Архитектура Digital Workspace на платформе Citrix Cloud
Введение
Статья описывает возможности и архитектурные особенности облачной платформы Citrix Cloud и набора сервисов Citrix Workspace. Данные решения являются центральным элементом и основой для реализации концепции цифровых рабочих мест (digital workspaсe) от компании Citrix.
В настоящей статье я попытался разобраться и сформулировать причинно-следственные связи между облачными платформами, сервисами и подписками Citrix, описание которых в открытых источниках компании (citrix.com и docs.citrix.com) выглядит местами очень туманно. Облачные технологии — по-другому видимо никак! Стоит отметить, что архитектура и технологии раскрыты в целом вменяемо. Сложности возникают в понимании иерархической взаимосвязи между сервисами и платформами:
- какая платформа первична — Citrix Cloud или Citrix Workspace Platform?
- в какую из платформ, указанных выше, входят многочисленные сервисы Citrix, необходимые для построения инфраструктуры цифровых рабочих мест?
- сколько стоит это удовольствие и в каких вариантах его можно получить?
- возможно ли реализовать все фичи digital workspaсe Citrix без использования Citrix Cloud?
Ответы на эти вопросы и знакомство с решениями Citrix для цифровых рабочих мест под катом.
Citrix Cloud
Citrix Cloud — это облачная платформа в которой размещаются все сервисы, необходимые для организации цифровых рабочих мест. Владеет данным облаком непосредственно компания Citrix, она же занимается его сопровождением и обеспечивает заданный SLA (доступность сервисов — не менее 99,5% в месяц).
Заказчики (клиенты) компании Citrix в зависимости от выбранной подписки (пакета сервисов) получают доступ к определенному перечню сервисов по модели SaaS. Для них Citrix Cloud выступает в роли облачной панели управления цифровыми рабочими местами компании. Citrix Cloud имеет multi-tenant архитектуру, заказчики и их инфраструктуры изолированы друг от друга.
Citrix Cloud выполняет роль плоскости управления (control plane), здесь размещаются многочисленные облачные сервисы Citrix, в т.ч. служебные и управляющие сервисы инфраструктуры digital workspaсe. Data plane, включающая пользовательские приложения, рабочие столы и данные, находится за пределами Citrix Cloud. Исключением является только Secure Browser Service, предоставляемый полностью по облачной модели. Плоскость данных может размещаться в дата-центре заказчика (on-premises), дата-центре сервис-провайдера, гипер-облаках (AWS, Azure, Google Cloud). Возможны смешанные и распределенные решения, когда данные заказчика находятся в нескольких площадках и облаках, при этом их управление централизовано осуществляется из Citrix Cloud.
Такой подход имеет ряд очевидных преимуществ для заказчиков:
- свобода выбора площадки для размещения данных;
- возможность построения гибридной распределенной инфраструктуры, предполагающей множество размещений у разных провайдеров, в нескольких облаках и on-premises;
- отсутствие непосредственного доступа к пользовательским данным со стороны Citrix, поскольку они находятся за пределами Citrix Cloud;
- возможность самостоятельно задать необходимый уровень производительности, отказоустойчивости, надежности, конфиденциальности, целостности и доступности данных; после этого подобрать соответствующие площадки для размещения;
- отсутствие необходимости размещения и сопровождения множества сервисов управления цифровыми рабочими местами, поскольку все они находятся в Citrix Cloud и являются головной болью Citrix; как следствие — сокращение расходов.
Citrix Workspace
Citrix Workspace — понятие трансцендентальное, основополагающее и всеобъемлющее. Разберемся с ним поподробнее и станет понятно — почему.
В целом Citrix Workspace олицетворяет собой концепцию цифровых рабочих мест от компании Citrix. Это одновременно решение, услуга и набор сервисов для создания объединенных, безопасных, удобных и управляемых рабочих мест.
Пользователи получают возможность бесшовного SSO для быстрого доступа к приложениям/сервисам, десктопам, и данным из единой консоли c любого устройства для продуктивной работы. Они с радостью могут забыть про множество учеток, паролей и сложности с поиском приложений (ярлыки, панель Пуск, браузеры — всё в разных местах).
