主持人 > 博客 > 管理 > Citrix Cloud 平台上的数字工作区架构

Citrix Cloud 平台上的数字工作区架构

Citrix Cloud 平台上的数字工作区架构

介绍

本文介绍了 Citrix Cloud 云平台和 Citrix Workspace 服务集的功能和体系结构特性。 这些解决方案是实施 Citrix 数字工作空间概念的核心要素和基础。

在本文中,我试图理解并阐述 Citrix 云平台、服务和订阅之间的因果关系,该公司的开源(citrix.com 和 docs.citrix.com)中的描述看起来非常模糊。有一些地方。 云技术——似乎没有其他办法! 值得注意的是,架构和技术是以总体理智的方式公开的。 理解服务和平台之间的层次关系会出现困难:

  • 哪个平台是主要平台 - Citrix Cloud 或 Citrix Workspace 平台?
  • 上述哪个平台包括构建数字工作场所基础设施所需的众多 Citrix 服务?
  • 这种快乐要花多少钱?你可以通过哪些选择来获得它?
  • 是否可以在不使用 Citrix Cloud 的情况下实现 Citrix 数字工作空间的所有功能?

下面是这些问题的答案以及针对数字工作场所的 Citrix 解决方案的介绍。

思杰云

Citrix Cloud 是一个云平台,托管组织数字工作场所所需的所有服务。 该云由 Citrix 直接拥有,Citrix 也对其进行维护并确保所需的 SLA (服务可用性 – 每月至少 99,5%)。

Citrix 的客户(客户端)根据所选的订阅(服务包),可以使用 SaaS 模型访问特定的服务列表。 对于他们来说,Citrix Cloud 充当公司数字工作场所的基于云的控制面板。 Citrix Cloud 具有多租户架构,客户及其基础设施相互隔离。

Citrix Cloud 充当控制平面并托管众多 Citrix 云服务,包括。 数字工作空间基础设施的服务和管理服务。 数据平面包括用户应用程序、桌面和数据,位于 Citrix Cloud 外部。 唯一的例外是安全浏览器服务,它完全在云模型上提供。 数据平面可以位于客户的数据中心(本地)、服务提供商的数据中心、超云(AWS、Azure、Google Cloud)。 当客户数据位于多个站点和云中并通过 Citrix Cloud 进行集中管理时,可以使用混合和分布式解决方案。

Citrix Cloud 平台上的数字工作区架构

这种方法对客户来说有许多明显的优势:

  • 自由选择数据放置地点;
  • 能够在多个云和本地构建混合分布式基础设施,涉及不同提供商的多个位置;
  • 无法直接访问 Citrix 的用户数据,因为它位于 Citrix Cloud 之外;
  • 能够独立设置所需的性能、容错、可靠性、机密性、完整性和数据可用性水平; 之后,选择合适的地点进行安置;
  • 无需托管和维护多个数字工作场所管理服务,因为它们都位于 Citrix Cloud 中,这对 Citrix 来说是一个令人头疼的问题; 其结果是——成本降低。

思杰工作区

Citrix Workspace 是超越的、基础的、包罗万象的。 让我们更详细地看看它,就会明白为什么。

总体而言,Citrix Workspace 体现了 Citrix 的数字工作场所概念。 它同时是一个解决方案、一项服务和一组服务,用于创建互联、安全、便捷和托管的工作场所。

用户可以获得无缝 SSO 的机会,可以从任何设备的单个控制台快速访问应用程序/服务、桌面和数据,以实现高效工作。 他们可以愉快地忘记多个帐户、密码和查找应用程序的困难(快捷方式、开始面板、浏览器 - 一切都在不同的地方)。

Citrix Cloud 平台上的数字工作区架构

IT 服务接收用于集中管理服务和客户端设备、安全、访问控制、监控、更新、优化网络交互和分析的工具。

Citrix Workspace 允许您提供对以下资源的统一访问:

  • Citrix Virtual Apps and Desktops – 应用程序和桌面的虚拟化;
  • 网络应用程序;
  • 云SaaS应用程序;
  • 移动应用程序;
  • 各种存储中的文件,包括。 多云的。

Citrix Cloud 平台上的数字工作区架构

Citrix Workspace 资源可通过以下方式访问:

  • 标准浏览器 - 支持 Chrome、Safari、MS IE 和 Edge、Firefox
  • 或“本机”客户端应用程序 - Citrix Workspace 应用程序。

可以从所有流行的客户端设备进行访问:

  • 运行 Windows、Linux、MacOS 甚至 Chrome 操作系统的成熟计算机;
  • iOS 或 Android 移动设备。

Citrix Workspace Platform 是各种 Citrix Cloud 云服务的一部分,旨在组织数字工作空间。 值得注意的是,Workspace 包含 Citrix Cloud 中提供的大部分服务,我们稍后将更详细地介绍它们。

这样,最终用户就可以通过 Workspace 应用程序或其基于浏览器的替代品(适用于 HTML5 的 Workspace 应用程序)在他们喜爱的客户端设备上获得数字工作场所功能。 为了实现此功能,Citrix 提供了 Workspace Platform 作为一组云服务,公司管理员可以通过 Citrix Cloud 进行管理。

Citrix Workspace 适用于 三包:标准、高级、高级高级。 它们的不同之处在于套餐中包含的服务数量。 此外,还可以在套餐外单独购买某些服务。 例如,基础的 Virtual Apps and Desktops 服务仅包含在 Premium Plus 套餐中,其独立价格高于 Standard 套餐,几乎与 Premium 持平。

原来,Workspace 既是一个客户端应用程序——Workspace App,又是一个云平台(其中的一部分)——Workspace Platform,以及服务包类型的名称,以及 Citrix 整体上数字化工作场所的概念。 这是一个多方面的实体。

架构和系统要求

按照惯例,Citrix Digital Workspace 的结构可分为 3 个区域:

  • 多个客户端设备可通过 Workspace 应用程序或基于浏览器访问数字工作空间。
  • Citrix Cloud 中的直接工作区平台,位于 internet 上的 cloud.com 域中的某个位置。
  • 资源位置是自有或租赁的站点、私有云或公有云,它们托管在 Citrix Workspace 中发布的应用程序、虚拟桌面和客户数据的资源。 这与上面提到的数据平面相同;让我提醒您,一个客户可以拥有多个资源位置。

资源示例包括虚拟机管理程序、服务器、网络设备、AD 域以及向用户提供相关数字工作场所服务所需的其他元素。

分布式基础设施场景可能涉及:

  • 客户自己的数据中心的多个资源位置,
  • 公共云中的位置,
  • 偏远分支机构的小地点。

规划地点时,您应该考虑:

  • 用户、数据和应用程序的邻近性;
  • 缩放的可能性,包括。 确保产能快速扩张和缩减;
  • 安全和监管要求。

Citrix Cloud 与客户资源位置之间的通信通过称为 Citrix Cloud Connector 的组件进行。 这些组件使客户能够专注于维护提供给用户的资源,而无需费力使用已部署在云中并由 Citrix 支持的实用程序和管理服务。

为了实现负载平衡和容错,我们建议每个资源位置至少部署两个云连接器。 Cloud Connector 可以安装在运行 Windows Server(2012 R2 或 2016)的专用物理机或虚拟机上。 最好将它们放置在内部资源定位网络上,而不是放置在 DMZ 中。

Cloud Connector 通过 https、标准 TCP 端口 443 对 Citrix Cloud 与资源位置之间的流量进行身份验证和加密。仅允许传出会话 - 从 Cloud Connector 到云,禁止传入连接。

Citrix Cloud 需要在客户的基础架构中使用 Active Directory (AD)。 AD 充当主要的 IdAM 提供程序,需要授权用户访问工作区资源。 云连接器必须有权访问 AD。 为了实现容错,最好在每个资源位置配备一对域控制器,以便与该位置的云连接器进行交互。

Citrix 云服务

现在值得关注的是构成 Citrix Workspace 平台基础并允许客户部署成熟的数字工作场所的核心 Citrix Cloud 服务。

Citrix Cloud 平台上的数字工作区架构

让我们考虑一下这些服务的目的和功能。

虚拟应用程序和桌面

这是 Citrix Digital Workspace 的主要服务,允许终端访问应用程序和成熟的 VDI。 支持 Windows 和 Linux 应用程序和桌面的虚拟化。

作为 Citrix Cloud 的一项云服务,Virtual Apps and Desktops 服务与传统(非云)Virtual Apps and Desktops 具有相同的组件,如下图所示。 不同之处在于,服务中的所有控制组件(控制平面)都托管在 Citrix Cloud 中。 客户不再需要部署和维护这些组件或为其分配计算能力;这由 Citrix 处理。

Citrix Cloud 平台上的数字工作区架构

就客户而言,必须在资源位置部署以下组件:

  • 云连接器;
  • AD域控制器;
  • 虚拟交付代理 (VDA);
  • 虚拟机管理程序 - 一般来说,它们是存在的,但在某些情况下可以通过物理来解决;
  • 可选组件包括 Citrix Gateway 和 StoreFront。

所有列出的组件(云连接器除外)均由客户独立支持。 这是合乎逻辑的,因为数据平面位于此处,特别是对于具有 VDA 的物理节点和虚拟机管理程序,用户应用程序和桌面直接位于其中。

Cloud Connector 只需由客户安装;这是从 Citrix Cloud 控制台执行的一个非常简单的过程。 他们的进一步支持是自动进行的。

智能门禁

该服务提供以下功能:

  • 适用于大量流行 SaaS 应用程序的 SSO(单点登录);
  • 过滤对互联网资源的访问;
  • 监控互联网上的用户活动。

与通过浏览器进行的传统访问相比,客户端通过 Citrix Workspace 单点登录 SaaS 服务是一种更方便、更安全的替代方案。 支持的 SaaS 应用程序列表非常庞大,并且还在不断扩展。

可以根据手动创建的站点白名单或黑名单来配置 Internet 访问过滤。 此外,它还支持基于广泛更新的商业 URL 列表按站点类别进行访问控制。 用户可能被限制访问社交网络、购物、成人网站、恶意软件、种子、代理等网站类别。

除了允许直接访问站点/SaaS 或阻止访问之外,还可以将客户端重定向到安全浏览器。 那些。 为了降低风险,只能通过安全浏览器访问选定的互联网资源类别/列表。

Citrix Cloud 平台上的数字工作区架构

该服务还提供详细的分析来监控互联网上的用户活动:访问的网站和应用程序、危险资源和攻击、阻止的访问、上传/下载的数据量。

安全浏览器

允许您将 Internet 浏览器 (Google Chrome) 作为虚拟应用程序发布给 Citrix Workspace 用户。 Secure Browser 是一项由 Citrix 管理和维护的 SaaS 服务。 它完全托管在 Citrix Cloud(包括数据平面)中,客户不需要在自己的资源位置部署和维护它。

Citrix 负责在其云中为托管为客户端发布的浏览器的 VDA 分配资源,确保操作系统和浏览器本身的安全性和更新。

客户端通过 Workspace 应用程序或客户端浏览器访问 Secure Browser。 会话使用 TLS 加密。 要使用该服务,客户端无需下载或安装任何内容。

通过安全浏览器启动的网站和 Web 应用程序在云端运行,客户端仅接收终端会话的图像,终端设备上不会执行任何操作。 这使您可以显着提高安全级别并防止浏览器攻击。

该服务通过 Citrix Cloud 客户面板进行连接和管理。 单击几下即可完成连接:
Citrix Cloud 平台上的数字工作区架构

管理也很简单,归根结底就是制定政策和白表:
Citrix Cloud 平台上的数字工作区架构

该策略允许您调节以下参数:

  • 剪贴板 – 允许您在浏览器会话中启用复制粘贴功能;
  • 打印——能够在客户端设备上以 PDF 格式保存网页;
  • 非信息亭 – 默认启用,允许充分利用浏览器(多个选项卡、地址栏);
  • 区域故障转移 – 如果主区域崩溃,能够在另一个 Citrix Cloud 区域中重新启动浏览器;
  • 客户端驱动器映射 – 能够安装客户端设备磁盘以下载或上传浏览器会话文件。

白名单允许您指定客户端有权访问的站点列表。 将禁止访问此列表之外的资源。

内容协作

该服务使 Workspace 用户能够统一访问托管在客户内部资源(本地)和支持的公共云服务上的文件和文档。 这些可以是用户的个人文件夹、公司网络共享、SharePoint 文档或云存储库(例如 OneDrive、DropBox 或 Google Drive)。

该服务提供 SSO 用于访问所有类型存储资源上的数据。 Citrix Workspace 用户不仅可以在办公室,还可以远程从其设备安全访问工作文件,而无需任何额外的复杂性。

Content Collaboration 提供以下数据处理功能:

  • 在工作区资源和客户端设备之间共享文件(下载和上传),
  • 同步所有设备上的用户文件,
  • 多个 Workspace 用户之间的文件共享和同步,
  • 为其他 Workspace 用户设置文件和文件夹的访问权限,
  • 请求访问文件,生成安全下载文件的链接。

