Innledning
Artikkelen beskriver egenskapene og arkitektoniske funksjonene til Citrix Cloud-skyplattformen og Citrix Workspace-tjenestene. Disse løsningene er det sentrale elementet og grunnlaget for implementeringen av det digitale arbeidsromkonseptet fra Citrix.
I denne artikkelen forsøkte jeg å forstå og formulere årsak-og-virkning-forhold mellom Citrix skyplattformer, tjenester og abonnementer, hvis beskrivelse i selskapets åpne kilder (citrix.com og docs.citrix.com) ser veldig vag ut i noen plasser. Skyteknologier – det ser ikke ut til å være noen annen måte! Det er verdt å merke seg at arkitekturen og teknologien avsløres på en generelt fornuftig måte. Det oppstår vanskeligheter med å forstå det hierarkiske forholdet mellom tjenester og plattformer:
- Hvilken plattform er primær - Citrix Cloud eller Citrix Workspace Platform?
- Hvilken av plattformene ovenfor inkluderer de mange Citrix-tjenestene som trengs for å bygge din digitale arbeidsplassinfrastruktur?
- Hvor mye koster denne gleden og i hvilke alternativer kan du få den?
- Er det mulig å implementere alle funksjonene til Citrix digitale arbeidsområde uten å bruke Citrix Cloud?
Nedenfor finner du svar på disse spørsmålene og en introduksjon til Citrix-løsninger for digitale arbeidsplasser.
Citrix Cloud
Citrix Cloud er en skyplattform som er vert for alle tjenestene som er nødvendige for å organisere digitale arbeidsplasser. Denne skyen eies direkte av Citrix, som også vedlikeholder den og sørger for det nødvendige (tilgjengelighet av tjenester – minst 99,5 % per måned).
Kunder (klienter) til Citrix, avhengig av valgt abonnement (tjenestepakke), får tilgang til en bestemt liste over tjenester ved bruk av SaaS-modellen. For dem fungerer Citrix Cloud som et skybasert kontrollpanel for bedriftens digitale arbeidsplasser. Citrix Cloud har en multi-tenant-arkitektur, kunder og deres infrastrukturer er isolert fra hverandre.
Citrix Cloud fungerer som et kontrollplan og er vert for en rekke Citrix-skytjenester, inkl. service- og administrasjonstjenester for den digitale arbeidsområdets infrastruktur. Dataplanet, som inkluderer brukerapplikasjoner, skrivebord og data, ligger utenfor Citrix Cloud. Det eneste unntaket er Secure Browser Service, som tilbys utelukkende på en skymodell. Dataplanet kan være plassert i kundens datasenter (lokalt), tjenesteleverandørens datasenter, hyperskyer (AWS, Azure, Google Cloud). Blandede og distribuerte løsninger er mulig når kundedata er lokalisert i flere nettsteder og skyer, samtidig som de administreres sentralt fra Citrix Cloud.
Denne tilnærmingen har en rekke åpenbare fordeler for kundene:
- frihet til å velge et nettsted for dataplassering;
- muligheten til å bygge en hybrid distribuert infrastruktur, som involverer flere lokasjoner med forskjellige leverandører, i flere skyer og på stedet;
- mangel på direkte tilgang til brukerdata fra Citrix, siden de er plassert utenfor Citrix Cloud;
- evnen til uavhengig å stille inn det nødvendige ytelsesnivået, feiltoleranse, pålitelighet, konfidensialitet, integritet og tilgjengelighet av data; deretter velger du passende steder for plassering;
- ikke nødvendig å være vert for og vedlikeholde flere digitale arbeidsplassadministrasjonstjenester, siden de alle er plassert i Citrix Cloud og er en hodepine for Citrix; som et resultat - kostnadsreduksjon.
Citrix arbeidsområde
Citrix Workspace er transcendentalt, grunnleggende og altomfattende. La oss se på det mer detaljert, og det vil bli klart hvorfor.
Totalt sett legemliggjør Citrix Workspace det digitale arbeidsplasskonseptet fra Citrix. Det er samtidig en løsning, en tjeneste og et sett med tjenester for å skape tilkoblede, sikre, praktiske og administrerte arbeidsplasser.
Brukere får muligheten til sømløs SSO for rask tilgang til applikasjoner/tjenester, stasjonære datamaskiner og data fra én enkelt konsoll fra hvilken som helst enhet for produktivt arbeid. De kan gjerne glemme flere kontoer, passord og problemer med å finne applikasjoner (snarveier, startpanel, nettlesere - alt er på forskjellige steder).
