Indledning
Artiklen beskriver mulighederne og arkitektoniske funktioner i Citrix Cloud-cloudplatformen og Citrix Workspace-sættet af tjenester. Disse løsninger er det centrale element og grundlag for implementeringen af det digitale arbejdsrumskoncept fra Citrix.
I denne artikel forsøgte jeg at forstå og formulere årsag-og-virkning-relationerne mellem Citrix cloud platforme, tjenester og abonnementer, hvis beskrivelse i virksomhedens åbne kilder (citrix.com og docs.citrix.com) ser meget vag ud i nogle steder. Cloud-teknologier – der ser ikke ud til at være nogen anden måde! Det er værd at bemærke, at arkitekturen og teknologien afsløres på en generelt fornuftig måde. Der opstår vanskeligheder med at forstå det hierarkiske forhold mellem tjenester og platforme:
- Hvilken platform er primær - Citrix Cloud eller Citrix Workspace Platform?
- Hvilken af ovenstående platforme inkluderer de mange Citrix-tjenester, der er nødvendige for at bygge din digitale arbejdspladsinfrastruktur?
- Hvor meget koster denne fornøjelse, og i hvilke muligheder kan du få den?
- Er det muligt at implementere alle funktionerne i Citrix digitale arbejdsområde uden at bruge Citrix Cloud?
Svar på disse spørgsmål og en introduktion til Citrix løsninger til digitale arbejdspladser er nedenfor.
Citrix Cloud
Citrix Cloud er en cloud-platform, der er vært for alle de tjenester, der er nødvendige for at organisere digitale arbejdspladser. Denne sky ejes direkte af Citrix, som også vedligeholder den og sørger for det nødvendige (tilgængelighed af tjenester – mindst 99,5% pr. måned).
Kunder (klienter) hos Citrix får, afhængigt af det valgte abonnement (servicepakke), adgang til en bestemt liste over tjenester ved hjælp af SaaS-modellen. For dem fungerer Citrix Cloud som et cloud-baseret kontrolpanel for virksomhedens digitale arbejdspladser. Citrix Cloud har en multi-tenant arkitektur, kunder og deres infrastrukturer er isoleret fra hinanden.
Citrix Cloud fungerer som et kontrolplan og er vært for adskillige Citrix cloud-tjenester, inkl. service- og administrationstjenester for den digitale arbejdspladsinfrastruktur. Dataplanet, som omfatter brugerapplikationer, desktops og data, ligger uden for Citrix Cloud. Den eneste undtagelse er Secure Browser Service, som udelukkende leveres på en cloud-model. Dataplanet kan være placeret i kundens datacenter (on-premises), tjenesteudbyderens datacenter, hyperskyer (AWS, Azure, Google Cloud). Blandede og distribuerede løsninger er mulige, når kundedata er placeret i flere sites og skyer, samtidig med at de styres centralt fra Citrix Cloud.
Denne tilgang har en række åbenlyse fordele for kunderne:
- frihed til at vælge et websted til dataplacering;
- evnen til at bygge en hybrid distribueret infrastruktur, der involverer flere lokationer med forskellige udbydere, i flere skyer og on-premises;
- manglende direkte adgang til brugerdata fra Citrix, da det er placeret uden for Citrix Cloud;
- evnen til selvstændigt at indstille det nødvendige niveau af ydeevne, fejltolerance, pålidelighed, fortrolighed, integritet og tilgængelighed af data; derefter vælge passende steder til placering;
- ingen grund til at hoste og vedligeholde flere digitale arbejdspladsadministrationstjenester, da de alle er placeret i Citrix Cloud og er en hovedpine for Citrix; som et resultat - omkostningsreduktion.
Citrix -arbejdsområde
Citrix Workspace er transcendentalt, fundamentalt og altomfattende. Lad os se på det mere detaljeret, og det vil blive klart hvorfor.
Samlet set inkarnerer Citrix Workspace det digitale arbejdspladskoncept fra Citrix. Det er på én gang en løsning, en service og et sæt tjenester til at skabe forbundne, sikre, bekvemme og administrerede arbejdspladser.
Brugere får mulighed for problemfri SSO for hurtig adgang til applikationer/tjenester, desktops og data fra en enkelt konsol fra enhver enhed til produktivt arbejde. De kan med glæde glemme alt om flere konti, adgangskoder og vanskeligheder med at finde applikationer (genveje, startpanel, browsere - alt er forskellige steder).
