Citrix Virtual Apps and Desktops – Architekturdiagramm, Infrastruktur Komponenten und Kommunikationsports

Die Citrix FMA-Architecture ist seit mehreren Jahren fast unverändert, trotzdem gibt es immer noch Bedarf an die einfache Architekturbeschreibung. Hier finden Sie ein detailliertes Architekturdiagramm, inkl. benötigte Kommunikationsports, sowie eine Beschreibung der Komponenten. Eine passende Visio-Datei finden Sie ebenfalls auf dieser Seite.

 

Citrix Virtual Apps and Desktops - Architecture Diagram and Communication Ports

Citrix Architecture Communication Ports onPrem

Download: Citrix_Architecture_Communication_Ports-onPrem.pdf

Download: Citrix_Architecture_Communication_Ports-onPrem.vsdx oder hier

 

Citrix Virtual Apps and Desktops Firewall Ports

 Source  Destination  Type   Port  Beschreibung
 NetScaler
 Gateway
 LDAP
 Server (AD) 
 TCP  389   LDAP Standard Verbindung 
 636  LDAP SSL Verbindung 
 3268   Verbindung zum Global Catalog 
 3269  SSL Verbindung zum Global Catalog 
 STA auf
 Delivery Controller 
 TCP  80
 443
 Secure Ticketing Authority / XML
 VDA      TCP  1494  ICA/HDX Verbindung zum VDA
 UDP  1494  Kommunikation per EDT Protocol
 TCP  2598  ICA/HDX mit Session Reliability
 TCP  443  ICA/HDX über 443
 TCP  8008  Kommunikation per HTML5
 StoreFront  TCP  443  Callback URL
 StoreFront   Domain Controller     TCP/UDP   443   LDAP Standard Verbindung 
 TCP  636  LDAP SSL Verbindung 
 TCP/UDP  88  Kerberos
 TCP/UDP  464  Kerberos-Kennwortänderung
  StoreFront  TCP  808  Replikation der Konfiguration innerhalb der Servergruppe 
 Delivery Controller  TCP   80
 443
 Kommunikation mit dem Delivery Controller
 Delivery Controller    MS SQL Server  TCP   1433  Kommunikation mit dem Datenbank Server
 VMware vCenter  TCP  433  Kommunikation mit der vSphere Infrastruktur
 SCVMM  TCP  8100  Kommunikation mit der Hyper-V Infrastruktur
 XenServer  TCP  443  Kommunikation mit der Citrix Hypervisor Infrastruktur
 Delivery Controller  TCP  80  Kommunikation zwischen den Delivery Controller
 Delivery Controller  TCP  89  Local Host Cache (SQL Fallover)
 License Server  TCP  27000   Kommunikation mit der License Server
 TCP  7279  Vendor Daemon, Check-in/check-out von Lizenzen
 VDA  TCP  80/443   Bidirektionale Informationsaustausch
 Director   Delivery Controller   TCP  80/443  Kommunikation mit dem Controller
 VDA  TCP  135/3389   Remote Assistance
 Studio (Admin PC)    Delivery Controller   TCP  80/443  Kommunikation mit dem Controller
 License Server  TCP  8082  Citrix License Administration Console
 License Server  TCP  8083  Citrix Lizenzierung Manager (moderne Webconsole)
 VDA  TCP  135/3389  Remote Assistance
 VDA       Workspace App     TCP/UDP  1494  ICA/HDX Protokoll (UDP nur für EDT)
 TCP/UDP  2598  ICA/HDX mit Session Reliability (UDP nur für EDT)
 TCP  443  ICA/HDX über 443
 TCP  8008  ICA/HDX über WebSocket für HTML5
 Print Server (optional)  TCP  7229  Universal Print Server Data Stream
 TCP  8080  Universal Print Server Listener

 Quellen: 

 

Im Weiteren versuche ich die Architekturkomponenten entsprechenden des Diagramms zu beschreiben.

Die Citrix Referenzarchitektur besteht aus fünf standardisierten Schichten der Citrix Design Methodologie. Wobei der Control-Layer nicht nur aus Citrix-eigenen Komponenten besteht, sondern viele für die Windows-Infrastruktur relevante Bestandsteile beinhaltet.

Diese Schichten sind wie folgt:

User Layer – auf dieser Ebene befinden sich die Benutzer, die auf die Citrix Infrastruktur zugreifen wollen und die Endgeräte, von denen auf die Infrastruktur zugegriffen wird. Hier wird auch festgelegt, wer, aus welchem Ort und wie auf die Zielsysteme zugreifen soll. Auch das Thema Bandbreite wird auf dieser Ebene betrachtet.

Access Layer – hier befinden sich die Komponenten, die zur Benutzerauthentifizierung verwendet werden: NetScaler Gateway und StoreFront. An dieser Ebene wird auch die Liste von Apps erstellt, auf die die Benutzer zugreifen dürfen. Aber die Entscheidung wer und welche Applikation verwenden darf, wird auf anderer Ebene getroffen, nämlich auf dem Control Layer.

