ProHoster > Blog > administration > Architecture Digital Workspace sur la plateforme Citrix Cloud

Architecture Digital Workspace sur la plateforme Citrix Cloud

Architecture Digital Workspace sur la plateforme Citrix Cloud

introduction

L’article décrit les capacités et les fonctionnalités architecturales de la plateforme cloud Citrix Cloud et de l’ensemble de services Citrix Workspace. Ces solutions constituent l'élément central et la base de la mise en œuvre du concept d'espace de travail numérique de Citrix.

Dans cet article, j'ai essayé de comprendre et de formuler les relations de cause à effet entre les plateformes cloud, les services et les abonnements Citrix, dont la description dans les sources open source de l'entreprise (citrix.com et docs.citrix.com) semble très vague dans Quelques lieux. Technologies cloud – il semble qu'il n'y ait pas d'autre solution ! Il convient de noter que l’architecture et la technologie sont décrites de manière généralement saine. Des difficultés surviennent dans la compréhension de la relation hiérarchique entre services et plateformes :

  • Quelle plateforme est principale : Citrix Cloud ou Citrix Workspace Platform ?
  • Laquelle des plates-formes ci-dessus inclut les nombreux services Citrix nécessaires pour créer votre infrastructure de lieu de travail numérique ?
  • Combien coûte ce plaisir et dans quelles options pouvez-vous l'obtenir ?
  • Est-il possible de mettre en œuvre toutes les fonctionnalités de l’espace de travail numérique Citrix sans utiliser Citrix Cloud ?

Les réponses à ces questions et une introduction aux solutions Citrix pour les lieux de travail numériques se trouvent ci-dessous.

CitrixCloud

Citrix Cloud est une plateforme cloud qui héberge tous les services nécessaires à l'organisation des espaces de travail numériques. Ce cloud appartient directement à Citrix, qui le maintient également et assure les Contrat de niveau de service (disponibilité des services – au moins 99,5% par mois).

Les clients (clients) de Citrix, en fonction de l'abonnement sélectionné (package de services), ont accès à une certaine liste de services utilisant le modèle SaaS. Pour eux, Citrix Cloud agit comme un panneau de contrôle basé sur le cloud pour les espaces de travail numériques de l'entreprise. Citrix Cloud dispose d'une architecture multi-tenant, les clients et leurs infrastructures sont isolés les uns des autres.

Citrix Cloud agit comme un plan de contrôle et héberge de nombreux services cloud Citrix, incl. services de service et de gestion de l'infrastructure de l'espace de travail numérique. Le plan de données, qui comprend les applications utilisateur, les postes de travail et les données, réside en dehors de Citrix Cloud. La seule exception est le service Secure Browser, qui est entièrement fourni sur un modèle cloud. Le plan de données peut être situé dans le centre de données du client (on-premises), le centre de données du fournisseur de services, les hyper-clouds (AWS, Azure, Google Cloud). Des solutions mixtes et distribuées sont possibles lorsque les données clients sont localisées dans plusieurs sites et cloud, tout en étant gérées de manière centralisée depuis Citrix Cloud.

Architecture Digital Workspace sur la plateforme Citrix Cloud

Cette approche présente un certain nombre d'avantages évidents pour les clients :

  • liberté de choisir un site pour le placement des données ;
  • la capacité de construire une infrastructure distribuée hybride, impliquant plusieurs sites avec différents fournisseurs, dans plusieurs cloud et sur site ;
  • manque d'accès direct aux données utilisateur depuis Citrix, car elles sont situées en dehors de Citrix Cloud ;
  • la capacité de définir indépendamment le niveau requis de performances, de tolérance aux pannes, de fiabilité, de confidentialité, d'intégrité et de disponibilité des données ; après cela, sélectionnez les sites appropriés pour le placement ;
  • pas besoin d’héberger et de maintenir plusieurs services de gestion du lieu de travail numérique, car ils sont tous situés dans le Cloud Citrix et constituent un casse-tête pour Citrix ; en conséquence - une réduction des coûts.

