers
  • partage de fichiers en filigrane.

Gestion des terminaux


Ce service fournit les fonctionnalités nécessaires aux postes de travail numériques pour gérer les appareils mobiles (Mobile Device Management - MDM) et les applications (Mobile Application Management - MAM). Citrix la positionne comme une solution SaaS-EMM - Enterprise Mobility Management as a service.

La fonctionnalité MDM vous permet de:

  • Distribuer des applications, des politiques d'appareils, des certificats pour se connecter aux ressources du client,
  • garder une trace des appareils
  • bloquer et effacer complètement ou partiellement les appareils.

La fonctionnalité MAM vous permet de:

  • Sécurisez les applications et les données sur les appareils mobiles
  • Fournissez des applications mobiles d'entreprise.

Du point de vue de l'architecture et du principe de prestation de services au client, Endpoint Management est très similaire à la version cloud des applications et bureaux virtuels décrite ci-dessus. Control Plane et les services qui le composent sont situés dans Citrix Cloud, Citrix est responsable de leur maintenance, ce qui nous permet de considérer ce service comme SaaS.

Le plan de données aux emplacements des ressources client comprend:

  • Connecteurs Cloud requis pour interagir avec Citrix Cloud,
  • Citrix Gateway, fournissant un accès distant sécurisé aux utilisateurs aux ressources internes du client (applications, données) et à la fonctionnalité micro-VPN,
  • PKI Active Directory
  • Échange, fichiers, applications virtuelles et bureaux.



Passerelle


Citrix Gateway fournit les fonctionnalités suivantes:

  • passerelle d'accès à distance - connexion sécurisée aux ressources de l'entreprise pour les utilisateurs mobiles et distants en dehors du périmètre sécurisé,
  • Fournisseur IdAM (Identity and Access Management) pour fournir l'authentification unique aux ressources de l'entreprise.

Dans ce contexte, les ressources d'entreprise doivent être comprises non seulement comme des applications et des bureaux virtuels, mais aussi comme de nombreuses applications SaaS.

Pour optimiser le trafic réseau et obtenir la fonctionnalité micro VPN, vous devez déployer Citrix Gateway dans chacun des emplacements de ressources, généralement dans la DMZ. Dans ce cas, l'allocation des capacités et du support nécessaires incombe au client.

Une alternative consiste à utiliser Citrix Gateway en tant que service Citrix Cloud, dans ce cas, le client n'a pas besoin de déployer et de maintenir quoi que ce soit pour lui-même, pour lequel Citrix le fait dans son cloud.

Analytique


Il s'agit d'un service d'analyse Citrix Cloud intégré à tous les services cloud décrits ci-dessus. Il est conçu pour collecter et analyser les données générées par les services Citrix via des mécanismes d'apprentissage automatique intégrés. Cela prend en compte les mesures relatives aux utilisateurs, aux applications, aux fichiers, aux appareils et au réseau.

Par conséquent, des rapports sont générés concernant la sécurité, les performances et les opérations des utilisateurs.



En plus de générer des rapports statistiques, Citrix Analytics peut agir de manière proactive. Cela consiste à former des profils de comportement normal des utilisateurs et à identifier les anomalies. Si l'utilisateur commence à utiliser l'application de manière non standard ou cherche activement des données, lui et son appareil peuvent être bloqués automatiquement. La même chose se produit si vous accédez à des ressources Internet dangereuses.

L'attention est portée non seulement à la sécurité, mais aussi aux performances. Analytics vous permet de surveiller et de résoudre rapidement les problèmes associés aux longues ouvertures de session des utilisateurs et aux retards réseau.

Conclusion


Nous avons pris connaissance de l'architecture du cloud Citrix, de la plateforme Workspace et de ses services de base nécessaires à l'organisation de l'infrastructure des postes de travail numériques. Il convient de noter que nous avons considéré loin de tous les services Citrix Cloud, nous nous sommes limités à l'ensemble de base pour l'organisation de l'espace de travail numérique. La liste complète des services cloud Citrix comprend également des outils réseau, des fonctionnalités supplémentaires pour travailler avec des applications et des postes de travail.

Il est également nécessaire de dire que les fonctionnalités de base des postes de travail numériques peuvent être déployées sans Citrix Cloud, exclusivement sur site. Le produit de base Virtual Apps and Desktops est toujours disponible dans la version classique, quand non seulement VDA, mais tous les services de gestion, le client déploie et maintient sur son site indépendamment, aucun Cloud Connectors n'est nécessaire dans ce cas. La même chose s'applique à Endpoint Management - son ancêtre on-pemises s'appelle XenMobile Server, bien que dans la version cloud, il soit légèrement plus fonctionnel. Le client peut également mettre en œuvre certaines des capacités de contrôle d'accès sur son site. La fonctionnalité de navigateur sécurisé peut être implémentée sur site, et le choix du navigateur appartient au client.

La volonté de tout déployer sur son site est bonne en termes de sécurité, de contrôle et de sanctions méfiance à l'égard des nuages ​​bourgeois. Cependant, sans Citrix Cloud, la fonctionnalité de Content Collaboration and Analytics sera complètement inaccessible. La fonctionnalité d'autres solutions Citrix sur site, comme mentionné ci-dessus, peut être inférieure à leur implémentation dans le cloud. Et la chose la plus importante est que vous devrez garder le plan de contrôle et vous administrer.

Liens utiles:


Fiches techniques des produits Citrix , y compris Citrix Cloud
Citrix Tech Zone - vidéos techniques, articles et graphiques
Bibliothèque de ressources Citrix Workspace

Source: https://habr.com/ru/post/fr469593/

More articles:


All Articles