Запровадження
Стаття описує можливості та архітектурні особливості хмарної платформи Citrix Cloud та набору сервісів Citrix Workspace. Ці рішення є центральним елементом та основою для реалізації концепції цифрових робочих місць (digital workspaсe) від компанії Citrix.
У цій статті я спробував розібратися та сформулювати причинно-наслідкові зв'язки між хмарними платформами, сервісами та підписками Citrix, опис яких у відкритих джерелах компанії (citrix.com та docs.citrix.com) виглядає місцями дуже туманно. Хмарні технології - інакше ніяк! Варто зазначити, що архітектура та технології розкриті загалом осудно. Складнощі виникають у розумінні ієрархічного взаємозв'язку між сервісами та платформами:
- яка платформа первинна - Citrix Cloud або Citrix Workspace Platform?
- до якої з платформ, вказаних вище, входять численні сервіси Citrix, необхідні для побудови цифрових інфраструктури робочих місць?
- скільки коштує це задоволення і в яких випадках його можна отримати?
- чи можливо реалізувати всі фічі digital workspaсe Citrix без використання Citrix Cloud?
Відповіді на ці питання та знайомство з рішеннями Citrix для цифрових робочих місць під катом.
Citrix Cloud
Citrix Cloud – це хмарна платформа, в якій розміщуються всі сервіси, необхідні для організації цифрових робочих місць. Володіє цією хмарою безпосередньо компанія Citrix, вона ж займається її супроводом та забезпечує заданий (Доступність сервісів – не менше 99,5% на місяць).
Замовники (клієнти) компанії Citrix в залежності від обраної підписки (пакету сервісів) отримують доступ до певного переліку сервісів за моделлю SaaS. Для них Citrix Cloud виступає як хмарна панель управління цифровими робочими місцями компанії. Citrix Cloud має multi-tenant архітектуру, замовники та їх інфраструктури ізольовані один від одного.
Citrix Cloud виконує роль площини керування (control plane), тут розміщуються численні хмарні послуги Citrix, в т.ч. службові та керуючі послуги інфраструктури digital workspase. Data plane, що включає користувацькі додатки, робочі столи та дані, знаходиться за межами Citrix Cloud. Винятком є лише Secure Browser Service, що надається повністю за хмарною моделлю. Площина даних може розміщуватись у дата-центрі замовника (on-premises), дата-центрі сервіс-провайдера, гіпер-хмарах (AWS, Azure, Google Cloud). Можливі змішані та розподілені рішення, коли дані замовника знаходяться у кількох майданчиках та хмарах, при цьому їхнє управління централізовано здійснюється з Citrix Cloud.
Такий підхід має низку очевидних переваг для замовників:
- свобода вибору майданчика розміщення даних;
- можливість побудови гібридної розподіленої інфраструктури, що передбачає безліч розміщень у різних провайдерів, у кількох хмарах та on-premises;
- відсутність безпосереднього доступу до даних користувача з боку Citrix, оскільки вони знаходяться за межами Citrix Cloud;
- можливість самостійно задати необхідний рівень продуктивності, відмовостійкості, надійності, конфіденційності, цілісності та доступності даних; після цього підібрати відповідні майданчики для розміщення;
- відсутність необхідності розміщення та супроводу безлічі сервісів управління цифровими робочими місцями, оскільки всі вони знаходяться в Citrix Cloud і є головним болем Citrix; як наслідок – скорочення видатків.
Робоча область Citrix
Citrix Workspace – поняття трансцендентальне, основне та всеосяжне. Розберемося з ним детальніше і стане зрозумілим – чому.
Загалом Citrix Workspace уособлює концепцію цифрових робочих місць від компанії Citrix. Це одночасно рішення, послуга та набір сервісів для створення об'єднаних, безпечних, зручних та керованих робочих місць.
Користувачі отримують можливість безшовного SSO для швидкого доступу до додатків/сервісів, десктопів та даних з єдиної консолі з будь-якого пристрою для продуктивної роботи. Вони з радістю можуть забути про безліч обліку, паролі та складнощі з пошуком додатків (ярлики, панель Пуск, браузери – все в різних місцях).