Espace de travail Citrix

Citrix Workspace est transcendantal, fondamental et global. Examinons cela plus en détail et nous comprendrons pourquoi.

Dans l’ensemble, Citrix Workspace incarne le concept de lieu de travail numérique de Citrix. C'est à la fois une solution, un service et un ensemble de services pour créer des lieux de travail connectés, sécurisés, pratiques et gérés.

Les utilisateurs bénéficient d'un SSO transparent pour un accès rapide aux applications/services, postes de travail et données à partir d'une seule console depuis n'importe quel appareil pour un travail productif. Ils peuvent volontiers oublier les comptes multiples, les mots de passe et les difficultés à trouver des applications (raccourcis, panneau de démarrage, navigateurs - tout est à des endroits différents).

Architecture Digital Workspace sur la plateforme Citrix Cloud

Le service informatique reçoit des outils pour la gestion centralisée des services et des appareils clients, la sécurité, le contrôle d'accès, la surveillance, la mise à jour, l'optimisation de l'interaction réseau et l'analyse.

Citrix Workspace vous permet de fournir un accès unifié aux ressources suivantes :

  • Citrix Virtual Apps and Desktops – virtualisation des applications et des postes de travail ;
  • Des applications Web;
  • Applications cloud SaaS ;
  • Applications mobiles;
  • Fichiers dans divers stockages, incl. nuageux.

Architecture Digital Workspace sur la plateforme Citrix Cloud

Les ressources Citrix Workspace sont accessibles via :

  • Navigateur standard - Chrome, Safari, MS IE et Edge, Firefox pris en charge
  • ou une application client « native » – Citrix Workspace App.

L'accès est possible à partir de tous les appareils clients courants :

  • Des ordinateurs à part entière fonctionnant sous Windows, Linux, MacOS et même Chrome OS ;
  • Appareils mobiles avec iOS ou Android.

Citrix Workspace Platform fait partie d’une variété de services cloud Citrix Cloud conçus pour organiser les espaces de travail numériques. Il est à noter que Workspace inclut la plupart des services présents dans Citrix Cloud, nous y reviendrons plus en détail ultérieurement.

De cette façon, les utilisateurs finaux bénéficient des fonctionnalités de lieu de travail numérique sur leurs appareils clients préférés via l'application Workspace ou son remplacement basé sur un navigateur (Workspace App pour HTML5). Pour réaliser cette fonctionnalité, Citrix propose la Workspace Platform sous la forme d'un ensemble de services cloud que les administrateurs de l'entreprise gèrent via Citrix Cloud.

Citrix Workspace est disponible dans trois paquets: Standard, Premium, Premium Plus. Ils diffèrent par le nombre de services inclus dans le forfait. Aussi, il est possible d’acheter certains services séparément, en dehors du forfait. Par exemple, le service de base Virtual Apps and Desktops n'est inclus que dans le forfait Premium Plus, et son prix autonome est supérieur à celui du forfait Standard et presque égal à celui de Premium.

Il s'avère que Workspace est à la fois une application client - Workspace App et une plate-forme cloud (en partie) - Workspace Platform, ainsi que le nom des types de packages de services et le concept de lieux de travail numériques de Citrix dans son ensemble. Il s’agit d’une entité tellement multiforme.

Configuration requise pour l'architecture et le système

Classiquement, la structure du Digital Workspace de Citrix peut être divisée en 3 zones :

  • Plusieurs appareils clients avec l'application Workspace ou un accès par navigateur aux espaces de travail numériques.
  • Directement Workspace Platform dans Citrix Cloud, qui réside quelque part sur Internet dans le domaine cloud.com.
  • Les emplacements de ressources sont des sites détenus ou loués, des cloud privés ou publics qui hébergent des ressources avec des applications, des bureaux virtuels et des données client publiées sur Citrix Workspace. Il s'agit du même plan de données mentionné ci-dessus ; permettez-moi de vous rappeler qu'un client peut avoir plusieurs emplacements de ressources.

