Citrix SD-WAN Orchestrator

面向 CMD 集成的 SD-WAN 配置

Citrix SD-WAN 是新一代广域网边缘解决方案,通过针对 SaaS、云和虚拟应用程序的灵活、自动化和安全连接和性能加速数字转型,从而确保始终在线的 Workspace 体验。

Citrix SD-WAN 是企业通过快速简单的设置连接到 Citrix Managed Desktops (CMD) 的推荐和最佳方式。有关详细信息,请参阅Citrix 博客

优势

  • 通过引导和自动化的工作流程,在 CMD 中轻松设置 SD-WAN
  • 通过先进的 SD-WAN 技术始终在线、高性能连接
  • 跨所有连接(VDA 到 DC、用户到 VDA、VDA 到云和用户到云)的优势
  • 与将流量回传到数据中心相比,减少延迟
  • 流量管理以确保服务质量 (QoS)

    • 跨 HDX/ICA 流量流(单端口 HDX AutoQoS)的服务质量
    • HDX 和其他流量之间的 QoS
    • 用户之间的 HDX QoS 公平性
    • 端到端 QoS
  • 链路绑定提供更多带宽以提高性能
  • 在 Azure 上具有无缝链路故障切换和 SD-WAN 冗余的高可用性 (HA)
  • 优化 VoIP 体验(数据包比赛可减少抖动和最小数据包丢失、QoS、本地突破以减少延迟)
  • 与 ExpressRoute 相比,大幅节省成本,部署速度更快、更轻松

必备条件

要评估这些新功能,必须遵守以下前提条件:

  1. 您必须拥有具有协调程序授权的现有 SD-WAN 网络。如果您没有现有的 SD-WAN 网络,则必须使用设置一个 SD-WAN Orchestrator。有关更多详细信息,请参阅配置主控制节点 (MCN)

  2. 您必须拥有 CMD 的订阅。
  3. 目前,此集成支持仅适用于客户。如果您是合作伙伴或 MSP,并且必须尝试此服务,那么您必须以客户身份订阅 CMD。只有这样才能启用此集成。
  4. 要使用 SD-WAN 功能(如 MSI 的 QoS、应用程序可见性),必须为网络中的所有 SD-WAN 站点配置网络定位服务 (NLS)。
  5. 您必须将 DNS 服务器和 AD 部署在客户端终端节点所在的位置(位于数据中心环境中,这也有 MCN),或者还可以使用 Azure Active Directory (AAD)。
  6. DNS 服务器必须能够解析内部(私有)和外部(公有)IP。
  7. 请确保在防火墙中列入白名单的 FQDN 位置。这是网络定位服务的 FQDN,对于通过 SD-WAN 虚拟路径发送流量至关重要。

有关必须在防火墙上列入白名单的云服务的列表,请参阅 Orchestrator 使用的必备条件

部署体系结构

高级别部署

任何部署都将具有以下实体:

  • 托管 SD-WAN 设备的本地位置,可以部署在分支模式或作为 MCN。此位置包含客户端计算机、活动目录和 DNS。但是,您也可以选择使用 Azure 的 DNS 和 AD。在大多数情况下,本地位置充当内部部署数据中心并容纳 MCN。

  • CMD 云服务:此实体提供:

    • 用于启用和监视 CMD 的 SD-WAN 连接的 UI。
    • 在 Azure 中创建 SD-WAN 虚拟机实例。
    • 管理他们的生命周期。
    • 将 SD-WAN 实例成本与 CMD 成本捆绑在一起,用于客户账单。
    • 为 SD-WAN 实例配置本地网络环境(子网、本地路由、防火墙规则等)。
    • 向 SD-WAN 协调器提供 SD-WAN 实例信息,以提供和使用 SD-WAN 监视和其他操作数据。
  • SD-WAN Orchestrator:SD-WAN Orchestrator 提供用于 SD-WAN 管理的 UI:

    • 包括在 CMD 中部署的实例的管理。
    • 实施 CMD SD-WAN 实例的初始 Provisioning。
    • 对 SD-WAN 实例管理实施限制以反映 CMD 配置。
    • 与 CMD 集成,提供和使用 SD-WAN 监控和其他操作数据。
  • 虚拟和物理 SD-WAN 设备:虚拟和物理 SD-WAN 设备在云 (VM)、数据中心内部部署和分支机构(物理设备或虚拟机)中作为多个实例运行,以提供这些位置之间以及与公共 Internet 之间的连接。

    CMD 订阅中的 SD-WAN 实例由 Azure 中的 CMD 云服务在 CMD 订阅范围内创建为单个或一组虚拟设备(如果存在 HA 部署)。其他位置(DC 和分支机构)的 SD-WAN 设备由客户创建。所有这些 SD-WAN 设备都由 SD-WAN 管理员通过 SD-WAN SD-WAN Orchestrator 进行管理(在配置和软件升级方面)。

  • CMD VDA 连接器 -将 CMD SD-WAN 设备用作 CMD VNet 以外所有资源的 Gateway,包括企业内部部署资源、某些 Azure 服务和公共互联网上的 SaaS 应用程序。