Control Layer – diese Schicht beinhaltet sowohl eine eigene Citrix-Verwaltungsebene (Delivery Controller, Lizenzserver, Director, Datenbanken), als auch allgemeine Infrastruktur-Dienste, wie z.B. Active Directory, CA, DNS, DHCP, RDS- Lizenzserver usw.

Resource Layer – ist eine Sammlung von verschiedenen Ressourcen, die den Benutzern zur Verfügung stehen: Virtuelle Desktops, virtuelle Server, virtuelle Applikationen, die auf solchen Servern gehostet werden oder auch physische Server.

Host Layer oder besser gesagt Hardware-Layer – auf dieser Ebene befindet sich die physische Infrastruktur: Netzwerk-, Rechen- und Speicher-Ressourcen.

 

Citrix Infrastruktur Komponenten

Workspace App

Workspace App (Citrix Receiver) ist eine Client-Software, die benötigt wird, um von einem User Endgerät aus auf den Citrix Virtual Apps und Desktops veröffentlichte Anwendungen/Desktops zuzugreifen. Es spielt auch keine Rolle, ob die Ressourcen aus der Cloud kommen oder On-Premise gehostet werden. Workspace App unterstützt fast alle auf dem Markt existierende Endgeräte (iOS, Mac, Linux, Android, Chrom, HTML5, Windows). Unteranderem ist die Workspace App in mehrere embedded Betriebssysteme bei Thin Clients integriert. Außerdem bietet Workspace App einige sinnvolle Zusatzkomponenten, die sowohl vollintegriert sind (Add Protection) als auch als Add-On (Desktop Lock) angeboten werden.

Citrix Gateway (NetScaler Gateway) 

Das NetScaler Gateway wird hauptsächlich dazu verwendet, um externen Benutzern einen sicheren Zugang zu einer internen Citrix Virtual Apps and Desktops Infrastruktur zu gewährleisten. Wie auf dem Bild zu sehen ist, ist der NetScaler die erste Authentifizierungsstufe für externe Benutzer. Citrix NetScaler (Citrix ADC, Citrix Gateway) hat unteranderem eine Reihe von unterschiedlichen Funktionen, wie z.B. L4-L7 Load Balancing, Advanced Traffic Management usw.

Zwecks Hochverfügbarkeit können zwei NetScaler Appliances zu einem Active-Passive oder Active-Active Cluster zusammengefügt werden.

Citrix StoreFront

Citrix StoreFront ist eine auf Basis von Windows IIS installierte Komponente, die den angemeldeten Benutzern eine vollständige Liste der verfügbaren Ressourcen, anhand der konfigurieren Berechtigungen, bereitstellt.

Die bereitgestellten Ressourcen können sowohl über eine gehostete Webseite (Receiver for Web) als auch von einer Workspace App erreicht bzw. gestartet werden. Unabhängig von der Zugriffsart hat der Benutzer einen identischen Weboberfläche. Die internen Benutzer können direkt (ohne NetScaler) auf die StoreFront-Ressourcen zugreifen. Auf einem StoreFront Server können mehrere einzelne Stores konfiguriert werden, die unterschiedlichen Einstellungen haben.

Bis zu sechs StoreFront Server können zwecks Konfigurationsvereinfachung zu einer Server Gruppe zusammengefügt werden, wobei die Synchronisierung der Konfiguration manuell initiiert werden soll. Die Hochverfügbarkeit und Lastverteilung lassen sich schnell mit einem externen Load Balancer realisieren. Beachten Sie, dass es bei einem Ausfall noch genügend freie Kapazität zur Verfügung (N  + 1 für Redundanz) steht.

Citrix Delivery Controller

Citrix Delivery Controller dient der Verwaltung der Citrix Infrastruktur und hat mehrere Aufgaben: vermittelt Verbindungen zwischen den Benutzern und den angefragten Ressourcen und sorgt dabei für eine optimale Auslastung, authentifiziert Benutzer, verwaltet die VDAs mit Hilfe der einzelnen Dienste, kommuniziert mit den Datenbanken. Die Hochverfügbarkeit und Lastverteilung benötigten keine zusätzlichen Komponenten, da alle relevanten Informationen in einer zentralen Datenbank gespeichert werden und von jedem Controller direkt abgefragt werden.

Datenbanken

Während des Setups werden drei DBs installiert: Site, Configuration Logging und Monitoring. Site DB beinhaltet alle Konfigurationsdaten, sowie Information zu aktuellen Sitzungen. Configuration Logging DB speichert die Informationen über die von den Administratoren vorgenommenen Änderungen. In der Monitoring DB wird die Information gespeichert, die für Citrix Director benötigt werden.

