Partilhar via

Configurar a rede híbrida para o Citrix Cloud e o Azure

  • Artigo

Este artigo descreve arquiteturas para ambientes Azure e Citrix Cloud de região única e multirregião. Ele fornece considerações de design, recomendações de design e componentes que você pode implementar para uma implantação bem-sucedida.

Implantação em uma única região

Ao implantar seu ambiente do Azure e do Citrix Cloud em uma única região, use várias assinaturas. Várias assinaturas do Azure fornecem agilidade para as unidades de negócios porque centralizam os requisitos de política, auditoria e configuração. Portanto, como ponto de partida, recomendamos que você use uma assinatura dedicada para cargas de trabalho da Citrix no Azure.

Arquitetura

Diagrama que mostra uma arquitetura de referência das principais áreas de design e práticas recomendadas de design em um ambiente de assinatura múltipla do Azure e do Citrix Cloud.

Transfira um ficheiro do Visio desta arquitetura.

Componentes

Esta arquitetura consiste nos seguintes componentes:

  • Servidores dos Serviços de Domínio Ative Directory (AD DS) e servidores DNS (Sistema de Nomes de Domínio) personalizados
  • Grupos de segurança de rede
  • Observador de Rede do Azure
  • Internet de saída através de um caminho de Rede Virtual do Azure predefinido
  • Azure ExpressRoute ou Azure VPN Gateway para conectividade híbrida com ambientes locais
  • Pontos de extremidade privados do Azure
  • Contas de armazenamento de Arquivos do Azure ou Arquivos NetApp do Azure
  • Azure Key Vault
  • Azure Compute Gallery

Para obter mais informações, consulte Comparar opções de armazenamento de perfil.

Essa arquitetura também inclui os seguintes componentes da Citrix na zona de aterrissagem do Azure:

  • O Citrix Cloud Connector estabelece uma conexão entre o Citrix Cloud e os locais de recursos.

  • O Citrix Virtual Delivery Agent (VDA) é instalado em uma imagem dourada ou dispositivo de destino que hospeda aplicativos ou desktops. Esse agente pode ser usado para se conectar, provisionar e orquestrar aplicativos e desktops como máquinas persistentes ou não persistentes. O VDA é compatível com dispositivos físicos ou virtuais, incluindo Windows Server, cliente Windows e sistema operacional Linux.

  • O Citrix Workspace é um serviço de nuvem que fornece aos usuários acesso seguro a informações, aplicativos e outros conteúdos. O Citrix Workspace integra ativos do Azure e ativos locais para que os usuários tenham um único ponto de acesso a todos os seus recursos de qualquer local e em qualquer dispositivo.

Componentes opcionais da Citrix

Os seguintes componentes da Citrix na zona de aterrissagem do Azure são opcionais. Considere esses componentes se precisar de funcionalidade avançada.

  • O Citrix Federated Authentication Service emite certificados dinamicamente para os usuários para que eles possam entrar em um ambiente do Ative Directory do Windows Server. Este método é semelhante ao uso de um cartão inteligente. O Citrix Federated Authentication Service permite o logon único quando você usa a autenticação baseada em Security Assertion Markup Language. Você pode usar uma ampla gama de opções de autenticação e provedores de identidade de parceiros, como Okta e Ping.

  • O Citrix StoreFront é um ponto de acesso de usuário interno alternativo para o Citrix Workspace. O StoreFront é autogerenciado e agrega recursos perfeitamente em vários ambientes locais e ambientes do Azure. Você pode usar o StoreFront em um cenário de elevação e mudança para manter o acesso do usuário às implantações existentes da Citrix enquanto move cargas de trabalho para o Azure.

  • O Citrix Application Delivery Controller (ADC) ou NetScaler é um ponto de acesso de usuário externo alternativo para o Citrix Workspace e o Citrix Gateway Service. O Citrix ADC é um dispositivo virtual autogerenciado em seu locatário do Azure que fornece proxy seguro para conectividade e autenticação externas. Você pode integrar o Citrix ADC com o StoreFront ou o Workspace. Use o Citrix ADC em um cenário de elevação e mudança para manter o acesso do usuário às implantações existentes do Citrix enquanto move cargas de trabalho para o Azure.