用户角色

  1. CMD 管理员:决定使用 SD-WAN 连接并从 SD-WAN 管理员(或其他网络管理员角色)获取必要的网络信息:

    • 通过 CMD UI 启动 SD-WAN 连接的配置。
    • SD-WAN 连接完全启用后,使用 SD-WAN 连接管理 CMD 目录。
    • 与 SD-WAN 管理员一起监控 SD-WAN 连接,并根据需要采取更多措施。
  2. SD-WAN 管理员:向 CMD 管理员提供 SD-WAN 配置信息:

  • 在 CMD 中激活 SD-WAN 实例以启用与其他网络元素的连接;执行其他配置活动。
  • 与 SD-WAN 管理员一起监视 SD-WAN 连接,并根据需要采取其他措施。

CMD-SDWAN 集成中不同实体和用户角色之间的交互

SD-WAN CMD 集成的访问管理

  • CMD 和 SD-WAN Orchestrator 都依靠 Citrix Cloud IDM 来识别用户具有 只读或读 访问权限。
  • 此外,SD-WAN Orchestrator 还能够将类似的访问权限专门分配给 Orchestrator 内的用户。这两种授权机制与 OR 逻辑相结合:在 Citrix Cloud SD-WAN Orchestrator 中拥有管理员访问权限即可获得 SD-WAN 配置管理的访问权限。

部署和配置

典型部署和涉及的实体

在典型的部署中,客户将在其数据中心/大型办公室中将 Citrix SD-WAN 设备(H/W 或 VPX)作为 MCN 部署。客户数据中心通常会托管本地用户和资源,如 AD 和 DNS 服务器。在某些情况下,客户可以使用 Azure Active Directory 服务 (AADS) 和 DNS,这两者都受到 Citrix SD-WAN 和 CMD 集成的支持。

在 Citrix 托管 Azure 订阅中,客户需要部署 Citrix SD-WAN 虚拟设备和 VDA。SD-WAN 设备通过 SD-WAN Orchestrator 进行管理。但是,为了进行此集成,Citrix 托管 Azure 订阅中的 SD-WAN 设备是通过 CMD UI/工作流程配置的。配置 SD-WAN 设备后,它将连接到现有的 Citrix SD-WAN 网络,并通过 SD-WAN 管理器处理配置、可见性和管理等其他任务。SD-WAN Orchestrator 和 Citrix 托管桌面服务 (CMD) 使用 API 相互通信。

此集成的第三个组成部分是网络定位服务,它允许内部用户绕过 Gateway 并直接连接到 VDA,从而减少内部网络流量的延迟。对于此集成的第 1 阶段,需要手动配置网络定位服务。有关详细信息,请参阅网络定位服务 (NLS)

配置

  1. 遵循 必备条件 部分中突出显示的所有前提条件后,必须配置的第一个项目是 DNS。这必须在 SD-WAN Orchestrator 中进行配置。您需要管理员权限才能在协调器上配置 DNS。要配置 DNS,请导航到协调器 GUI 中的“配置”>“应用程序和 DNS 设置”>“DNS 服务器”,然后单击“+DNS 服务器”。在随后的屏幕中输入主 DNS 和辅助 DNS。

    添加 DNS 服务器

    如上面部 部署和配置 分所强调的那样,AD 和 DNS 存在于充当数据中心的本地位置,并且在具有 SD-WAN 的部署中,它位于局域网。您必须在此处配置的 AD/DNS IP。如果您使用的是 Azure Active Directory 服务/DNS,请将 168.63. 129.16 配置为 DNS IP。

    如果您正在使用本地 AD/DNS,请检查是否可以从 SD-WAN 设备 ping DNS 的 IP。您可以通过导航到“疑难解答”>“诊断”来完成此操作。在随后的屏幕中选中对 Ping 的复选框,然后从 SD-WAN 设备的 LAN 接口/默认接口启动 ping 到 AD/DNS 的 IP。

    局域网接口默认值

    如果 ping 成功,则表示您的 AD/DNS 可以成功访问。如果没有,则您的网络中存在路由问题,导致无法访问您的 AD/DNS。如果可能,请尝试将您的 AD 和 SD-WAN 设备置置于同一个 LAN 网段上。如果仍然存在问题,请联系您的网络管理员。如果不成功完成此步骤,目录创建步骤将无法成功,您可能会收到一条错误消息,指出 未配置全局 DNS IP

    注意:

    确保 DNS 能够解析内部和外部 IP。

  2. 登录到 Citrix 托管桌面 (CMD) UI。您可以查看以下屏幕:

    CMD 登录屏幕

    单击“网络连接”可在内部部署资源和 CMD 订阅之间创建网络连接。单击 + 添加连接

    添加社交网络

    只有满足以下要求时,才会启用 SD-WAN 选项:

    • 您必须拥有具有协调程序授权的现有 SD-WAN 网络。如果您没有现有的 SD-WAN 网络,请使用设置一个 SD-WAN Orchestrator。有关更多详细信息,请参阅配置主控制节点 (MCN)