Des exemples de ressources incluent les hyperviseurs, les serveurs, les périphériques réseau, les domaines AD et d'autres éléments nécessaires pour fournir des services de lieu de travail numérique pertinents aux utilisateurs.

Un scénario d'infrastructure distribuée peut impliquer :

  • plusieurs emplacements de ressources dans les propres centres de données du client,
  • emplacements dans des cloud publics,
  • petits emplacements dans des succursales éloignées.

Lors de la planification des emplacements, vous devez considérer :

  • proximité des utilisateurs, des données et des applications ;
  • possibilité de mise à l'échelle, incl. assurer une expansion et une réduction rapides des capacités ;
  • exigences réglementaires et de sécurité.

Les communications entre Citrix Cloud et les emplacements de ressources client s’effectuent via des composants appelés Citrix Cloud Connectors. Ces composants permettent au client de se concentrer sur la maintenance des ressources fournies aux utilisateurs et d'oublier de danser avec les services utilitaires et de gestion déjà déployés dans le cloud et pris en charge par Citrix.

Pour l'équilibrage de charge et la tolérance aux pannes, nous vous recommandons de déployer au moins deux Cloud Connector par emplacement de ressource. Cloud Connector peut être installé sur une machine physique ou virtuelle dédiée exécutant Windows Server (2012 R2 ou 2016). Il est préférable de les placer sur le réseau interne de localisation des ressources, et non dans la DMZ.

Cloud Connector authentifie et chiffre le trafic entre Citrix Cloud et les emplacements de ressources via https, port TCP standard 443. Seules les sessions sortantes sont autorisées - de Cloud Connector vers le cloud, les connexions entrantes sont interdites.

Citrix Cloud nécessite Active Directory (AD) dans l’infrastructure du client. AD agit en tant que principal fournisseur IdAM et est tenu d’autoriser l’accès des utilisateurs aux ressources Workspace. Les connecteurs cloud doivent avoir accès à AD. Pour la tolérance aux pannes, il est recommandé de disposer d'une paire de contrôleurs de domaine dans chaque emplacement de ressources qui interagiront avec les connecteurs cloud de cet emplacement.

Services cloud Citrix

Il vaut désormais la peine de se concentrer sur les services Citrix Cloud de base qui sous-tendent la plateforme Citrix Workspace et permettent aux clients de déployer des espaces de travail numériques à part entière.

Architecture Digital Workspace sur la plateforme Citrix Cloud

Considérons le but et la fonctionnalité de ces services.

Applications et postes de travail virtuels

Il s'agit du service principal de Citrix Digital Workspace, permettant l'accès des terminaux aux applications et au VDI à part entière. Prend en charge la virtualisation des applications et des bureaux Windows et Linux.

En tant que service cloud de Citrix Cloud, le service Virtual Apps and Desktops possède les mêmes composants que les Virtual Apps and Desktops traditionnels (non cloud), comme le montre la figure ci-dessous. La différence est que tous les composants de contrôle (plan de contrôle) dans le cas d’un service sont hébergés dans Citrix Cloud. Le client n'a plus besoin de déployer et de maintenir ces composants ni de leur allouer de la puissance de calcul ; cela est géré par Citrix.

Architecture Digital Workspace sur la plateforme Citrix Cloud

De son côté, le client doit déployer les composants suivants dans les emplacements de ressources :

  • Connecteurs cloud ;
  • Contrôleurs de domaine AD ;
  • Agents de livraison virtuels (VDA) ;
  • Hyperviseurs - en règle générale, ils existent, mais il existe des situations où il est possible de se débrouiller avec la physique ;
  • Les composants facultatifs sont Citrix Gateway et StoreFront.