IT-tjenesten mottar verktøy for sentralisert administrasjon av tjenester og klientenheter, sikkerhet, tilgangskontroll, overvåking, oppdatering, optimalisering av nettverksinteraksjon og analyser.
Citrix Workspace lar deg gi enhetlig tilgang til følgende ressurser:
- Citrix Virtual Apps and Desktops – virtualisering av applikasjoner og desktops;
- Web-applikasjoner;
- Cloud SaaS-applikasjoner;
- Mobilapplikasjoner;
- Filer i ulike lager, inkl. skyet.
Citrix Workspace-ressurser er tilgjengelig via:
- Standard nettleser - Chrome, Safari, MS IE og Edge, Firefox støttes
- eller en "native" klientapplikasjon - Citrix Workspace App.
Tilgang er mulig fra alle populære klientenheter:
- Fullverdige datamaskiner som kjører Windows, Linux, MacOS og til og med Chrome OS;
- Mobile enheter med iOS eller Android.
Citrix Workspace Platform er en del av en rekke Citrix Cloud-skytjenester designet for å organisere digitale arbeidsområder. Det er verdt å merke seg at Workspace inkluderer de fleste av tjenestene som finnes i Citrix Cloud, vi vil dvele mer detaljert på dem senere.
På denne måten får sluttbrukere digital arbeidsplassfunksjonalitet på sine favorittklientenheter gjennom Workspace-appen eller dens nettleserbaserte erstatning (Workspace-appen for HTML5). For å oppnå denne funksjonaliteten tilbyr Citrix Workspace Platform som et sett med skytjenester som bedriftsadministratorer administrerer gjennom Citrix Cloud.
Citrix Workspace er tilgjengelig i : Standard, Premium, Premium Plus. De er forskjellige i antall tjenester som er inkludert i pakken. Det er også mulig å kjøpe noen tjenester separat, utenfor pakken. For eksempel er den grunnleggende Virtual Apps and Desktops-tjenesten bare inkludert i Premium Plus-pakken, og den frittstående prisen er høyere enn Standard-pakken og nesten lik Premium.
Det viser seg at Workspace både er en klientapplikasjon – Workspace App, og en skyplattform (en del av den) – Workspace Platform, og navnet på typene tjenestepakker, og konseptet med digitale arbeidsplasser fra Citrix som helhet. Dette er en så mangefasettert enhet.
Arkitektur og systemkrav
Konvensjonelt kan strukturen til Digital Workspace fra Citrix deles inn i 3 områder:
- Flere klientenheter med Workspace-appen eller nettleserbasert tilgang til digitale arbeidsområder.
- Direkte Workspace Platform i Citrix Cloud, som bor et sted på Internett i cloud.com-domenet.
- Ressursplasseringer er eide eller leide nettsteder, private eller offentlige skyer som er vert for ressurser med applikasjoner, virtuelle skrivebord og kundedata publisert til Citrix Workspace. Dette er det samme dataplanet nevnt ovenfor; la meg minne deg på at én kunde kan ha flere ressursplasseringer.
Eksempler på ressurser inkluderer hypervisorer, servere, nettverksenheter, AD-domener og andre elementer som er nødvendige for å tilby relevante digitale arbeidsplasstjenester til brukere.
Et distribuert infrastrukturscenario kan innebære:
- flere ressursplasseringer i kundens egne datasentre,
- plasseringer i offentlige skyer,
- små lokasjoner i avsidesliggende grener.
Når du planlegger plasseringer bør du vurdere:
- nærhet til brukere, data og applikasjoner;
- mulighet for skalering, inkl. sikre rask utvidelse og reduksjon av kapasitet;
- sikkerhet og forskriftskrav.
Kommunikasjon mellom Citrix Cloud og kunderessursplasseringer skjer gjennom komponenter kalt Citrix Cloud Connectors. Disse komponentene lar kunden fokusere på å vedlikeholde ressursene som gis til brukerne og glemme å danse med hjelpe- og administrasjonstjenester som allerede er distribuert i skyen og støttet av Citrix.
For belastningsbalansering og feiltoleranse anbefaler vi å distribuere minst to Cloud Connectors per ressursplassering. Cloud Connector kan installeres på en dedikert fysisk eller virtuell maskin som kjører Windows Server (2012 R2 eller 2016). Det er å foretrekke å plassere dem på det interne ressurslokaliseringsnettverket, ikke i DMZ.
