Geekly articles weekly

Citrix Cloud数字工作区架构



引言


本文介绍了Citrix Cloud云平台和Citrix Workspace服务套件的功能和体系结构功能。 这些解决方案是Citrix实施数字工作(数字作品)概念的核心要素和基础。

在本文中,我试图理解和制定云平台,服务与Citrix订阅之间的因果关系,在公司的公共资源(citrix.com和docs.citrix.com)中,对它们的描述似乎有些模糊。 云技术-显然没有别的! 值得注意的是,整个体系和技术都被完整地公开了。 在理解服务和平台之间的层次关系时会遇到困难:

  • 哪个平台是主要平台-Citrix Cloud或Citrix Workspace平台?
  • 上面列出的哪个平台包括构建数字工作场所基础架构所需的众多Citrix服务?
  • 这种乐趣有多大?有哪些选择呢?
  • 是否可以在不使用Citrix Cloud的情况下实现Citrix Digital Works的所有功能?

回答这些问题,并介绍Citrix数字工作站解决方案。

思杰云


Citrix Cloud是一个云平台,其中包含组织数字工作站所需的所有服务。 Citrix直接拥有此云,它从事维护并提供指定的SLA (服务可用性-每月至少99.5%)。

Citrix的客户(客户),根据所选的订阅(服务包),可以使用SaaS模型访问特定的服务列表。 对于他们来说,Citrix Cloud充当了公司基于云的数字仪表板。 Citrix Cloud具有多租户架构,客户及其基础架构相互隔离。

Citrix Cloud充当控制平面,它托管众多Citrix云服务,包括 数字工作区基础结构的服务和管理服务。 数据平面(包括用户应用程序,桌面和数据)位于Citrix Cloud外部。 唯一的例外是安全浏览器服务,该服务完全基于云。 数据平面可以位于客户的数据中心(本地),服务提供商的数据中心,超级云(AWS,Azure,Google Cloud)中。 当客户数据位于多个站点和云中,而客户管理则从Citrix Cloud集中时,则可以使用混合和分布式解决方案。



这种方法为客户带来许多明显的优势:

  • 自由选择用于放置数据的站点;
  • 具有在多个云和本地中构建混合分布式基础结构的能力,其中涉及来自不同提供商的多个位置;
  • 由于它们位于Citrix Cloud外部,因此无法直接从Citrix访问用户数据;
  • 独立设置所需的性能,容错性,可靠性,机密性,数据完整性和可用性级别的能力; 之后,选择合适的放置位置;
  • 无需托管和维护许多数字工作站管理服务,因为它们都位于Citrix Cloud中,这使Citrix感到头疼; 结果,降低了成本。

思杰工作区


Citrix Workspace是一个超越,基本和全面的概念。 我们将对其进行更详细的处理,并且将变得清楚-原因。

总体而言,Citrix Workspace代表了Citrix的数字工作场所概念。 创建一个统一,安全,方便和可管理的工作场所既是一种解决方案,又是一项服务,也是一套服务。

用户获得无缝的SSO,可以从任何设备通过单个控制台快速访问应用程序/服务,桌面和数据,以进行富有成效的工作。 他们可以很高兴地忘记很多帐户,密码以及查找应用程序时遇到的困难(快捷方式,“开始”面板,浏览器-都在不同的位置)。



IT服务接收用于集中管理服务和客户端设备,安全性,访问控制,监视,更新,网络交互优化,分析的工具。

Citrix Workspace提供对以下资源的统一访问:

  • Citrix Virtual Apps and Desktops-应用程序和桌面的虚拟化;
  • 网络应用
  • 云SaaS应用程序;
  • 移动应用
  • 各种存储中的文件,包括 多云。



通过以下方式访问Citrix Workspace资源:

  • 标准浏览器-支持Chrome,Safari,MS IE和Edge,Firefox
  • 或“本机”客户端应用程序-Citrix Workspace应用程序。

可以从所有流行的客户端设备进行访问:

  • 运行Windows,Linux,MacOS甚至Chrome OS的成熟计算机;
  • 具有iOS或Android的移动设备。

Citrix Workspace Platform是许多Citrix Cloud云服务的一部分,用于组织数字工作区。 值得注意的是,Workspace包含Citrix Cloud中提供的大多数服务,我们将在后面进行介绍。

因此,最终用户可以通过Workspace应用程序或其浏览器替代产品(HTML5的Workspace应用程序)在自己喜欢的客户端设备上获得数字工作站的功能。 为实现此功能,Citrix以一组云服务的形式提供Workspace平台,该公司的管理员可以通过Citrix Cloud对其进行管理。

Citrix Workspace提供三种软件包 :Standard,Premium,Premium Plus。 它们包含在软件包中的服务数量上有所不同。 另外,有可能在包装之外单独购买一些服务。 例如,基本服务Virtual Apps and Desktops仅包含在Premium Plus软件包中,其单独的费用高于Standard软件包,几乎等于Premium。

事实证明,Workspace既是一个客户端应用程序-Workspace App,又是一个云平台(其中的一部分)-Workspace Platform,并且是各种服务包的名称以及Citrix整体上的数字工作场所的概念。 这是一个如此多样化的实体。

架构和系统要求


通常,在Citrix Digital Works的结构中,有3个区域:

  • 许多具有Workspace App或基于浏览器的访问数字工作站的客户端设备。
  • Citrix Cloud云中的直接工作区平台,位于Cloud.com域中Internet上的某个位置。
  • 资源位置-拥有或租用的站点,私有或公共云,这些资源托管具有Citrix Workspace中发布的应用程序,虚拟桌面和客户数据的资源。 这是上面提到的同一数据平面,我记得一个客户可能有多个资源位置。

资源的示例包括管理程序,服务器,网络设备,AD域以及为用户提供适当的数字工作站服务所需的其他元素。

分布式基础结构方案可能涉及:

  • 客户自己的数据中心中的几个资源位置,
  • 公共云位置
  • 偏远地区的小地方。

规划位置时,请考虑:

  • 用户,数据和应用程序的接近性;
  • 扩展能力,包括 确保快速建立和结束能力;
  • 安全要求和调节器。

Citrix Cloud和客户资源位置之间的通信通过称为Citrix Cloud Connector的组件进行。 这些组件使客户可以专注于跟踪提供给用户的资源,而无需再思索与已部署在云中并由Citrix一起提供的办公和管理服务。

为了实现负载平衡和容错,建议您在每个资源位置至少部署两个云连接器。 可以将Cloud Connector安装在运行Windows Server(2012 R2或2016)的专用物理或虚拟机上。 最好将它们放置在内部资源分配网络中,而不是DMZ中。

默认情况下,Cloud Connector通过https(TCP端口443)对Citrix Cloud和资源位置之间的流量进行身份验证和加密。仅允许传出会话-从Cloud Connector到云,禁止传入连接。

Citrix Cloud在客户的基础架构中需要Active Directory(AD)。 AD充当主要的IdAM提供者,并且是授权用户访问Workspace资源所必需的。 云连接器必须有权访问AD。 为了容错,一个好的做法是在资源的每个位置都有一对域控制器,这些域控制器将与该位置的云连接器进行交互。

思杰云服务


现在,有必要介绍Citrix Workspace平台基础上的主要Citrix Cloud服务,并允许客户部署成熟的数字工作站。



考虑这些服务的目的和功能。

虚拟应用程序和桌面


这是Citrix Digital Workspace的主要服务,它提供对应用程序和完整VDI的终端访问。 它支持Windows和Linux应用程序以及桌面的虚拟化。

作为Citrix Cloud云服务,虚拟应用程序和桌面服务具有与传统(非云)虚拟应用程序和桌面相同的组件,如下图所示。 区别在于,就服务而言,所有控制组件均位于Citrix Cloud中。 客户不再需要部署和维护这些组件,为其分配计算能力,这由Citrix完成。



在这方面,客户必须在资源位置部署以下组件:

  • 云连接器
  • AD域控制器
  • 虚拟交付代理(VDA);
  • 系统管理程序-通常是这样,但是在某些情况下您可以设法处理物理问题。
  • 可选组件是Citrix Gateway和StoreFront。