Tous les composants répertoriés, à l'exception des Cloud Connectors, sont pris en charge indépendamment par le client. C'est logique, puisque le plan de données se trouve ici, en particulier pour les nœuds physiques et les hyperviseurs avec VDA, où se trouvent directement les applications utilisateur et les postes de travail.

Les Cloud Connector doivent uniquement être installés par le client ; il s’agit d’une procédure très simple effectuée depuis la console Citrix Cloud. Leur prise en charge ultérieure s'effectue automatiquement.

Contrôle d'accès

Ce service offre les fonctionnalités suivantes :

  • SSO (authentification unique) pour une large liste d'applications SaaS populaires ;
  • Filtrage de l'accès aux ressources Internet ;
  • Surveillance de l'activité des utilisateurs sur Internet.

L’authentification unique des clients vers les services SaaS via Citrix Workspace est une alternative plus pratique et plus sécurisée que l’accès conventionnel via un navigateur. La liste des applications SaaS prises en charge est assez longue et ne cesse de s'allonger.

Le filtrage de l'accès à Internet peut être configuré sur la base de listes blanches ou noires de sites créées manuellement. De plus, il prend en charge le contrôle d'accès par catégories de sites, basé sur de nombreuses listes d'URL commerciales mises à jour. Les utilisateurs peuvent se voir interdire l'accès à des catégories de sites telles que les réseaux sociaux, les magasins, les sites pour adultes, les logiciels malveillants, les torrents, les proxys, etc.

En plus d'autoriser l'accès aux sites/SaaS directement ou d'en bloquer l'accès, il est possible de rediriger les clients vers le navigateur sécurisé. Ceux. Pour réduire les risques, l'accès aux catégories/listes sélectionnées de ressources Internet ne sera possible que via le navigateur sécurisé.

Architecture Digital Workspace sur la plateforme Citrix Cloud

Le service fournit également des analyses détaillées pour surveiller l'activité des utilisateurs sur Internet : sites et applications visités, ressources et attaques dangereuses, accès bloqués, volumes de données téléchargées/téléchargées.

Navigateur sécurisé

Permet de publier un navigateur Internet (Google Chrome) auprès des utilisateurs de Citrix Workspace en tant qu'application virtuelle. Secure Browser est un service SaaS géré et maintenu par Citrix. Il est entièrement hébergé dans Citrix Cloud (y compris le plan de données), le client n'a pas besoin de le déployer et de le maintenir dans ses propres emplacements de ressources.

Citrix est responsable de l'allocation des ressources dans son cloud pour les VDA qui hébergent les navigateurs publiés pour les clients, assurant ainsi la sécurité et la mise à jour du système d'exploitation et des navigateurs eux-mêmes.

Les clients accèdent à Secure Browser via l'application Workspace ou le navigateur client. La session est chiffrée à l'aide de TLS. Pour utiliser le service, le client n'a pas besoin de télécharger ou d'installer quoi que ce soit.

Les sites Web et les applications Web lancés via Secure Browser s'exécutent dans le cloud, le client ne reçoit qu'une image de la session du terminal, rien n'est exécuté sur l'appareil final. Cela vous permet d'augmenter considérablement le niveau de sécurité et de vous protéger contre les attaques du navigateur.

Le service est connecté et géré via le panel client Citrix Cloud. La connexion s'effectue en quelques clics :
Architecture Digital Workspace sur la plateforme Citrix Cloud

La gestion est également assez simple, elle se résume à définir des politiques et des feuilles blanches :
Architecture Digital Workspace sur la plateforme Citrix Cloud

La politique vous permet de réguler les paramètres suivants :

  • Presse-papiers – vous permet d'activer la fonctionnalité copier-coller dans une session de navigateur ;
  • Impression – la possibilité d'enregistrer des pages Web sur l'appareil client au format PDF ;
  • Non-kiosk – activé par défaut, permet une utilisation complète du navigateur (plusieurs onglets, barre d'adresse) ;
  • Basculement de région – la possibilité de redémarrer le navigateur dans une autre région Citrix Cloud si la région principale plante ;
  • Mappage du lecteur client – ​​possibilité de monter un disque de périphérique client pour télécharger ou télécharger des fichiers de session de navigateur.

