Citrix SD-WAN

Citrix Virtual Apps and Desktops 工作负载配置指南

Citrix SD-WAN 是新一代 WAN Edge 解决方案,通过针对 SaaS、云和虚拟应用程序的灵活、自动化、安全的连接和性能加快数字化转型,从而确保始终在线的 Workspace 体验。

Citrix SD-WAN 是使用 Citrix Virtual Apps and Desktops 服务连接到云中 Citrix Virtual Apps and Desktops 工作负载的组织的推荐也是最佳方式。有关更多信息,请参阅 Citrix 博客

本文档重点介绍如何配置 Citrix SD-WAN 以便连接到 Azure 上的 Citrix Virtual Apps and Desktops 工作负载。

优势

  • 通过引导式工作流在 Citrix Virtual Apps and Desktops 中轻松设置 SD-WAN
  • 通过先进的 SD-WAN 技术实现始终在线、高性能连接
  • 跨所有连接(VDA 到 DC、用户到 VDA、VDA 到云、用户到云)的优势
  • 与向数据中心回传流量相比,降低了延迟
  • 流量管理以确保服务质量 (QoS)
    • 跨 HDX/ICA 流量流的 QoS(单端口多流 HDX 自动 QoS)
    • HDX 和其他流量之间的 QoS
    • HDX 用户之间的 QoS 公平性
    • 端到端服务质量
  • 链路绑定提供更多带宽,实现更快的性能
  • 高可用性,具有无缝链路故障切换和 Azure 上的 SD-WAN 冗余
  • 优化的 VoIP 体验(数据包赛用于减少抖动和减少数据包丢失、QoS、本地突破以减少延迟)
  • 与 Azure 快速路由相比,可节省大量成本,并且必须更快、更容易部署

必备条件

遵守以下先决条件来评估和部署 Citrix Virtual Apps and Desktops 工作负载功能:

  • 您必须拥有现有 SD-WAN 网络或构建新网络。
  • 您必须订阅 Citrix Virtual Apps and Desktops 服务。
  • 要使用 SD-WAN 功能(如多流 HDX AutoQoS 和深度可见性),必须为网络中的所有 SD-WAN 站点配置网络定位服务 (NLS)。
  • 您必须在客户端终端节点所在的位置部署 DNS 服务器和 AD(通常位于数据中心环境中),或者可以使用 Azure Active Directory (AAD)。
  • DNS 服务器必须能够解析内部(私有)和外部(公共)IP。
  • 确保将 FQDN (sdwan-位.citrixnetworkapi.net) 添加到防火墙中允许的列表中。这是网络定位服务的 FQDN,对于通过 SD-WAN 虚拟路径发送流量至关重要。此外,如果您对将通配符列入白名单感到满意,更好的方法是将 *.citrixnetworkapi.net 添加到允许的列表中,因为这是其他 Citrix Cloud 服务(如零接触配置)的子域。
  • 在 sdwan.cloud.com 注册,以使用 SD-WAN 编排器管理您的 SD-WAN 网络。SD-WAN Orchestrator 是一个基于 Citrix Cloud 的多租户管理平台,用于 Citrix SD-WAN。

部署体系结构

部署体系结构

部署需要以下实体:

  • 托管 SD-WAN 设备的本地位置,可以在分支模式下部署或作为 MCN (主控制节点)进行部署。分支模式或 MCN 包含客户端计算机、活动目录和 DNS。但是,你也可以选择使用 Azure 的 DNS 和 AD。在大多数情况下,本地位置充当数据中心并容纳 MCN。

  • Citrix Virtual Apps and Desktops 云服务 — Citrix Virtual Apps and Desktops 提供了虚拟化解决方案,使 IT 部门能够控制虚拟机、应用程序和安全性,同时为任何设备提供最终用户可以独立于设备的操作系统和界面使用应用程序和桌面。

    使用 Citrix Virtual Apps and Desktops 服务,您可以将安全的虚拟应用程序和桌面交付到任何设备,并将大部分产品安装、设置、配置、升级和监控保留给 Citrix。您负责在任何设备上交付最佳用户体验的同时维护对应用程序、策略和用户的完全控制。

  • Citrix 连接器/云连接器 -您可以通过 Citrix Cloud Connector 将资源连接到服务,该连接器可作为 Citrix Cloud 和资源位置之间的通信渠道。借助 Cloud Connector,不需要诸如 VPN 或 IPsec 通道等任何复杂的网络连接或基础结构配置即可实现云管理。资源位置包含向您的订阅者交付应用程序和桌面的计算机及其他资源。

  • SD-WAN Orchestrator — Citrix SD-WAN Orchestrator 是一项云托管的多租户管理服务,可供 自己 动手的企业和 Citrix 合作伙伴。Citrix 合作伙伴可以使用 SD-WAN Orchestrator 管理多个客户,通过单个窗格和适当的基于角色的访问控制来管理多个客户。