IT-tjenesten modtager værktøjer til centraliseret styring af tjenester og klientenheder, sikkerhed, adgangskontrol, overvågning, opdatering, optimering af netværksinteraktion og analyser.
Citrix Workspace giver dig mulighed for at give samlet adgang til følgende ressourcer:
- Citrix Virtual Apps og Desktops – virtualisering af applikationer og desktops;
- Webapplikationer;
- Cloud SaaS-applikationer;
- Mobilapplikationer;
- Filer i forskellige lagre, inkl. overskyet.
Citrix Workspace-ressourcer tilgås via:
- Standardbrowser - Chrome, Safari, MS IE og Edge, Firefox understøttet
- eller en "native" klientapplikation - Citrix Workspace App.
Adgang er mulig fra alle populære klientenheder:
- Fuldstændige computere, der kører Windows, Linux, MacOS og endda Chrome OS;
- Mobile enheder med iOS eller Android.
Citrix Workspace Platform er en del af en række Citrix Cloud cloud-tjenester designet til at organisere digitale arbejdsområder. Det er værd at bemærke, at Workspace inkluderer de fleste af de tjenester, der findes i Citrix Cloud, vi vil dvæle mere detaljeret på dem senere.
På denne måde får slutbrugere digital arbejdspladsfunktionalitet på deres foretrukne klientenheder gennem Workspace-appen eller dens browserbaserede erstatning (Workspace-appen til HTML5). For at opnå denne funktionalitet tilbyder Citrix Workspace-platformen som et sæt cloud-tjenester, som virksomhedsadministratorer administrerer gennem Citrix Cloud.
Citrix Workspace er tilgængelig i : Standard, Premium, Premium Plus. De adskiller sig i antallet af tjenester inkluderet i pakken. Det er også muligt at købe nogle tjenester separat uden for pakken. For eksempel er den grundlæggende virtuelle apps og desktop-tjeneste kun inkluderet i Premium Plus-pakken, og dens selvstændige pris er højere end standardpakken og næsten lig med Premium.
Det viser sig, at Workspace både er en klientapplikation - Workspace App, og en cloudplatform (en del af den) - Workspace Platform, og navnet på de typer af servicepakker, og konceptet med digitale arbejdspladser fra Citrix som helhed. Dette er sådan en mangefacetteret enhed.
Arkitektur og systemkrav
Konventionelt kan strukturen af Digital Workspace fra Citrix opdeles i 3 områder:
- Flere klientenheder med Workspace-appen eller browserbaseret adgang til digitale arbejdsområder.
- Direkte Workspace Platform i Citrix Cloud, som bor et sted på internettet i cloud.com domænet.
- Ressourceplaceringer er ejede eller leasede websteder, private eller offentlige skyer, der hoster ressourcer med applikationer, virtuelle desktops og kundedata offentliggjort til Citrix Workspace. Dette er det samme dataplan nævnt ovenfor; lad mig minde dig om, at en kunde kan have flere ressourcelokationer.
Eksempler på ressourcer omfatter hypervisorer, servere, netværksenheder, AD-domæner og andre elementer, der er nødvendige for at levere relevante digitale arbejdspladstjenester til brugere.
Et distribueret infrastrukturscenarie kan omfatte:
- flere ressourcelokationer i kundens egne datacentre,
- placeringer i offentlige skyer,
- små steder i fjerntliggende filialer.
Når du planlægger placeringer, bør du overveje:
- nærhed af brugere, data og applikationer;
- mulighed for skalering, inkl. sikring af hurtig udvidelse og reduktion af kapacitet;
- sikkerheds- og lovkrav.
Kommunikation mellem Citrix Cloud og kunders ressourcelokationer sker gennem komponenter kaldet Citrix Cloud Connectors. Disse komponenter giver kunden mulighed for at fokusere på at vedligeholde de ressourcer, der leveres til brugerne, og glemme alt om at danse med hjælpe- og administrationstjenester, der allerede er implementeret i skyen og understøttet af Citrix.
For belastningsbalancering og fejltolerance anbefaler vi at implementere mindst to Cloud Connectors pr. ressourceplacering. Cloud Connector kan installeres på en dedikeret fysisk eller virtuel maskine, der kører Windows Server (2012 R2 eller 2016). Det er at foretrække at placere dem på det interne ressourceplaceringsnetværk, ikke i DMZ.