ИТ-служба получает инструменты для централизованного управления сервисами и клиентскими устройствами, обеспечения безопасности, разграничения доступа, мониторинга, обновления, оптимизации сетевого взаимодействия, аналитики.
Citrix Workspace позволяет предоставить объединенный доступ к следующим ресурсам:
- Citrix Virtual Apps and Desktops — виртуализация приложений и десктопов;
- Web-приложения;
- Облачные SaaS-приложения;
- Мобильные приложения;
- Файлы в различных хранилищах, в т.ч. облачных.
Доступ к ресурсам Citrix Workspace осуществляется через:
- Стандартный браузер — поддерживаются Chrome, Safari, MS IE и Edge, Firefox
- или «родное» клиентское приложение — Citrix Workspace App.
Доступ возможен со всех популярных клиентских устройств:
- Полноценные компьютеры под управлением Windows, Linux, MacOS и даже Chrome OS;
- Мобильные устройства с iOS или Android.
Citrix Workspace Platform — это часть множества облачных сервисов Citrix Cloud, предназначенных для организации digital workspaсe. Стоит отметить, что Workspace включает в себя большую часть сервисов, присутствующих в Citrix Cloud, подробнее остановимся на них позднее.
Таким образом, конечные пользователи получают функциональность цифровых рабочих мест на любимых клиентских устройствах посредством Workspace App или его браузерной замены (Workspace App для HTML5). Для достижения данной функциональности Citrix предлагает Workspace Platform в виде набора облачных сервисов, которым админы компании рулят через Citrix Cloud.
Citrix Workspace доступна в трех пакетах: Standard, Premium, Premium Plus. Отличаются они количеством сервисов, включенных в пакет. Также, есть возможность покупать некоторые сервисы по-отдельности, вне пакета. Например, основополагающий сервис Virtual Apps and Desktops входит только в пакет Premium Plus, а его отдельная стоимость выше пакета Standard и почти равна Premium.
Получается, что Workspace это и клиентское приложение — Workspace App, и облачная платформа (её часть) — Workspace Platform, и название разновидностей пакетов услуг, и концепция цифровых рабочих мест от Citrix в целом. Вот такая многоликая сущность.
Архитектура и системные требования
Условно в структуре Digital Workspaсe от компании Citrix можно выделить 3 области:
- Множество клиентских устройств с приложением Workspace App или браузерным доступом к цифровым рабочим местам.
- Непосредственно Workspace Platform в облаке Citrix Cloud, которое живет где-то в сети Internet в домене cloud.com.
- Расположения ресурсов (resource location) — собственные или арендованные площадки, частные или публичные облака, в которых размещаются ресурсы с приложениями, виртуальными десктопами и данными заказчика, публикуемыми в Citrix Workspace. Это тот самый data-plane, о котором говорилось выше, напомню, что у одного заказчика может быть несколько resource location.
Примерами ресурсов могут выступать гипервизоры, серверы, сетевые устройства, домены AD и другие элементы, необходимые для предоставления пользователям соответствующих сервисов цифровых рабочих мест.
Распределенный сценарий инфраструктуры может предполагать:
- несколько расположений ресурсов в собственных дата-центрах заказчика,
- расположения в публичных облаках,
- небольшие расположения в удаленных филиалах.
При планировании расположений следует учитывать:
- близость пользователей, данных и приложений;
- возможность масштабирования, в т.ч. обеспечения быстрого наращивания и свёртывания мощностей;
- требования безопасности и регуляторов.
Коммуникации между Citrix Cloud и расположениями ресурсов заказчика осуществляются посредством компонентов, называемых Citrix Cloud Connector. Данные компоненты позволяют заказчику сфокусироваться на сопровождении ресурсов, предоставляемых пользователям, и забыть про танцы со служебными и управляющими сервисами, которые уже развернуты в облаке и сопровождаются Citrix.
Для балансировки нагрузки и отказоустойчивости рекомендуется разворачивать не менее двух Cloud Connector в каждом расположении ресурсов. Cloud Connector может быть установлен на выделенную физическую или виртуальную машину с Windows Server (2012 R2 или 2016). Предпочтительно размещать их во внутренней сети расположения ресурсов, не в DMZ.
Cloud Connector аутентифицирует и шифрует трафик между Citrix Cloud и расположением ресурсов по https, стандартно — TCP порт 443. Допускаются только исходящие сессии — от Cloud Connector в облако, входящие соединения запрещены.