  • 虚拟和物理 SD-WAN 设备 — 这在云 (VM) 和数据中心和分支机构(物理设备或虚拟机)的本地多个实例运行,以便在这些位置之间以及与公共 Internet 之间提供连接。Citrix Virtual Apps and Desktops 中的 SD-WAN 实例是通过 Azure Marketplace 配置这些实例而创建为单个或一组虚拟设备(在高可用性部署的情况下)。其他位置(DC 和分支机构)的 SD-WAN 设备由客户创建。所有这些 SD-WAN 设备都由 SD-WAN 管理员通过 SD-WAN 编排器进行管理(在配置和软件升级方面)。

部署和配置

部署和配置

在常见部署中,客户可以将 Citrix SD-WAN 设备(H/W 或 VPX)作为 MCN 部署在其 DC/大型办公室中。客户 DC 通常会托管内部部署用户和资源,如 AD 和 DNS 服务器。在某些情况下,客户可以使用 Azure Active Directory 服务 (AADS) 和 DNS,这两者都受到 Citrix SD-WAN 和 CMD 集成的支持。

在客户管理的 Azure 订阅中,客户需要部署 Citrix SD-WAN 虚拟设备和 VDA。SD-WAN 设备通过 SD-WAN Orchestrator 理。配置 SD-WAN 设备后,它将连接到现有的 Citrix SD-WAN 网络,并通过 SD-WAN Orchestrator 处理配置、可见性和管理等其他任务。

此集成的第三个组件是 网络定位服务 (NLS) ,允许内部用户绕过网关并直接连接到 VDA,从而减少内部网络流量的延迟。您可以手动配置 NLS,也可以通过 Citrix SD-WAN Orchestrator 进行配置。有关更多信息,请参阅 NLS

配置

Citrix SD-WAN 虚拟机部署在指定区域内(根据客户的需要),并且可以通过 MPLS、Internet 或 4G/LTE 连接到多个分支机构位置。在虚拟网络 (VNET) 基础架构中,SD-WAN 标准版 (SE) 虚拟机以 Gateway 模式进行部署。VNET 具有通向 Azure Gateway 的路由。SD-WAN 实例有一条通向 Azure Gateway 的路由,用于互联网连接。此路由需要手动创建。

  1. 在 Web 浏览器中,转到 Azure 门户。登录到微软 Azure 帐户并搜索 Citrix SD-WAN 标准版。

  2. 在搜索结果中,选择 Citrix SD-WAN 标准版解决方案。在浏览描述并确保选择的解决方案正确无误后,单击 建。

    Azure 搜索选项

    单击 创建后,将显示向导,提示创建虚拟机的必要详细信息。

  3. 基本设置 页面中,选择要在其中部署 SD-WAN SE 解决方案的资源组。

    资源组是一个容器,用于保存 Azure 解决方案的相关资源。资源组可以包括解决方案的所有资源,或者仅包括要作为一个组管理的资源。根据您的部署情况,您可以决定如何为资源组分配资源。

    对于 Citrix SD-WAN,建议您选择的资源组必须为空。同样,选择要在其中部署 SD-WAN 实例的 Azure 区域。该区域必须与部署 Citrix Virtual Apps and Desktops 资源的区域相同。

    Azure 基本设置

  4. 管理员设置 页面下,提供虚拟机的名称。选择用户名和强密码。密码必须由大写字母和特殊字符组成,且必须超过九个字符。单击 “ 确定”

    以来宾用户身份登录到实例的管理界面需要此密码。要获得对实例的管理员访问权限,请使用 admin 作为用户名,并使用在 Provisioning 实例时创建的密码。如果您使用在 Provisioning 实例时创建的用户名,则可获得只读访问权限。此外,请在此处选择部署类型。

    如果要部署单个实例,请确保从 HA 部署模式选项中选择禁用,否则选择启用。对于生产网络,Citrix 始终建议以高可用性模式部署实例,因为它可以防止网络出现实例故障。

    Azure 管理员设置

  5. SD-WAN 设置 页面下,选择要在其中运行映像的实例。根据您的要求选择以下实例类型:

    • 实例类型 D3_V2,最大单向吞吐量为 200 Mbps,最多可直接连接 16 个分支。
    • 实例类型 D4_V2,最大单向吞吐量为 500 Mbps,最多可直接连接 16 个分支。
    • 实例类型 F8 标准,最大单向吞吐量为 1 Gbps,最多可直接连接 64 个分支。
    • 实例类型 F16 标准,最大单向吞吐量为 1 Gbps,最多可直接连接 128 个分支。

    Azure 软件定义广域网设置

  6. 创建新的虚拟网络 (VNet) 或使用现有虚拟网络。这是部署的最关键步骤,因为此步骤选择要分配给 SD-WAN VPX 虚拟机接口的子网。

    Azure 虚拟网络

    仅当您以 HA 模式部署实例时,才需要辅助子网。确保 SD-WAN 实例部署在与 Citrix Virtual Apps and Desktops 资源相同的 VNet 中,并且与 SD-WAN VPX 设备的 LAN 接口位于同一子网中。

    Azure 子网

  7. 在 “ 摘要 ” 页面中验证配置, 然后单击 “确定”