Cloud Connector autentiserer og krypterer trafikk mellom Citrix Cloud og ressursplasseringer via https, standard TCP-port 443. Kun utgående økter er tillatt – fra Cloud Connector til skyen er innkommende tilkoblinger forbudt.
Citrix Cloud krever Active Directory (AD) i kundens infrastruktur. AD fungerer som den viktigste IdAM-leverandøren og er pålagt å autorisere brukertilgang til Workspace-ressurser. Cloud Connectors må ha tilgang til AD. For feiltoleranse er det en god praksis å ha et par domenekontrollere på hver ressursplassering som vil samhandle med Cloud Connectors på den plasseringen.
Citrix Cloud Services
Nå er det verdt å fokusere på de sentrale Citrix Cloud-tjenestene som ligger til grunn for Citrix Workspace-plattformen og lar kundene distribuere fullverdige digitale arbeidsplasser.
La oss vurdere formålet og funksjonaliteten til disse tjenestene.
Virtuelle apper og skrivebord
Dette er hovedtjenesten til Citrix Digital Workspace, som gir terminaltilgang til applikasjoner og fullverdig VDI. Støtter virtualisering av Windows- og Linux-applikasjoner og skrivebord.
Som en skytjeneste fra Citrix Cloud, har Virtual Apps and Desktops-tjenesten de samme komponentene som tradisjonelle (ikke-sky) Virtual Apps and Desktops, som vist i figuren nedenfor. Forskjellen er at alle kontrollkomponenter (kontrollplan) i tilfelle av en tjeneste er vert i Citrix Cloud. Kunden trenger ikke lenger å distribuere og vedlikeholde disse komponentene eller allokere datakraft for dem; dette håndteres av Citrix.
På sin side må kunden distribuere følgende komponenter på ressursplasseringer:
- Cloud Connectors;
- AD domenekontrollere;
- Virtual Delivery Agents (VDAer);
- Hypervisorer - som regel eksisterer de, men det er situasjoner der det er mulig å klare seg med fysikk;
- Valgfrie komponenter er Citrix Gateway og StoreFront.
Alle de oppførte komponentene, unntatt Cloud Connectors, støttes av kunden uavhengig. Dette er logisk, siden dataplanet er plassert her, spesielt for fysiske noder og hypervisorer med VDA-er, hvor brukerapplikasjoner og skrivebord er plassert direkte.
Cloud Connectors trenger kun å installeres av kunden; dette er en veldig enkel prosedyre utført fra Citrix Cloud-konsollen. Deres videre støtte utføres automatisk.
Access Control
Denne tjenesten tilbyr følgende funksjoner:
- SSO (single sign-on) for en stor liste over populære SaaS-applikasjoner;
- Filtrering av tilgang til Internett-ressurser;
- Overvåking av brukeraktivitet på Internett.
SSO for klienter til SaaS-tjenester gjennom Citrix Workspace er et mer praktisk og sikkert alternativ sammenlignet med konvensjonell tilgang gjennom en nettleser. Listen over støttede SaaS-applikasjoner er ganske stor og utvides stadig.
Internett-tilgangsfiltrering kan konfigureres basert på manuelt opprettede hvite eller svarte lister over nettsteder. I tillegg støtter den tilgangskontroll etter nettstedskategorier, basert på omfattende oppdaterte kommersielle URL-lister. Brukere kan bli begrenset fra å få tilgang til kategorier av nettsteder som sosiale nettverk, shopping, voksennettsteder, skadelig programvare, torrenter, proxyer, etc.
I tillegg til å gi tilgang til nettsteder/SaaS direkte eller blokkere tilgang til dem, er det mulig å omdirigere klienter til den sikre nettleseren. De. For å redusere risikoen vil tilgang til utvalgte kategorier/lister over Internett-ressurser bare være mulig gjennom den sikre nettleseren.
Tjenesten gir også detaljerte analyser for å overvåke brukeraktivitet på Internett: besøkte nettsteder og applikasjoner, farlige ressurser og angrep, blokkert tilgang, mengder opplastede/nedlastede data.