ІТ-служба отримує інструменти для централізованого управління сервісами та клієнтськими пристроями, забезпечення безпеки, розмежування доступу, моніторингу, оновлення, оптимізації мережевої взаємодії, аналітики.
Citrix Workspace дозволяє надати об'єднаний доступ до таких ресурсів:
- Citrix Virtual Apps and Desktops – віртуалізація програм та десктопів;
- Web-додатки;
- Хмарні SaaS-додатки;
- Мобільні додатки;
- Файли у різних сховищах, у т.ч. хмарних.
Доступ до ресурсів Citrix Workspace здійснюється через:
- Стандартний браузер - підтримуються Chrome, Safari, MS IE та Edge, Firefox
- або "рідна" клієнтська програма - Citrix Workspace App.
Доступ можливий з усіх популярних клієнтських пристроїв:
- Повноцінні комп'ютери під керуванням Windows, Linux, MacOS та навіть Chrome OS;
- Мобільні пристрої з iOS або Android.
Citrix Workspace Platform – це частина багатьох хмарних сервісів Citrix Cloud, призначених для організації digital workspaсe. Варто відзначити, що Workspace включає в себе більшу частину сервісів, присутніх у Citrix Cloud, докладніше зупинимося на них пізніше.
Таким чином, кінцеві користувачі отримують функціональність цифрових робочих місць на улюблених пристроях клієнтів за допомогою Workspace App або його браузерної заміни (Workspace App для HTML5). Для досягнення цієї функціональності Citrix пропонує Workspace Platform у вигляді набору хмарних сервісів, яким адміни компанії керують через Citrix Cloud.
Citrix Workspace доступна в : Standard, Premium, Premium Plus. Вони відрізняються кількістю сервісів, включених у пакет. Також, є можливість купувати деякі сервіси окремо, поза пакетом. Наприклад, основний сервіс Virtual Apps and Desktops входить тільки в пакет Premium Plus, а його окрема вартість вища за пакет Standard і майже дорівнює Premium.
Виходить, що Workspace це і клієнтська програма - Workspace App, і хмарна платформа (її частина) - Workspace Platform, і назва різновидів пакетів послуг, і концепція цифрових робочих місць від Citrix в цілому. Ось така багатолика сутність.
Архітектура та системні вимоги
Умовно в структурі Digital Workspaсe від компанії Citrix можна виділити 3 області:
- Безліч клієнтських пристроїв із програмою Workspace App або браузерним доступом до цифрових робочих місць.
- Безпосередньо Workspace Platform у хмарі Citrix Cloud, яка живе десь у мережі Internet у домені cloud.com.
- Розташування ресурсів (resource location) — власні або орендовані майданчики, приватні або публічні хмари, в яких розміщуються ресурси з додатками, віртуальними десктопами та даними замовника, які публікують Citrix Workspace. Це той самий data-plane, про який говорилося вище, нагадаю, що один замовник може мати кілька resource location.
Прикладами ресурсів можуть бути гіпервізори, сервери, мережні пристрої, домени AD та інші елементи, необхідні для надання користувачам відповідних сервісів цифрових робочих місць.
Розподілений сценарій інфраструктури може передбачати:
- декілька розміщень ресурсів у власних дата-центрах замовника,
- розташування в публічних хмарах,
- невеликі розташування у віддалених філіях.
При плануванні розташування слід враховувати:
- близькість користувачів, даних та додатків;
- можливість масштабування, зокрема. забезпечення швидкого нарощування та згортання потужностей;
- вимоги безпеки та регуляторів.
Комунікації між Citrix Cloud та розташуваннями ресурсів замовника здійснюються за допомогою компонентів, які називають Citrix Cloud Connector. Дані компоненти дозволяють замовнику сфокусуватися на супроводі ресурсів, що надаються користувачам, та забути про танці зі службовими та керуючими сервісами, які вже розгорнуті у хмарі та супроводжуються Citrix.
Для балансування навантаження та стійкості до відмов рекомендується розгортати не менше двох Cloud Connector у кожному розташуванні ресурсів. Cloud Connector може бути встановлений на виділену фізичну чи віртуальну машину з Windows Server (2012 R2 або 2016). Переважно розміщувати їх у внутрішній мережі розташування ресурсів, не в DMZ.