    Azure 摘要

  8. 购买 页面上,单击 创建 以启动实例的预配过程。预配置实例可能需要大约 10 分钟。你会在 Azure 管理门户中收到一条通知,建议实例创建成功/失败。

    Azure 购买

    成功创建实例后,获取分配给 SD-WAN 实例管理接口的公有 IP。它可以在已预配实例的资源组的网络部分中找到。检索后,您可以使用它登录到实例。

    注意

    对于管理员访问,用户名是 admin ,密码是您在实例创建过程中设置的密码。

  9. 置备站点后,登录 SD-WAN Orchestrator 以对其进行配置。如前提条件中所述,您必须拥有 SD-WAN Orchestrator 才能配置站点。如果您还没有,请参阅 Citrix SD-WAN Orchestrator 入职培训

  10. 如果你已经有 SD-WAN 网络,则继续为在 Azure 中置备的站点创建配置。否则,您必须创建一个 MCN。有关详细信息,请参阅 网络配置

  11. 一旦你有权访问 SD-WAN Orchestrator 并且已经设置了 MCN,请登录 SD-WAN Orchestrator,然后单击 + 新站 点开始配置 SD-WAN VPX 设备(你已在 Azure 中预配)。

    Azure 新站点

  12. 提供唯一的站点名称,并根据要 Provisioning 映像的区域输入地址。要在 Azure 中设置实例,请参阅 基本设置

    注意

    要在 Azure 中获取实例的序列号,请通过公共管理 IP 登录到实例。您可以在仪表板屏幕上看到序列号。如果要在 HA 中配置实例,则必须捕获两个序列号。此外,在配置实例时,请确保选择接口为 受信任

  13. 用于获取与 Azure 上的 LAN 和 WAN 接口相关联的 IP 地址。导航到 Azure 门户 > 资源组 >置备 SD-WAN 的资源组 >SD-WAN 虚拟机 > 网络

    已置备 Azure SD-WAN

  14. 完成实例配置后。导航到 配置 > 网络配置主页,单击部署配置/软件

    Azure 部署配置软件

  15. 如果没有问题且配置准确无误,则在运行配置部署后,必须在 Azure 中的实例和 MCN 之间建立虚拟路径。

Citrix Virtual Apps and Desktops 配置

正如部 署和配置 部分中突出显示的那样,AD/DNS 存在于充当 DC 的本地位置,而在具有 SD-WAN 的部署中则存在于 LAN 网络中的 SD-WAN 后面。这是您需要在此处配置的 AD/DNS 的 IP。如果你正在使用 Azure Active Directory 服务/DNS,请将 168.63.129.16 配置为 DNS IP。

如果您正在使用本地广告 /DNS。请检查您是否能够从 SD-WAN 设备 ping DNS 的 IP。您可以通过导航到“疑难解答”>“诊断”来完成此操作。选中 Ping 复选框,然后从 SD-WAN 设备的 LAN 接口/默认接口启动 ping 到 AD/DNS 的 IP。

Azure ping

如果 ping 成功,则表示可以成功访问您的 AD/DNS,如果没有,则意味着您的网络中存在路由问题,从而阻碍了您的 AD/DNS 的可访问性。如果可能,请尝试将您的 AD 和 SD-WAN 设备置置于同一个 LAN 网段上。

如果仍然存在问题,请与您的网络管理员联系。如果不成功完成此步骤,目录创建步骤将无法成功,并且您会收到一条错误消息,因为 未配置全局 DNS IP

注意:

确保 DNS 能够同时解析内部和外部 IP。

网络定位服务

借助 Citrix Cloud 中的 网络定位 服务,您可以优化向订阅者工作区提供的应用程序和桌面的内部流量,从而加快 HDX 会话速度。内部和外部网络上的用户必须通过外部网关连接到 VDA。虽然外部用户需要这样做,但内部用户与虚拟资源的连接速度较慢。 网络定位 服务允许内部用户绕过网关直接连接到 VDA,从而减少内部网络流量的延迟。

配置

要设置 网络定位 服务,请使用以下方法之一:

  • Citrix SD-WAN Orchestrator:有关使用 Citrix SD-WAN Orchestrator 配置 NLS 的详细信息,请参阅 网络定位服务
  • Citrix 提供的网络定位服务 PowerShell 模块:有关使用 PowerShell 模块配置 NLS 的详细信息,请参阅 PowerShell 模块和配置

网络位置共享内部用户连接的网络的公共 IP 范围。当订阅者从其 Workspace 启动 Virtual Apps 和桌面会话时,Citrix Cloud 会根据用户所连接的网络的公有 IP 地址检测用户是否为公司网络的内部或外部。

如果用户从内部网络连接,Citrix Cloud 会将连接直接路由到 VDA,而绕过 Citrix Gateway。如果订阅者通过外部连接,Citrix Cloud 会按预期方式通过 Citrix Gateway 将订阅者路由,然后将该订阅者重定向到内部网络中的 VDA。

注意:

需要在网络定位服务中配置的公共 IP 必须是分配给 WAN 链路的公有 IP。

Citrix Virtual Apps and Desktops 工作负载配置指南