Cloud Connector autentificerer og krypterer trafik mellem Citrix Cloud og ressourceplaceringer via https, standard TCP-port 443. Kun udgående sessioner er tilladt - fra Cloud Connector til skyen er indgående forbindelser forbudt.
Citrix Cloud kræver Active Directory (AD) i kundens infrastruktur. AD fungerer som den primære IdAM-udbyder og er forpligtet til at godkende brugeradgang til Workspace-ressourcer. Cloud Connectors skal have adgang til AD. For fejltolerance er det en god praksis at have et par domænecontrollere på hver ressourceplacering, som vil interagere med Cloud Connectors på den pågældende placering.
Citrix Cloud Services
Nu er det værd at fokusere på de centrale Citrix Cloud-tjenester, der ligger til grund for Citrix Workspace-platformen og giver kunderne mulighed for at implementere fuldgyldige digitale arbejdspladser.
Lad os overveje formålet og funktionaliteten af disse tjenester.
Virtuelle apps og desktops
Dette er hovedtjenesten i Citrix Digital Workspace, der giver mulighed for terminaladgang til applikationer og fuldgyldig VDI. Understøtter virtualisering af Windows- og Linux-applikationer og desktops.
Som en cloud-tjeneste fra Citrix Cloud har Virtual Apps and Desktops-tjenesten de samme komponenter som traditionelle (ikke-cloud) Virtual Apps og Desktops, som vist i figuren nedenfor. Forskellen er, at alle kontrolkomponenter (kontrolplan) i tilfælde af en tjeneste hostes i Citrix Cloud. Kunden behøver ikke længere at implementere og vedligeholde disse komponenter eller allokere computerkraft til dem; dette håndteres af Citrix.
På sin side skal kunden implementere følgende komponenter på ressourceplaceringer:
- Cloud-forbindelser;
- AD domænecontrollere;
- Virtual Delivery Agents (VDA'er);
- Hypervisorer - som regel findes de, men der er situationer, hvor det er muligt at klare sig med fysik;
- Valgfrie komponenter er Citrix Gateway og StoreFront.
Alle de angivne komponenter, undtagen Cloud Connectors, understøttes uafhængigt af kunden. Dette er logisk, da dataplanet er placeret her, især for fysiske noder og hypervisorer med VDA'er, hvor brugerapplikationer og desktops er placeret direkte.
Cloud Connectors skal kun installeres af kunden; dette er en meget enkel procedure, der udføres fra Citrix Cloud-konsollen. Deres yderligere støtte udføres automatisk.
Adgangskontrol
Denne service giver følgende funktioner:
- SSO (single sign-on) for en stor liste over populære SaaS-applikationer;
- Filtrering af adgang til internetressourcer;
- Overvågning af brugeraktivitet på internettet.
SSO for klienter til SaaS-tjenester gennem Citrix Workspace er et mere bekvemt og sikkert alternativ sammenlignet med konventionel adgang gennem en browser. Listen over understøttede SaaS-applikationer er ret stor og udvides konstant.
Internetadgangsfiltrering kan konfigureres baseret på manuelt oprettede hvide eller sorte lister over websteder. Derudover understøtter den adgangskontrol efter webstedskategorier baseret på omfattende opdaterede kommercielle URL-lister. Brugere kan være begrænset fra at få adgang til kategorier af websteder såsom sociale netværk, shopping, voksenwebsteder, malware, torrents, proxyer osv.
Ud over at give adgang til websteder/SaaS direkte eller blokere adgang til dem, er det muligt at omdirigere klienter til den sikre browser. De der. For at reducere risici vil adgang til udvalgte kategorier/lister over internetressourcer kun være mulig via den sikre browser.
Tjenesten giver også detaljerede analyser til overvågning af brugeraktivitet på internettet: besøgte websteder og applikationer, farlige ressourcer og angreb, blokeret adgang, mængder af uploadede/downloadede data.
Sikker browser
Giver dig mulighed for at udgive en internetbrowser (Google Chrome) til Citrix Workspace-brugere som en virtuel applikation. Secure Browser er en SaaS-tjeneste, der administreres og vedligeholdes af Citrix. Det er udelukkende hostet i Citrix Cloud (inklusive dataplanet), kunden behøver ikke at implementere og vedligeholde det på deres egne ressourcelokationer.