  • O Citrix Provisioning é uma solução de gerenciamento de imagens baseada em rede que você pode implantar em seu locatário do Azure para habilitar a implantação escalável de até milhares de máquinas não persistentes. O Citrix Provisioning transmite imagens centralizadas em uma rede virtual do Azure, o que fornece atualizações rápidas e minimiza os requisitos de armazenamento.

  • O dispositivo Citrix App Layering é o componente central da tecnologia App Layering que hospeda o console de gerenciamento. Você pode usar o App Layering para criar e gerenciar camadas, atribuições de camadas e modelos de imagem. Você também pode ajudar a gerenciar instâncias únicas do sistema operacional e instâncias de aplicativos e compor imagens a partir de camadas, o que reduz o esforço em ambientes com várias imagens douradas.

Considerações de design da Citrix

Considere as diretrizes de sistema, carga de trabalho, usuário e rede para tecnologias Citrix. Esta orientação está alinhada com os princípios de design do Cloud Adoption Framework.

A solução Citrix no Azure requer uma certa quantidade de taxa de transferência para cada usuário, vários protocolos e portas e outras considerações de rede. Você deve dimensionar adequadamente todos os dispositivos de rede, como Citrix ADC e firewalls, para lidar com aumentos de carga durante cenários de recuperação de desastres. Para obter mais informações, consulte Considerações específicas do Azure.

Segmentação de rede

Considere também as diretrizes da Citrix para segmentação de rede do Azure e sub-redes logicamente segmentadas. Use as diretrizes a seguir para ajudar a planejar sua rede inicial.

Segmento por tipos de carga de trabalho

Crie redes virtuais ou sub-redes separadas de sessão única e multisessão para permitir o crescimento de cada tipo de rede sem afetar a escalabilidade do outro tipo de rede.

Por exemplo, se você preencher uma sub-rede compartilhada de várias sessões e sessão única com VDI (infraestrutura de área de trabalho virtual), talvez seja necessário criar uma nova unidade de hospedagem para dar suporte a aplicativos. Uma nova unidade de hospedagem requer que você crie vários catálogos de máquina para dar suporte a aplicativos de dimensionamento ou que migre os catálogos de aplicativos existentes para uma nova sub-rede.

Se você usar assinaturas de carga de trabalho em uma arquitetura de várias assinaturas, entenda os limites do Citrix Machine Creation Services (MCS) para o número de máquinas virtuais (VMs) por assinatura do Azure. Considere esses limites ao projetar sua rede virtual e ao planejar o endereçamento IP.

Segmento por inquilino, unidade de negócio ou zona de segurança

Se você executar uma implantação multilocatário, como uma arquitetura Citrix Service Provider, recomendamos isolar locatários entre redes ou sub-redes. Se os padrões de segurança existentes precisarem de requisitos específicos de isolamento no nível da rede, considere isolar unidades de negócios separadas ou zonas de segurança dentro da sua organização.

Se você segmentar unidades de negócios além de redes específicas de carga de trabalho, a complexidade do ambiente geral aumentará. Determine se este método vale a pena o aumento da complexidade. Use este método como uma exceção em vez da regra, e aplique-o com a justificação correta e a escala projetada. Por exemplo, você pode criar uma rede para 1.000 contratados que oferecem suporte financeiro para acomodar necessidades de segurança além da rede VDI de sessão única padrão.

Você pode usar grupos de segurança de aplicativos para permitir que apenas VMs específicas acessem back-ends de aplicativos de unidades de negócios em uma rede virtual compartilhada. Por exemplo, você pode limitar o acesso back-end do gerenciamento de relações com o cliente (CRM) às VMs do catálogo de máquinas do CRM que a equipe de marketing usa na rede VDA de várias sessões.

Implantação em várias regiões

Ao implantar sua carga de trabalho em várias regiões, você deve implantar hubs, raios de recursos compartilhados e raios VDA em cada região. Selecione cuidadosamente um modelo de assinatura e um modelo de rede. Determine seus modelos com base no crescimento de sua pegada do Azure dentro e fora da implantação da Citrix.