除Cloud Connector外,所有这些组件均由客户自行维护。 这是合乎逻辑的,因为数据平面位于此处,特别是对于具有VDA的物理节点和虚拟机管理程序(直接在其中放置用户应用程序和桌面)而言。

云连接器仅需要客户安装,这是一个非常简单的过程,可从Citrix Cloud控制台执行。 他们的进一步支持是自动进行的。

门禁控制


该服务提供以下功能:

  • SSO(单点登录)到大量流行的SaaS应用程序;
  • 过滤对Internet资源的访问;
  • 监视Internet上的用户活动。

与常规浏览器访问相比,通过Citrix Workspace访问SaaS服务的SSO客户端是一种更方便,更安全的替代方法。 支持的SaaS应用程序列表很大,并且还在不断扩展。

可以基于手动创建的网站白名单或黑名单来配置Internet访问过滤。 此外,基于广泛的,更新的商业URL列表,支持按网站类别进行访问分类。 可能会限制用户访问社交网站,成人购买网站,恶意软件,洪流,代理服务器等站点类别。

除了允许直接访问站点/ SaaS或阻止对其进行访问之外,还可以将客户端重定向到安全浏览器。 即 为了降低风险,只有通过安全浏览器才能访问Internet资源的选定类别/列表。



该服务还提供了详细的分析功能,用于监视Internet上的用户活动:访问的站点和应用程序,危险的资源和攻击,被阻止的访问,已下载的数据/已下载的数据量。

安全浏览器


允许您将Citrix Workspace用户的Internet浏览器(Google Chrome)发布为虚拟应用程序。 安全浏览器是由Citrix管理和维护的SaaS服务。 它完全托管在Citrix Cloud(包括数据平面)上;客户无需在其自己的资源位置中部署和维护它。

Citrix负责在其云中为VDA分配资源,VDA托管为客户发布的浏览器,并确保操作系统和浏览器本身的安全性和更新。

客户端通过Workspace应用程序或客户端浏览器访问安全浏览器。 会话使用TLS加密。 要使用该服务,客户端不需要下载并安装任何东西。

通过安全浏览器启动的站点和Web应用程序在云中旋转,客户端仅收到终端会话的图片,而在终端设备上则什么也没做。 这使您可以显着提高安全级别并保护自己免受浏览器攻击。

服务连接和管理是通过Citrix Cloud客户面板执行的。 单击几下即可进行连接:


管理也非常简单,归结为设置策略和白表:


该策略允许您调整以下设置:

  • 剪贴板-允许您在浏览器会话中启用复制粘贴选项;
  • 打印-以PDF格式将网页保存在客户端设备上的功能;
  • 非信息亭-默认启用,允许浏览器的完整使用(多个标签,地址栏);
  • 区域故障转移-当主区域下降时,能够在另一个Citrix Cloud区域中重新启动浏览器的功能;
  • 客户端驱动器映射-挂载客户端设备磁盘以下载或下载浏览器会话文件的功能。

白板(白名单)使您可以指定客户端可以访问的站点列表。 拒绝访问此列表以外的资源。

内容合作


该服务使Workspace用户可以联合访问发布在客户内部资源(本地)和受支持的公共云服务上的文件和文档。 这些可以是用户个人文件夹,公司网络球,SharePoint文档或云存储库,例如OneDrive,DropBox或Google Drive。

该服务提供SSO,用于访问所有类型的存储资源上的数据。 Citrix Workspace用户不仅可以在办公室中而且可以从其设备安全地从其设备访问工作文件,而无需任何其他麻烦。

内容协作提供以下功能来处理数据:

  • 工作区资源和客户端设备之间的文件交换(下载和下载),
  • 在所有设备上同步用户文件,
  • 多个Workspace用户的文件共享和同步,
  • 为其他Workspace用户设置文件和文件夹的访问权限,
  • 访问文件的请求,形成安全上传(上传)文件的链接。

此外,还提供了其他保护机制:

  • 使用一次性密码访问文件,
  • 文件加密
  • 带水印的文件共享。

端点管理


此服务提供了数字工作站管理移动设备(移动设备管理-MDM)和应用程序(移动应用程序管理-MAM)所需的功能。 Citrix将其定位为SaaS-EMM解决方案-企业移动管理即服务。

MDM功能使您能够:

  • 分发应用程序,设备策略,用于连接到客户资源的证书,
  • 跟踪设备
  • 阻止并执行设备的全部或部分擦除。

MAM功能使您能够:

  • 在移动设备上保护应用程序和数据的安全
  • 交付企业移动应用程序。

从体系结构和向客户提供服务的原则的角度来看,端点管理与上述虚拟应用程序和桌面的云版本非常相似。 Citrix Cloud负责控制平面及其形成的服务,Citrix负责其维护,这使我们可以将此服务视为SaaS。

客户资源位置的数据平面包括:

  • 与Citrix Cloud交互所需的云连接器,
  • Citrix Gateway,为用户提供对客户内部资源(应用程序,数据)和micro-VPN功能的安全远程访问,
  • 活动目录PKI
  • Exchange,文件,虚拟应用程序和桌面。



网关


Citrix Gateway提供以下功能:

  • 远程访问网关-安全边界之外的移动和远程用户与公司资源的安全连接,
  • IdAM提供程序(身份和访问管理),用于为公司资源提供SSO。

在这种情况下,公司资源不仅应理解为虚拟应用程序和桌面,还应理解为许多SaaS应用程序。

为了优化网络流量并获得Micro VPN功能,您需要在每个资源位置(通常在DMZ中)部署Citrix Gateway。 在这种情况下,所需容量和支持的分配将落在客户的肩上。

另一种选择是将Citrix Gateway用作Citrix Cloud服务,在这种情况下,客户不需要自己为自己部署和维护任何东西,而Citrix可以在自己的云中进行任何操作。

分析工具


这是与上述所有云服务集成的Citrix Cloud分析服务。 它旨在通过内置的机器学习机制来收集和分析Citrix服务生成的数据。 这考虑了与用户,应用程序,文件,设备和网络有关的指标。

结果,生成有关安全性,性能和用户操作的报告。



除了生成统计报告之外,Citrix Analytics还可以主动采取行动。这包括形成正常用户行为的概况并识别异常。如果用户开始非标准地使用该应用程序或主动混淆了数据,则他和他的设备将被自动阻止。如果访问危险的Internet资源,也会发生同样的事情。

不仅要注意安全性,还要注意性能。通过Analytics(分析),您可以监视并快速解决与长时间用户登录和网络延迟有关的问题。

结论


我们熟悉Citrix云的体系结构,Workspace平台及其组织数字工作场所基础结构所需的基本服务。应当指出,我们考虑的不是所有Citrix Cloud服务,而是仅限于组织数字工作区的基本设置。Citrix云服务的完整列表还包括网络工具,与应用程序和工作站一起使用的其他功能。

还需要说的是,数字工作场所的基本功能可以在没有Citrix Cloud的情况下仅在本地部署。基本产品Virtual Apps and Desktops仍以经典版本提供,当客户不仅在VDA中而且在所有管理服务上都在其站点上独立部署和维护时,在这种情况下无需使用云连接器。端点管理也是如此-它的本地祖先称为XenMobile服务器,尽管在云版本中它的功能略强。客户还可以在其站点上实现访问控制的某些功能。安全浏览器功能可以在本地实现,浏览器的选择取决于客户端。

出于对资产阶级云的不信任,对安全,控制和制裁的考虑,在其站点上部署一切的愿望是好的。但是,如果没有Citrix Cloud,将无法完全使用Content Collaboration和Analytics的功能。如上所述,其他Citrix本地解决方案的功能可能不如其云实施。最重要的是,您将必须保留控制平面并进行自我管理。

有用的链接:


Citrix产品数据表,包括 Citrix Cloud
Citrix技术专区 -技术视频,文章和图表
Citrix Workspace资源库

Source: https://habr.com/ru/post/zh-CN469593/

More articles:


All Articles