Citrix er ansvarlig for at allokere ressourcer i sin sky til VDA'er, der hoster browsere udgivet til klienter, hvilket sikrer sikkerheden og opdateringen af OS og selve browserne.
Klienter får adgang til sikker browser via Workspace-appen eller klientbrowseren. Sessionen er krypteret ved hjælp af TLS. For at bruge tjenesten behøver klienten ikke at downloade eller installere noget.
Hjemmesider og webapplikationer lanceret gennem Secure Browser kører i skyen, klienten modtager kun et billede af terminalsessionen, intet udføres på slutenheden. Dette giver dig mulighed for at øge sikkerhedsniveauet betydeligt og beskytte dig mod browserangreb.
Tjenesten er forbundet og administreres gennem Citrix Cloud-kundepanelet. Forbindelsen er fuldført med et par klik:
Administration er også ret simpelt, det kommer ned til at indstille politikker og hvide ark:
Politikken giver dig mulighed for at regulere følgende parametre:
- Udklipsholder – giver dig mulighed for at aktivere copy-paste-funktionalitet i en browsersession;
- Udskrivning – muligheden for at gemme websider på klientenheden i PDF-format;
- Ikke-kiosk – aktiveret som standard, tillader fuld brug af browseren (flere faner, adresselinje);
- Region failover – muligheden for at genstarte browseren i en anden Citrix Cloud-region, hvis hovedregionen går ned;
- Klientdrevkortlægning – muligheden for at montere en klientenhedsdisk til download eller upload af browsersessionsfiler.
Hvidlister giver dig mulighed for at angive en liste over websteder, som klienter vil have adgang til. Adgang til ressourcer uden for denne liste vil være forbudt.
Indholdssamarbejde
Denne tjeneste giver Workspace-brugere mulighed for at få samlet adgang til filer og dokumenter, der hostes på kundens interne ressourcer (lokale) og understøttede offentlige cloud-tjenester. Disse kan være brugerens personlige mapper, virksomhedens netværksshares, SharePoint-dokumenter eller cloud-depoter som OneDrive, DropBox eller Google Drive.
Tjenesten giver SSO til at få adgang til data på alle typer lagerressourcer. Citrix Workspace-brugere får sikker adgang til arbejdsfiler fra deres enheder, ikke kun på kontoret, men også eksternt uden yderligere kompleksitet.
Content Collaboration giver følgende databehandlingsfunktioner:
- deling af filer mellem Workspace-ressourcer og klientenheden (download og upload),
- synkronisering af brugerfiler på alle enheder,
- fildeling og synkronisering mellem flere Workspace-brugere,
- indstilling af adgangsrettigheder til filer og mapper for andre Workspace-brugere,
- anmodning om adgang til filer, generering af links til sikker download af filer.
Derudover er der tilvejebragt yderligere beskyttelsesmekanismer:
- adgang til filer ved hjælp af engangsadgangskoder,
- fil kryptering,
- forsyne delte filer med vandmærker.
Endpoint Management
Denne service giver den funktionalitet, der kræves for digitale arbejdspladser til at administrere mobile enheder (Mobile Device Management - MDM) og applikationer (Mobile Application Management - MAM). Citrix positionerer det som en SaaS-EMM-løsning - Enterprise Mobility Management as a service.
MDM-funktionalitet giver dig mulighed for at:
- distribuere applikationer, enhedspolitikker, certifikater til at oprette forbindelse til kunders ressourcer,
- holde styr på enheder,
- blokere og udføre hel eller delvis sletning (sletning) af enheder.
MAM-funktionalitet giver dig mulighed for at:
- sikre sikkerheden af applikationer og data på mobile enheder,
- levere firmamobilapplikationer.
Fra et arkitektursynspunkt og princippet om at levere tjenester til kunden, ligner Endpoint Management meget cloud-versionen af Virtual Apps og Desktops beskrevet ovenfor. Control Plane og dets bestanddele er placeret i Citrix Cloud og vedligeholdes af Citrix, hvilket giver os mulighed for at betragte denne service som SaaS.