Cloud Connector аутентифікує та шифрує трафік між Citrix Cloud та розташуванням ресурсів по https, стандартно – TCP порт 443. Допускаються лише вихідні сесії – від Cloud Connector до хмар, вхідні з'єднання заборонені.
Citrix Cloud вимагає наявності служби Active Directory (AD) в інфраструктурі замовника. AD виконує роль основного IdAM-провайдера та необхідна для авторизації доступу користувачів до ресурсів Workspace. Cloud Connector-и повинні мати доступ до AD. Для відмовостійкості гарною практикою буде мати по парі контролерів домену в кожному розташуванні ресурсів, які будуть взаємодіяти з Cloud Connector-ами даного розташування.
Сервіси Citrix Cloud
Тепер варто зупинитися на основних сервісах Citrix Cloud, що лежать в основі платформи Citrix Workspace і дозволяють замовникам розгортати повноцінні цифрові робочі місця.
Розглянемо призначення та функціональність даних сервісів.
Віртуальні програми та робочі столи
Це основний сервіс Citrix Digital Workspace, що дозволяє забезпечити термінальний доступ до додатків та повноцінний VDI. Підтримує віртуалізацію Windows та Linux додатків та десктопів.
Будучи хмарним сервісом Citrix Cloud, Virtual Apps and Desktops Service у своєму складі має ті ж компоненти, що і традиційний (не хмарний) Virtual Apps and Desktops, як показано на малюнку нижче. Відмінність у тому, що це управляючі компоненти (control plane) у разі сервісу розміщуються у хмарі Citrix Cloud. Замовнику більше не потрібно розгортати та супроводжувати дані компоненти, виділяти під них обчислювальні потужності, цим займається компанія Citrix.
На своїй стороні замовник у розташуваннях ресурсів має розгорнути такі компоненти:
- Cloud Connector-и;
- Контролери домену AD;
- Virtual Delivery Agents (VDAs);
- Гіпервізори – як правило, вони є, але бувають ситуації, де вдається обійтися фізикою;
- Опціональні компоненти - Citrix Gateway і StoreFront.
Всі перелічені компоненти, крім Cloud Connector-ів, замовник супроводжує самостійно. Це логічно, оскільки тут знаходиться data-plane, особливо це стосується фізичних вузлів і гіпервізорів з VDA, де розміщуються безпосередньо додатки користувача і десктопи.
Cloud Connector повинні бути тільки встановлені силами замовника, це дуже проста процедура, що виконується з консолі Citrix Cloud. Подальший їхній супровід здійснюється автоматично.
Управління доступом
Даний сервіс надає такі можливості:
- SSO (single sign-on) до великого переліку популярних SaaS-додатків;
- Фільтрування доступу до Інтернет-ресурсів;
- Моніторинг активності користувачів в Інтернеті.
SSO клієнтів до SaaS-сервісів через Citrix Workspace більш зручна та безпечна альтернатива порівняно зі звичайним доступом через браузер. Список підтримуваних SaaS додатків досить великий і постійно розширюється.
Фільтрування доступу до Інтернету може налаштовуватися на основі білих або чорних списків сайтів, що створюються вручну. Крім того, підтримується розмежування доступу за категоріями сайтів, на основі великих комерційних оновлених списків URL. Користувачам може бути обмежений доступ до таких категорій сайтів як соцмережі, покупки, для дорослих, шкідливе програмне забезпечення, торенти, проксі і т.д.
Крім дозволу доступу до сайтів/SaaS безпосередньо або блокування доступу до них, є можливість перенаправити клієнтів на Secure Browser. Тобто. для зниження ризиків доступ до вибраних категорій/списків Інтернет-ресурсів буде можливий лише через Secure Browser.
Сервіс також надає детальну аналітику для моніторингу активності користувачів в мережі Інтернет: відвідувані сайти та програми, небезпечні ресурси та атаки, заблокований доступ, обсяги завантажених/завантажених даних.