    • 您必须拥有 CMD 的订阅。

    • 目前,此集成支持仅适用于客户。如果您是合作伙伴或 MSP,并且必须尝试此服务,那么您必须以客户身份订阅 CMD,只有这样才能启用此集成。否则,此选项将保持禁用状态。

    如果您想尝试此集成并需要 SD-WAN Orchestrator 的试用访问权限,请访问 Citrix.cloud.com 或 sdwan.cloud.com 申请试用版。

  3. 满足前提条件中突出显示的条件后,单击 SD-WAN 选项卡以查看整个工作流程:

    整体工作流程

  4. 输入以下详细信息以配置 SD-WAN:

    • 部署模式:您可以看到两个部署模式选项-独立和高可用性。

      • 独立:SD-WAN 的部署模式可以是单独部署单个 SD-WAN 实例的部署模式。如果 SD-WAN 实例由于 SD-WAN 固件或基础 Azure 基础问题而失败,则无法访问 Azure 中 SD-WAN 实例背后部署的资源。换句话说,实例在阻止失败模式下行为。

      • 高可用性:为了防范 SD-WAN 实例的软件故障,您可以选择以高可用性模式部署实例,该模式将两个 SD-WAN 实例以活动备用模式部署。Citrix 建议在高可用性模式下为生产网络部署实例。

    • 输入 SD-WAN 站点名称:输入站点名称以标识 SD-WAN 网络中的站点。确保您选择的名称是唯一的,易于召回。

    • 吞吐量和办公室数量:目前仅支持 D3_V2 选项。D3_V2 支持高达 200 Mbps 的吞吐量,并可与 16 个站点建立直接连接。非直接连接通过 MCN。

    • 区域:选择要在其中部署 SD-WAN 实例的 Azure 区域。这需要是您打算部署 CMD 资源的相同区域。

    • VDA 子网:VDA 子网是要在 Azure 中部署 VDA 和其他 CMD 资源的子网。

    • SD-WAN 子网:SD-WAN 子网是您要部署 SD-WAN 设备的子网。

    注意

    此集成仅支持已加入域的目录,截至目前,不支持非域加入。

  5. 一旦提供了上一步中要求的所有信息,就会进行 Provisioning 和部署,完成此过程需要大约 20 分钟。在此期间,在幕后执行以下步骤:

    • 虚拟 SD-WAN 设备 (VPX) 将根据您选择的配置开始在 Azure 中进行配置。设置成功后,SD-WAN VPX 将提供选定的 CPU 和内存 Provisioning 文件以及在上一步中提供的网络配置。

    • 设置成功后,VPX 设备将通过公共互联网与 SD-WAN Orchestrator 联系,请求 Provisioning 包。

    SD-WAN 分支摘要

  6. 配置 SD-WAN 分支后,您可以查看配置详细信息。

    配置详细信息

  7. 预配置实例后,您可以看到以下屏幕。此时,网络管理员必须登录 SD-WAN Orchestrator,以允许将 SD-WAN VPX 设备添加到网络中。

    预配置实例

  8. 网络管理员必须登录 SD-WAN Orchestrator 并导航到网络配置主页,您可以在该页中查看 CMD 中 SD-WAN 站点的行项目。

    用于 SD-WAN 站点的 PLine 项目

  9. 网络管理员必须在此阶段部署站点。单击“部 署配置/软件”以进行部署。

    部署配置或软件

  10. 署配置/软件 步骤成功后,您可以看到 CMD 屏幕上的状态更改为 您现在可以使用 SD-WAN 创建目录

网络定位服务

借助 Citrix Cloud 中的 网络位置 服务,您可以优化向订阅者工作区提供的应用程序和桌面提供的内部流量,从而加快 HDX 会话速度。

内部和外部网络上的用户必须通过外部网关连接到 VDA。虽然外部用户需要这样做,但内部用户与虚拟资源的连接速度较慢。网络位置 服务允许内部用户绕过网关并直接连接到 VDA,从而减少内部网络流量的延迟。

配置

要设置网络位置服务,请使用 Citrix 提供的网络位置服务 PowerShell 模块配置与环境中的 VDA 对应的网络位置。这些网络位置包括内部用户从中连接的网络的公共 IP 范围。

当订阅者从其 Workspace 启动 Virtual Apps 和桌面会话时,Citrix Cloud 会根据用户所连接的网络的公有 IP 地址检测订阅者是公司网络的内部还是外部。

  • 如果订户从内部网络连接,Citrix Cloud 将连接直接路由到 VDA,绕过 Citrix Gateway。

  • 如果订阅服务器进行外部连接,Citrix Cloud 会按预期通过 Citrix Gateway 路由订阅服务器,然后将订阅服务器重定向到内部网络中的 VDA。

**注

意**需要在网络定位服务中配置的公有 IP 必须是分配给 WAN 链接的公有 IP。

分配给 SD-WAN 设备的公共 IP

需要在 NLS 中配置的公有 IP 必须是用于通过虚拟路径发送流量的所有链路的 WAN 链路 IP。您可以通过导航到“站点”>“报表”>“实时”>“统计信息”>“访问界面”来找到此信息。

公用 IP

面向 CMD 集成的 SD-WAN 配置