Sikker nettleser
Lar deg publisere en nettleser (Google Chrome) til Citrix Workspace-brukere som en virtuell applikasjon. Secure Browser er en SaaS-tjeneste som administreres og vedlikeholdes av Citrix. Det er helt og holdent i Citrix Cloud (inkludert dataplanet), kunden trenger ikke å distribuere og vedlikeholde det på sine egne ressursplasseringer.
Citrix er ansvarlig for å allokere ressurser i sin sky for VDA-er som er vert for nettlesere publisert for klienter, og sikrer sikkerheten og oppdateringen av operativsystemet og selve nettleserne.
Klienter får tilgang til sikker nettleser via Workspace-appen eller klientnettleseren. Økten er kryptert med TLS. For å bruke tjenesten trenger ikke klienten å laste ned eller installere noe.
Nettsteder og nettapplikasjoner lansert gjennom Secure Browser kjører i skyen, klienten mottar kun et bilde av terminaløkten, ingenting blir utført på sluttenheten. Dette lar deg øke sikkerhetsnivået betydelig og beskytte deg mot nettleserangrep.
Tjenesten kobles til og administreres gjennom Citrix Cloud-kundepanelet. Tilkoblingen er fullført med et par klikk:
Administrasjonen er også ganske enkel, det kommer ned til å angi retningslinjer og hvite ark:
Policyen lar deg regulere følgende parametere:
- Utklippstavle – lar deg aktivere kopier-lim-funksjonalitet i en nettleserøkt;
- Utskrift – muligheten til å lagre nettsider på klientenheten i PDF-format;
- Ikke-kiosk – aktivert som standard, tillater full bruk av nettleseren (flere faner, adresselinje);
- Region failover – muligheten til å starte nettleseren på nytt i en annen Citrix Cloud-region hvis hovedregionen krasjer;
- Klientstasjonskartlegging – muligheten til å montere en klientenhetsdisk for nedlasting eller opplasting av nettleserøktfiler.
Hvitelister lar deg spesifisere en liste over nettsteder som klienter skal ha tilgang til. Tilgang til ressurser utenfor denne listen vil være forbudt.
Innholdssamarbeid
Denne tjenesten gir Workspace-brukere mulighet til å ha enhetlig tilgang til filer og dokumenter som ligger på kundens interne ressurser (lokale) og støttede offentlige skytjenester. Dette kan være brukerens personlige mapper, bedriftsnettverksdelinger, SharePoint-dokumenter eller skylagre som OneDrive, DropBox eller Google Drive.
Tjenesten gir SSO for tilgang til data på alle typer lagringsressurser. Citrix Workspace-brukere får sikker tilgang til arbeidsfiler fra enhetene deres, ikke bare på kontoret, men også eksternt, uten ekstra kompleksitet.
Content Collaboration gir følgende databehandlingsmuligheter:
- deling av filer mellom Workspace-ressurser og klientenheten (nedlasting og opplasting),
- synkronisering av brukerfiler på alle enheter,
- fildeling og synkronisering mellom flere Workspace-brukere,
- angi tilgangsrettigheter til filer og mapper for andre Workspace-brukere,
- forespørsel om tilgang til filer, generering av lenker for sikker nedlasting av filer.
I tillegg er det gitt ytterligere beskyttelsesmekanismer:
- tilgang til filer ved hjelp av engangspassord,
- filkryptering,
- forsyne delte filer med vannmerker.
Endpoint Management
Denne tjenesten gir funksjonaliteten som kreves for digitale arbeidsplasser for å administrere mobile enheter (Mobile Device Management - MDM) og applikasjoner (Mobile Application Management - MAM). Citrix posisjonerer det som en SaaS-EMM-løsning – Enterprise Mobility Management as a service.
MDM-funksjonalitet lar deg:
- distribuere applikasjoner, enhetspolicyer, sertifikater for tilkobling til kunderessurser,
- holde styr på enheter,
- blokkere og utføre hel eller delvis sletting (tørking) av enheter.
MAM-funksjonalitet lar deg:
- sikre sikkerheten til applikasjoner og data på mobile enheter,
- levere bedriftens mobilapplikasjoner.
Fra et synspunkt av arkitektur og prinsippet om å levere tjenester til kunden, er Endpoint Management veldig lik skyversjonen av virtuelle apper og skrivebord beskrevet ovenfor. Control Plane og dets inngående tjenester er lokalisert i Citrix Cloud og vedlikeholdes av Citrix, som lar oss vurdere denne tjenesten som SaaS.