Director

Der Citrix Director ist eine webbasierte (Microsoft IIS) Monitoring-Konsole, die auch für Troubleshooting der Citrix Virtual Apps and Desktop Infrastruktur vorgesehen ist. Citrix Director bietet mittlerweile einen detaillierten Einblick in User Session und gibt den Administratoren die Möglichkeit die Session zu steuern, wie z.B. hängende Prozesse beenden, Benutzerprofil zurücksetzen, VM neu zu starten usw. Auf dem Dashboard sind allgemeine Informationen und Fehler in Echtzeit zu sehen. Im Bereich Trends findet man unterschiedliche historische Daten und grafische Analysen. Mehrere Citrix Director können über eine zentrale URL erreicht werden (Load Balancing). 

Citrix Studio / Admin Workstation

Citrix Studio ist eine Verwaltungskonsole, die zur Administration und Konfiguration der CVAD Infrastruktur verwendet wird. Die Konsole kann sowohl auf dem Delivery Controller als auch auf einer separaten VM (Admin Workstation) installiert werden.

Citrix License Server

Der Lizenzserver beherbergt und verwaltet die Citrix Produktlizenzen. Auf dem Server befinden sich zwei webbasierte Management Konsolen, die nicht nur zur Verwaltung eingesetzt werden, sondern auch ein historisches Reporting bieten. Im Gegensatz zu den anderen Citrix Komponenten werden die Management Konsolen nicht auf Basis von IIS bereitgestellt. Jede Citrix Infrastruktur muss mindestens über einen dedizierten oder einen gemeinsam genutzten Lizenzserver verfügen. Das Thema Hochverfügbarkeit und Redundanz spielen bei dem Lizenzserver eine sekundäre Rolle, da die Citrix-Infrastruktur einen eingebauten 30-tägigen Grace-Periode-Mechanismus hat.

Microsoft License Server

Ein weiterer Lizenzserver wird für die Bereitstellung der RDS CALs (Remote Desktop Services Client Access License) benötigt. Beachten Sie, dass im Gegensatz zum Citrix Lizenzserver Microsoft keinerlei Grace-Periode anbietet. Microsoft License Server hat keine integrierte Hochverfügbarkeit. Außerdem es ist auch wichtig, welcher Lizenzart dabei verwendet wird. Bei der Lizenzierung „Pro Benutzer“ kontaktiert der RDS Session Host (VDA) jedes Mal den Lizenzserver, wenn eine Session initiiert wird. Wenn der Lizenzserver nicht verfügbar ist, wird keine Verbindung aufgebaut. Bei der Verwendung von „Pro Geräte“-Lizenzen ist die Situation wesentlich komplizierter, da es davon abhängt, ob die Verbindung zum ersten Mal hergestellt wird (temporary CAL), oder bereits stattgefunden hat (permanent CAL).

Leider habe ich keine eindeutige HA-Empfehlung, da die Lizenzart eine sehr wichtige Rolle dabei spielt. Der Verlust eines Lizenzservers mit „Pro Geräte“- Lizenzen ist weniger kritisch als eines mit „Pro Benutzer“-Lizenzen. Sie können z.B. die RDS CALs zwischen zwei Servern splittern.

Im Falle VDI-Nutzung (Citrix Virtual Desktops auf Basis von Windows 10) können Sie sich diesen Server sparen.

User Profil Manager

User Profil Manager ist eine optionale, aber in die CVAD-Infrastruktur integrierte Benutzerprofil-Lösung. UPM lässt sich mit einem minimalen administrativen und infrastrukturellen Aufwand implementieren, da die Lösung im groben aus zwei Kernkomponenten besteht: einen Fileshare und eine Reihe von Konfigurationsrichtlinien.

KMS Server

Das Thema Lizenzierung wäre ohne einen Microsoft Key Management Server nicht vollständig gewesen. In CVAD-Umgebung wird der KMS zur Aktivierung von Microsoft Produkten verwendet.

Certificate Authority

Für eine moderne Citrix Infrastruktur wird unbedingt eine CA benötigt, um eine End-To-End Verschlüsselung zwischen den Citrix Komponenten zu gewährleisten. Ein Bild sagt mehr als tausend Worte:

CVAD End to End Secure

End-To-End Encryption with XenApp and XenDesktop Security guidance for Citrix Deployments

 

Virtual Delivery Agent (VDA)

Der Virtual Desktop Agent ist eine Software-Komponente, die auf einem Windows Server- oder Desktop-Betriebssystem oder auch Linux installiert wird. VDA macht aus einem RDSH einen Citrix „Worker“ und ermöglicht die Nutzung von Ressourcen (einzelne Apps oder kompletter Desktop) auf diesem System.

Active Directory & Co.

Der Verzeichnisdienst Active Directory ist ein Kernstück jeder Microsoft Infrastruktur und ein untrennbares Teil der CVAD Bereitstellung. AD beinhaltet alle Benutzer- und Computer-Konten, sowie Benutzer-Gruppen und ist für deren Autorisierung und Authentifizierung erforderlich (stark vereinfacht). Auch solche integrierte AD-Dienste gehören dazu: Domain Name System (DNS), Network Time Protocol (NTP).

DHCP stellt die einzige Ausnahme dar, und wir nur für die Bereitstellung per MVS benötigt.

 

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.