Безпечний браузер
Дозволяє опублікувати для користувачів Citrix Workspace інтернет-браузер (Google Chrome) у вигляді віртуальної програми. Secure Browser – це SaaS-сервіс, управлінням та супроводом якого займається компанія Citrix. Він повністю розміщується в Citrix Cloud (включаючи data-plane), замовнику не потрібно розгортати та супроводжувати його у власних розташуваннях ресурсів.
Citrix відповідає за виділення у своїй хмарі ресурсів під VDA, на яких розміщуються браузери, що публікуються для клієнтів, забезпечує безпеку та оновлення ОС і самих браузерів.
Доступ клієнтів до Secure Browser здійснюється через Workspace app або клієнтський браузер. Сесія шифрується за TLS. Для використання сервісу клієнту не потрібно собі нічого завантажувати та встановлювати.
Сайти та веб-додатки, що запускаються через Secure Browser крутяться у хмарі, клієнт лише отримує картинку термінальної сесії, на кінцевому пристрої нічого не виконується. Це дозволяє значно підвищити рівень безпеки та захиститися від браузерних атак.
Підключення сервісу та керування ним здійснюється через панель замовника Citrix Cloud. Підключення виконується за кілька кліків:
Управління теж досить просте, воно зводиться до завдання політики та білих листів:
Політика дозволяє регулювати такі параметри:
- Clipboard – дозволяє увімкнути можливість копі-паста у браузерній сесії;
- Printing – можливість зберігати веб-сторінки на клієнтському пристрої у форматі PDF;
- Non-kiosk – за замовчуванням увімкнена, дає можливість повноцінного користування браузером (кілька вкладок, адресний рядок);
- Region failover – можливість перезапуску браузера в іншому регіоні Citrix Cloud під час падіння основного регіону;
- Client drive mapping – можливість монтування диска клієнтського пристрою для завантаження чи завантаження файлів браузерної сесії.
Білі листи (Whitelists) дозволяють встановити список сайтів, до яких буде відкритий доступ клієнтів. Доступ до ресурсів поза цим списком буде заборонено.
Вміст співпраці
Даний сервіс забезпечує можливість об'єднаного доступу користувачів Workspace до файлів та документів, що розміщуються на внутрішніх ресурсах замовника (on-premises) та підтримуваних публічних хмарних сервісів. Це можуть бути персональні папки користувача, корпоративні мережні кулі, документи SharePoint або такі хмарні репозиторії, як OneDrive, DropBox або Google Drive.
Сервіс надає SSO для доступу до даних всіх типів ресурсів зберігання. Користувачі Citrix Workspace отримують безпечний доступ до робочих файлів зі своїх пристроїв не тільки в офісі, але й віддалено, без додаткових складнощів.
Content Collaboration надає такі можливості роботи з даними:
- обмін файлами між ресурсами Workspace і клієнтським пристроєм (завантаження та завантаження),
- синхронізація файлів користувача на всіх пристроях,
- спільний доступ до файлів та їх синхронізація для кількох користувачів Workspace,
- налаштування прав доступу до файлів та папок для інших користувачів Workspace,
- запит на доступ до файлів, формування посилань на безпечне завантаження файлів.
Крім цього, забезпечуються додаткові механізми захисту:
- доступ до файлів за одноразовими паролями,
- шифрування файлів,
- постачання шарених файлів водяними знаками (watermark).
Управління кінцевими точками
Цей сервіс забезпечує необхідну для цифрових робочих місць функціональність керування мобільними пристроями (Mobile Device Management – MDM) та додатками (Mobile Application Management – MAM). Citrix позиціонує його як SaaS-EMM рішення – Enterprise Mobility Management як послуга.
MDM функціональність дозволяє:
- розповсюджувати програми, політики пристроїв, сертифікати для підключення до ресурсів замовника,
- вести облік пристроїв,
- блокувати та виконувати повне або часткове стирання (wipe) пристроїв.
MAM функціональність дозволяє:
- забезпечувати безпеку додатків та даних на мобільних пристроях,
- доставляти корпоративні мобільні програми.
З погляду архітектури та принципу надання послуги замовнику Endpoint Management дуже схожий на описаний вище хмарний варіант Virtual Apps and Desktops. Control Plane і сервіси, що її утворюють, знаходяться в Citrix Cloud, їх супроводом займається Citrix, що дозволяє розглядати цю послугу як SaaS.