Les listes blanches vous permettent de spécifier une liste de sites auxquels les clients auront accès. L'accès aux ressources en dehors de cette liste sera interdit.

Collaboration de contenu

Ce service offre la possibilité aux utilisateurs de Workspace d'avoir un accès unifié aux fichiers et documents hébergés sur les ressources internes du client (sur site) et les services de cloud public pris en charge. Il peut s'agir de dossiers personnels de l'utilisateur, de partages réseau d'entreprise, de documents SharePoint ou de référentiels cloud tels que OneDrive, DropBox ou Google Drive.

Le service fournit un SSO pour accéder aux données sur tous les types de ressources de stockage. Les utilisateurs de Citrix Workspace bénéficient d’un accès sécurisé aux fichiers de travail depuis leurs appareils, non seulement au bureau, mais également à distance, sans aucune complexité supplémentaire.

Content Collaboration offre les fonctionnalités de traitement des données suivantes :

  • partage de fichiers entre les ressources Workspace et l'appareil client (téléchargement et chargement),
  • synchronisation des fichiers utilisateurs sur tous les appareils,
  • partage de fichiers et synchronisation entre plusieurs utilisateurs de Workspace,
  • définir les droits d'accès aux fichiers et dossiers pour les autres utilisateurs de Workspace,
  • demande d'accès aux fichiers, génération de liens pour le téléchargement sécurisé des fichiers.

De plus, des mécanismes de protection supplémentaires sont fournis :

  • accès aux fichiers à l'aide de mots de passe à usage unique,
  • le cryptage des fichiers,
  • fournir des fichiers partagés avec des filigranes.

Gestion des terminaux

Ce service fournit les fonctionnalités nécessaires aux espaces de travail numériques pour gérer les appareils mobiles (Mobile Device Management - MDM) et les applications (Mobile Application Management - MAM). Citrix le positionne comme une solution SaaS-EMM – Enterprise Mobility Management as a service.

La fonctionnalité MDM vous permet de :

  • distribuer des applications, des politiques d'appareils, des certificats de connexion aux ressources clients,
  • garder une trace des appareils,
  • bloquer et effectuer un effacement complet ou partiel (wipe) des appareils.

La fonctionnalité MAM vous permet de :

  • assurer la sécurité des applications et des données sur les appareils mobiles,
  • fournir des applications mobiles d'entreprise.

Du point de vue de l'architecture et du principe de fourniture de services au client, Endpoint Management est très similaire à la version cloud de Virtual Apps and Desktops décrite ci-dessus. Control Plane et ses services constitutifs sont situés dans Citrix Cloud et sont maintenus par Citrix, ce qui nous permet de considérer ce service comme SaaS.

Le plan de données dans les emplacements de ressources client comprend :

  • Cloud Connectors nécessaires pour interagir avec le cloud Citrix,
  • Citrix Gateways, qui fournissent un accès sécurisé des utilisateurs distants aux ressources internes du client (applications, données) et aux fonctionnalités micro-VPN,
  • Active Directory, PKI
  • Exchange, fichiers, applications virtuelles et bureaux.

Architecture Digital Workspace sur la plateforme Citrix Cloud

Réseau

Citrix Gateway fournit les fonctionnalités suivantes :

  • passerelle d'accès à distance – connexion sécurisée aux ressources de l'entreprise pour les utilisateurs mobiles et distants en dehors du périmètre sécurisé,
  • Fournisseur IdAM (Identity and Access Management) pour fournir du SSO aux ressources de l'entreprise.