Você pode ter uma pequena implantação do Citrix e um grande número de outros recursos que leem e gravam fortemente na API do Azure, o que pode afetar negativamente o ambiente do Citrix. Como alternativa, você pode ter vários recursos da Citrix que consomem um número excessivo de chamadas de API disponíveis, o que reduz a disponibilidade para outros recursos dentro da assinatura.

Para implantações em grande escala, isole as cargas de trabalho para que você possa expandir efetivamente as implantações e evitar um efeito negativo no ambiente Citrix do cliente. O diagrama de arquitetura a seguir mostra uma única região que está em um ambiente multirregião do Azure e do Citrix Cloud.

Arquitetura

Diagrama que mostra uma arquitetura de referência das principais áreas de design e práticas recomendadas de design para um ambiente de assinatura múltipla do Azure e do Citrix Cloud em grande escala.

Transfira um ficheiro do Visio desta arquitetura.

Recomendações de design da Citrix

Considere as seguintes recomendações para suas implantações em grande escala.

Redes virtuais de pares com raios VDA

Para implantações em grande escala, crie porta-vozes dedicados de gerenciamento e serviço compartilhado e pareie-os diretamente com seus raios VDA. Essa configuração minimiza a latência e impede que você atinja os limites de rede em suas redes de hub. Os pontos seguintes ilustram esta abordagem e correspondem ao diagrama anterior.

  • (A) Configuração de rede virtual de hub: use a rede virtual de hub como ponto central para firewalls e conectividade para redes entre locais e redes externas.

  • (B) Emparelhamento falado com recurso compartilhado: Certifique-se de emparelhar sua rede virtual de hub com o recurso compartilhado falado para fornecer aos Citrix Cloud Connectors conectividade de saída 443.

  • (C) Redes virtuais faladas em recursos compartilhados: hospede todos os componentes Citrix necessários e opcionais e hospede serviços compartilhados, como contas de armazenamento de perfil e galerias de computação do Azure, nas redes virtuais faladas em recursos compartilhados. Para minimizar a latência e melhorar o desempenho, emparelhe essas redes diretamente com os raios VDA.

  • (D) Configuração de raios de carga de trabalho VDA: Hospede apenas os VDAs nos raios de carga de trabalho VDA. Encaminhe todo o tráfego de rede de VMs e serviços. Por exemplo, você pode rotear o tráfego de perfil diretamente para um recurso compartilhado falado se o recurso falado estiver dentro de uma região específica do datacenter. Encaminhe todo o tráfego de rede que sai da região do datacenter, como conectividade de saída da Internet, híbrida ou entre regiões, para a rede virtual do hub.

  • (E) Réplicas de versão da Galeria de Computação: especifique o número de réplicas que você deseja manter na Galeria de Computação. Em cenários de implantação de várias VMs, distribua implantações de VM em réplicas diferentes. Use essa abordagem para que, ao criar uma instância, a limitação não ocorra devido à sobrecarga de uma única réplica.

Compreender as limitações de recursos

Ao projetar uma implantação para um serviço de banco de dados gerenciado Citrix em grande escala no Azure, entenda as limitações da Citrix e as limitações do Azure. Essas limitações afetam seu design, configuração e gerenciamento de ambientes Citrix e Azure. Eles também afetam o desempenho, a escalabilidade e a disponibilidade de áreas de trabalho virtuais e aplicativos. Os limites são dinâmicos, portanto, verifique se há atualizações com frequência. Se os limites atuais não atenderem às suas necessidades, entre em contato imediatamente com seus representantes da Microsoft e da Citrix.

Contribuidores

Este artigo é mantido pela Microsoft. Foi originalmente escrito pelos seguintes contribuidores.

Principais autores:

Para ver perfis não públicos do LinkedIn, inicie sessão no LinkedIn.

Próximos passos

Para saber mais sobre as práticas recomendadas de rede do Azure e como planejar redes virtuais com base nos requisitos de isolamento, conectividade e localização, consulte Planejar redes virtuais.

Analise as considerações críticas de design e as recomendações de gerenciamento e monitoramento específicas para a implantação do Citrix no Azure.