此外,还提供了额外的保护机制:

  • 使用一次性密码访问文件,
  • 文件加密,
  • 提供带有水印的共享文件。

端点管理

该服务提供数字工作场所管理移动设备(移动设备管理 - MDM)和应用程序(移动应用程序管理 - MAM)所需的功能。 Citrix 将其定位为 SaaS-EMM 解决方案 - 企业移动管理即服务。

MDM 功能允许您:

  • 分发应用程序、设备策略、用于连接到客户资源的证书,
  • 跟踪设备,
  • 阻止并执行设备的全部或部分擦除(擦除)。

MAM 功能允许您:

  • 确保移动设备上应用程序和数据的安全,
  • 提供企业移动应用程序。

从架构和向客户提供服务的原理来看,Endpoint Management 与上述 Virtual Apps and Desktops 的云版本非常相似。 Control Plane 及其组成服务位于 Citrix Cloud 中并由 Citrix 维护,这使我们可以将此服务视为 SaaS。

客户资源位置中的数据平面包括:

  • 与 Citrix 云交互所需的云连接器,
  • Citrix Gateway 提供对客户内部资源(应用程序、数据)和微型 VPN 功能的安全远程用户访问,
  • 活动目录、公钥基础设施
  • 交换、文件、虚拟应用程序和桌面。

Citrix Cloud 平台上的数字工作区架构

网关

Citrix Gateway 提供以下功能:

  • 远程访问网关 – 安全边界外的移动和远程用户与公司资源的安全连接,
  • IdAM 提供商(身份和访问管理)为企业资源提供 SSO。

在这种情况下,企业资源不仅应理解为虚拟应用程序和桌面,还应理解为众多的 SaaS 应用程序。

要优化网络流量并实现微型 VPN 功能,您需要在每个资源位置(通常在 DMZ 中)部署 Citrix Gateway。 在这种情况下,必要的能力和支持的分配就落在客户的肩上。

另一种选择是以 Citrix Cloud 服务的形式使用 Citrix Gateway;在这种情况下,客户不需要在家中部署或维护任何内容;Citrix 在他的云中为他完成此操作。

数据分析

这是与上述所有云服务集成的 Citrix Cloud 分析服务。 它旨在收集 Citrix 服务生成的数据并使用内置机器学习机制对其进行分析。 这考虑了与用户、应用程序、文件、设备和网络相关的指标。

结果,生成有关安全性、性能和用户操作的报告。

Citrix Cloud 平台上的数字工作区架构

除了生成统计报告之外,Citrix Analytics 还可以主动采取行动。 这包括形成正常用户行为的档案和识别异常情况。 如果用户开始以非标准方式使用应用程序或主动摸索数据,他和他的设备可能会被自动阻止。 如果您访问危险的互联网资源,也会发生同样的情况。

重点不仅在于安全,还在于性能。 通过分析,您可以监控并快速解决与长时间用户登录和网络延迟相关的问题。

结论

我们熟悉了 Citrix 云的架构、Workspace 平台及其组织数字工作场所基础设施所需的主要服务。 值得注意的是,我们没有考虑所有 Citrix Cloud 服务;我们仅限于组织数字工作空间的基本集。 完整列表 Citrix 云服务还包括网络工具以及用于处理应用程序和工作区的附加功能。

还需要指出的是,数字工作场所的主要功能可以在没有 Citrix Cloud 的情况下部署,仅在本地部署。 基本产品 Virtual Apps and Desktops 仍然在经典版本中可用,此时不仅 VDA,而且所有管理服务都由客户在其站点上独立部署和维护;在这种情况下,不需要 Cloud Connector。 这同样适用于 Endpoint Management - 它的本地祖先称为 XenMobile Server,尽管在云版本中它的功能更强大一些。 客户还可以在自己的站点实施一些访问控制功能。 Secure Browser 的功能可以在本地实施,浏览器的选择权仍由客户决定。

在安全、控制和基于制裁的对资产阶级云的不信任方面,在网站上部署所有内容的愿望是好的。 但是,如果没有 Citrix Cloud,内容协作和分析功能将完全不可用。 如上所述,其他 Citrix 本地解决方案的功能可能不如其云实施。 最重要的是,您必须保留控制平面并自行管理。

相关链接:

Citrix 产品的技术文档,包括。 思杰云
Citrix 技术区 – 技术视频、文章和图表
Citrix Workspace 资源库

来源: habr.com

添加评论