Dans ce contexte, les ressources de l'entreprise doivent être comprises non seulement comme des applications et des postes de travail virtuels, mais également comme de nombreuses applications SaaS.

Pour optimiser le trafic réseau et obtenir la fonctionnalité micro VPN, vous devez déployer Citrix Gateway dans chacun des emplacements de ressources, généralement dans la DMZ. Dans ce cas, l’attribution des capacités et du support nécessaires incombe au client.

Une option alternative consiste à utiliser Citrix Gateway sous la forme d'un service Citrix Cloud ; dans ce cas, le client n'a pas besoin de déployer ou de maintenir quoi que ce soit chez lui ; Citrix le fait pour lui dans son cloud.

Analytique

Il s'agit d'un service analytique Citrix Cloud intégré à tous les services cloud décrits ci-dessus. Il est conçu pour collecter les données générées par les services Citrix et les analyser à l'aide de mécanismes d'apprentissage automatique intégrés. Cela prend en compte les métriques liées aux utilisateurs, aux applications, aux fichiers, aux appareils et au réseau.

En conséquence, des rapports sont générés concernant la sécurité, les performances et les opérations des utilisateurs.

Architecture Digital Workspace sur la plateforme Citrix Cloud

En plus de générer des rapports statistiques, Citrix Analytics peut agir de manière proactive. Cela consiste à dresser des profils de comportement normal des utilisateurs et à identifier les anomalies. Si un utilisateur commence à utiliser l'application de manière non standard ou à fouiller activement des données, lui et son appareil peuvent être automatiquement bloqués. La même chose se produira si vous accédez à des ressources Internet dangereuses.

L'accent n'est pas seulement mis sur la sécurité, mais aussi sur la performance. Analytics vous permet de surveiller et de résoudre rapidement les problèmes associés aux longues connexions utilisateur et aux retards du réseau.

Conclusion

Nous avons pris connaissance de l'architecture du cloud Citrix, de la plateforme Workspace et de ses principaux services nécessaires à l'organisation de l'infrastructure des postes de travail numériques. Il convient de noter que nous n'avons pas considéré tous les services Citrix Cloud, nous nous sommes limités à l'ensemble de base pour organiser un espace de travail numérique. Liste complète Les services cloud Citrix incluent également des outils réseau et des fonctionnalités supplémentaires pour travailler avec des applications et des espaces de travail.

Il faut également dire que les principales fonctionnalités des Digital Workplaces peuvent être déployées sans Citrix Cloud, exclusivement sur site. Le produit de base Virtual Apps and Desktops est toujours disponible dans la version classique, lorsque non seulement le VDA, mais également tous les services de gestion sont déployés et maintenus par le client sur son site de manière indépendante ; dans ce cas, aucun Cloud Connector n'est nécessaire. Il en va de même pour Endpoint Management : son ancêtre sur site s'appelle XenMobile Server, bien que dans la version cloud, il soit un peu plus fonctionnel. Le client peut également mettre en œuvre certaines fonctionnalités de contrôle d’accès sur son propre site. La fonctionnalité de Secure Browser peut être implémentée sur site et le choix du navigateur appartient au client.

L'envie de tout déployer sur son site est bonne en termes de sécurité, de contrôle et de méfiance fondée sur les sanctions à l'égard des cloud bourgeois. Cependant, sans Citrix Cloud, les fonctionnalités de Content Collaboration et Analytics seront totalement indisponibles. Les fonctionnalités des autres solutions Citrix sur site, comme mentionné ci-dessus, peuvent être inférieures à leur implémentation dans le cloud. Et surtout, vous devrez conserver le plan de contrôle et l’administrer vous-même.

Liens utiles:

Documentation technique pour les produits Citrix, y compris Citrix-Cloud
Zone technologique Citrix – vidéos techniques, articles et schémas
Bibliothèque de ressources Citrix Workspace

Source: habr.com

Ajouter un commentaire