Data Plane у розташуваннях ресурсів замовника включає:
- Cloud Connector-и необхідні для взаємодії з хмарою Citrix,
- Citrix Gateway-і, що забезпечують безпечний віддалений доступ користувачів до внутрішніх ресурсів замовника (додатки, дані) та функціональність мікро-VPN,
- Active Directory, PKI
- Exchange, файли, віртуальні програми та робочі столи.
Шлюз
Citrix Gateway забезпечує наступну функціональність:
- шлюз віддаленого доступу – безпечне підключення до корпоративних ресурсів для мобільних та віддалених користувачів зовні захищеного периметра,
- IdAM-провайдер (Identity and Access Management) для забезпечення SSO до корпоративних ресурсів.
Під корпоративними ресурсами в даному контексті слід розуміти не тільки віртуальні програми та робочі столи, але й численні SaaS-додатки.
Для оптимізації мережевого трафіку та отримання функціональності micro VPN необхідно розгортання Citrix Gateway у кожному з розміщень ресурсів, як правило, у DMZ. У такому разі виділення необхідних потужностей та супровід лягає на плечі замовника.
Альтернативний варіант – використання Citrix Gateway у вигляді сервісу Citrix Cloud, у цьому випадку замовнику у себе нічого розгортати і супроводжувати не потрібно, за нього це робить Citrix у своїй хмарі.
Аналітика
Це аналітичний сервіс Citrix Cloud, інтегрований з усіма описаними вище хмарними сервісами. Він призначений для збору даних, що генеруються сервісами Citrix, та їх аналізу за допомогою вбудованих механізмів машинного навчання. При цьому враховуються метрики, пов'язані з користувачами, програмами, файлами, пристроями та мережею.
У результаті формуються звіти щодо безпеки, продуктивності та користувальницьких операцій.
Крім формування статистичних звітів, Citrix Analytics вміє діяти проактивно. Це полягає у формуванні профілів нормальної поведінки користувачів та виявлення аномалій. Якщо користувач починає нестандартно використовувати програму або активно нишпорити дані, він та його пристрій можуть бути заблоковані автоматично. Те саме станеться у разі доступу до небезпечних інтернет-ресурсів.
Увага приділяється не лише безпеці, а й продуктивності. Аналітика дозволяє моніторити та оперативно вирішувати проблеми пов'язані з довгим логоном користувачів та мережевими затримками.
Висновок
Ми познайомилися з архітектурою хмари Citrix, платформою Workspace та її основними сервісами, необхідними для організації інфраструктури цифрових робочих місць. Ми розглянули далеко не всі сервіси Сitrix Cloud, обмежилися базовим набором для організації digital workspace. хмари Citrix також включає мережеві інструменти, додаткові фічі по роботі з додатками і робочими місцями.
Також необхідно сказати, що основну функціональність цифрових робочих місць можна розгорнути і без Citrix Cloud виключно on-premises. Базовий продукт Virtual Apps and Desktops, як і раніше, доступний у класичному варіанті, коли не тільки VDA, але й усі керуючі сервіси замовник розгортає та супроводжує на своєму майданчику самостійно, ніякі Cloud Connector-и в такому разі не потрібні. Теж стосується і Endpoint Management - його on-pemises предок називається XenMobile Server, правда в хмарному варіанті він трохи функціональніший. Частина можливостей Access Control замовник також може реалізувати свій майданчик. Функціональність Secure Browser може бути реалізована on-premises, причому вибір браузера залишається за закзчиком.
Прагнення все розгорнути на своєму майданчику добре щодо безпеки, контролю та санкційної недовіри буржуазним хмарам. Однак без Citrix Cloud функціональність Content Collaboration та Analytics буде повністю недоступною. Функціонал інших рішень Citrix on-premises, як було сказано вище, може поступатися їхньою хмарною реалізацією. І найголовніше – площину управління доведеться тримати у себе та адмінити самостійно.
Корисні посилання:
, в т.ч. Citrix Cloud
– технічні відео, статті та діаграми
Джерело: habr.com