Dataplan på kunderessourceplaceringer inkluderer:
- Cloud-forbindelser, der er nødvendige for at interagere med Citrix-skyen,
- Citrix Gateways, som giver sikker fjernbrugeradgang til kundens interne ressourcer (applikationer, data) og mikro-VPN-funktionalitet,
- Active Directory, PKI
- Exchange, filer, virtuelle applikationer og desktops.
Gateway
Citrix Gateway giver følgende funktionalitet:
- fjernadgangsgateway – sikker forbindelse til virksomhedens ressourcer for mobile og fjernbrugere uden for den sikre perimeter,
- IdAM-udbyder (Identity and Access Management) til at levere SSO til virksomhedens ressourcer.
I denne sammenhæng skal virksomhedens ressourcer ikke kun forstås som virtuelle applikationer og desktops, men også som talrige SaaS-applikationer.
For at optimere netværkstrafikken og opnå mikro VPN-funktionalitet skal du implementere Citrix Gateway på hver af ressourceplaceringerne, typisk i DMZ. I dette tilfælde falder tildelingen af den nødvendige kapacitet og støtte på kundens skuldre.
En alternativ mulighed er at bruge Citrix Gateway i form af en Citrix Cloud-tjeneste; i dette tilfælde behøver kunden ikke at implementere eller vedligeholde noget derhjemme; Citrix gør dette for ham i sin sky.
Analyse
Dette er en Citrix Cloud-analysetjeneste integreret med alle de ovenfor beskrevne cloudtjenester. Det er designet til at indsamle data genereret af Citrix-tjenester og analysere det ved hjælp af indbyggede maskinlæringsmekanismer. Dette tager højde for metrics relateret til brugere, applikationer, filer, enheder og netværk.
Som et resultat genereres rapporter vedrørende sikkerhed, ydeevne og brugeroperationer.
Udover at generere statistiske rapporter kan Citrix Analytics agere proaktivt. Dette består i at danne profiler af normal brugeradfærd og identificere uregelmæssigheder. Hvis en bruger begynder at bruge applikationen på en ikke-standard måde eller aktivt fumler med data, kan han og hans enhed blive blokeret automatisk. Det samme vil ske, hvis du får adgang til farlige internetressourcer.
Fokus er ikke kun på sikkerhed, men også på ydeevne. Analytics giver dig mulighed for at overvåge og hurtigt løse problemer forbundet med lange brugerlogin og netværksforsinkelser.
Konklusion
Vi stiftede bekendtskab med arkitekturen i Citrix-skyen, Workspace-platformen og dens vigtigste tjenester, der er nødvendige for at organisere infrastrukturen på digitale arbejdspladser. Det er værd at bemærke, at vi ikke har overvejet alle Citrix Cloud-tjenester; vi begrænsede os til det grundlæggende sæt til at organisere et digitalt arbejdsområde. Citrix cloud-tjenester inkluderer også netværksværktøjer, yderligere funktioner til at arbejde med applikationer og arbejdsområder.
Det er også nødvendigt at sige, at hovedfunktionaliteten på digitale arbejdspladser kan implementeres uden Citrix Cloud, udelukkende on-premises. Grundproduktet Virtual Apps and Desktops er stadig tilgængeligt i den klassiske version, når ikke kun VDA, men også alle administrationstjenester implementeres og vedligeholdes af kunden på deres websted uafhængigt; i dette tilfælde er der ikke behov for Cloud Connectors. Det samme gælder for Endpoint Management - dens on-pemises forfader hedder XenMobile Server, selvom den i cloud-versionen er lidt mere funktionel. Kunden kan også implementere nogle af adgangskontrolfunktionerne på deres eget websted. Funktionaliteten i Secure Browser kan implementeres på stedet, og valget af browser forbliver hos kunden.
Ønsket om at implementere alt på dit websted er godt med hensyn til sikkerhed, kontrol og sanktionsbaseret mistillid til borgerlige skyer. Uden Citrix Cloud vil Content Collaboration og Analytics-funktionalitet dog være fuldstændig utilgængelig. Funktionaliteten af andre Citrix on-premises løsninger, som nævnt ovenfor, kan være ringere end deres cloud-implementering. Og vigtigst af alt bliver du nødt til at beholde kontrolplanet og administrere det selv.
Nyttige links:
, inkl. Citrix Cloud
– tekniske videoer, artikler og diagrammer
Kilde: www.habr.com