Dataplan på kunderessursplasseringer inkluderer:
- Cloud Connectors som er nødvendige for å samhandle med Citrix-skyen,
- Citrix Gateways, som gir sikker ekstern brukertilgang til kundens interne ressurser (applikasjoner, data) og mikro-VPN-funksjonalitet,
- Active Directory, PKI
- Utveksling, filer, virtuelle applikasjoner og skrivebord.
Inngangsport
Citrix Gateway har følgende funksjonalitet:
- ekstern tilgangsport – sikker tilkobling til bedriftsressurser for mobile og eksterne brukere utenfor den sikre perimeteren,
- IdAM-leverandør (Identity and Access Management) for å gi SSO til bedriftens ressurser.
I denne sammenhengen bør bedriftsressurser ikke bare forstås som virtuelle applikasjoner og skrivebord, men også som en rekke SaaS-applikasjoner.
For å optimalisere nettverkstrafikken og oppnå mikro-VPN-funksjonalitet, må du distribuere Citrix Gateway på hver av ressursplasseringene, vanligvis i DMZ. I dette tilfellet faller tildelingen av nødvendig kapasitet og støtte på kundens skuldre.
Et alternativ er å bruke Citrix Gateway i form av en Citrix Cloud-tjeneste; i dette tilfellet trenger ikke kunden å distribuere eller vedlikeholde noe hjemme; Citrix gjør dette for ham i skyen sin.
Analytics
Dette er en Citrix Cloud analytisk tjeneste integrert med alle skytjenestene beskrevet ovenfor. Den er designet for å samle inn data generert av Citrix-tjenester og analysere den ved hjelp av innebygde maskinlæringsmekanismer. Dette tar hensyn til beregninger knyttet til brukere, applikasjoner, filer, enheter og nettverk.
Som et resultat genereres det rapporter om sikkerhet, ytelse og brukeroperasjoner.
I tillegg til å generere statistiske rapporter, kan Citrix Analytics opptre proaktivt. Dette består i å danne profiler for normal brukeratferd og identifisere uregelmessigheter. Hvis en bruker begynner å bruke applikasjonen på en ikke-standard måte eller aktivt famler med data, kan han og enheten hans bli blokkert automatisk. Det samme vil skje hvis du får tilgang til farlige Internett-ressurser.
Fokus er ikke bare på sikkerhet, men også på ytelse. Analytics lar deg overvåke og raskt løse problemer knyttet til lange brukerpålogginger og nettverksforsinkelser.
Konklusjon
Vi ble kjent med arkitekturen til Citrix-skyen, Workspace-plattformen og dens hovedtjenester som er nødvendige for å organisere infrastrukturen til digitale arbeidsplasser. Det er verdt å merke seg at vi ikke har vurdert alle Citrix Cloud-tjenester; vi begrenset oss til det grunnleggende settet for å organisere et digitalt arbeidsområde. Citrix skytjenester inkluderer også nettverksverktøy, tilleggsfunksjoner for arbeid med applikasjoner og arbeidsområder.
Det er også nødvendig å si at hovedfunksjonaliteten til digitale arbeidsplasser kan distribueres uten Citrix Cloud, utelukkende på stedet. Grunnproduktet Virtual Apps and Desktops er fortsatt tilgjengelig i den klassiske versjonen, når ikke bare VDA, men også alle administrasjonstjenester distribueres og vedlikeholdes av kunden på deres nettsted uavhengig; i dette tilfellet er det ikke nødvendig med Cloud Connectors. Det samme gjelder Endpoint Management - dens lokale stamfar heter XenMobile Server, selv om den i skyversjonen er litt mer funksjonell. Kunden kan også implementere noen av tilgangskontrollfunksjonene på sin egen side. Funksjonaliteten til Secure Browser kan implementeres på stedet, og valget av nettleser forblir hos kunden.
Ønsket om å distribuere alt på nettstedet ditt er godt med tanke på sikkerhet, kontroll og sanksjonsbasert mistillit til borgerlige skyer. Uten Citrix Cloud vil innholdssamarbeid og analysefunksjonalitet imidlertid være fullstendig utilgjengelig. Funksjonaliteten til andre Citrix lokale løsninger, som nevnt ovenfor, kan være dårligere enn deres skyimplementering. Og viktigst av alt, du må beholde kontrollplanet og administrere det selv.
Nyttige lenker:
, inkl. Citrix Cloud
– tekniske videoer, artikler og diagrammer
Kilde: www.habr.com