Citrix Cloud требует наличия службы Active Directory (AD) в инфраструктуре заказчика. AD выполняет роль основного IdAM-провайдера и необходима для авторизации доступа пользователей к ресурсам Workspace. Cloud Connector-ы должны иметь доступ к AD. Для отказоустойчивости хорошей практикой будет иметь по паре контроллеров домена в каждом расположении ресурсов, которые будут взаимодействовать с Cloud Connector-ами данного расположения.
Сервисы Citrix Cloud
Теперь стоит остановиться на основных сервисах Citrix Cloud, лежащих в основе платформы Citrix Workspace и позволяющих заказчикам разворачивать полноценные цифровые рабочие места.
Рассмотрим назначение и функциональность данных сервисов.
Virtual Apps and Desktops
Это основной сервис Citrix Digital Workspace, позволяющий обеспечить терминальный доступ к приложениям и полноценный VDI. Поддерживает виртуализацию Windows и Linux приложений и десктопов.
Будучи облачным сервисом Citrix Cloud, Virtual Apps and Desktops service в своем составе имеет те же компоненты, что и традиционный (не облачный) Virtual Apps and Desktops, как показано на рисунке ниже. Отличие заключается в том, что все управляющие компоненты (control plane) в случае сервиса размещаются в облаке Citrix Cloud. Заказчику больше не нужно разворачивать и сопровождать данные компоненты, выделять под них вычислительные мощности, этим занимается компания Citrix.
На своей стороне заказчик в расположениях ресурсов должен развернуть следующие компоненты:
- Cloud Connector-ы;
- Контроллеры домена AD;
- Virtual Delivery Agents (VDAs);
- Гипервизоры — как правило они есть, но бывают ситуации, где удается обойтись физикой;
- Опциональные компоненты — Citrix Gateway и StoreFront.
Все перечисленные компоненты, кроме Cloud Connector-ов, заказчик сопровождает самостоятельно. Это логично, поскольку здесь находится data-plane, особенно это касается физических узлов и гипервизоров с VDA, где размещаются непосредственно пользовательские приложения и десктопы.
Cloud Connector-ы должны быть только установлены силами заказчика, это очень простая процедура, выполняемая из консоли Citrix Cloud. Дальнейшее их сопровождение осуществляется автоматически.
Access Control
Данный сервис предоставляет следующие возможности:
- SSO (single sign-on) к большому перечню популярных SaaS-приложений;
- Фильтрация доступа к Интернет-ресурсам;
- Мониторинг активности пользователей в Интернет.
SSO клиентов к SaaS-сервисам через Citrix Workspace более удобная и безопасная альтернатива, по сравнению с обычным доступом через браузер. Список поддерживаемых SaaS-приложений довольно большой и постоянно расширяется.
Фильтрация доступа к Интернет может настраиваться на основе создаваемых вручную белых или черных списков сайтов. Кроме того, поддерживается разграничение доступа по категориям сайтов, на основе обширных обновляемых коммерческих списков URL. Пользователям может быть ограничен доступ к таким категориям сайтов как соцсети, покупки, для взрослых, вредоносное ПО, торренты, прокси и т.д.
Помимо разрешения доступа к сайтам/SaaS напрямую или блокировки доступа к ним есть возможность перенаправить клиентов на Secure Browser. Т.е. для снижения рисков доступ к выбранным категориям/спискам Интернет-ресурсов будет возможен только через Secure Browser.
Сервис также предоставляет детальную аналитику для мониторинга активности пользователей в сети Интернет: посещаемые сайты и приложения, опасные ресурсы и атаки, заблокированный доступ, объёмы загруженных/скачанных данных.
Secure Browser
Позволяет опубликовать для пользователей Citrix Workspace интернет-браузер (Google Chrome) в виде виртуального приложения. Secure Browser — это SaaS-сервис, управлением и сопровождением которого занимается компания Citrix. Он целиком размещается в Citrix Cloud (включая data-plane), заказчику не нужно разворачивать и сопровождать его в собственных расположениях ресурсов.
Citrix отвечает за выделение в своем облаке ресурсов под VDA, на которых размещаются публикуемые для клиентов браузеры, обеспечивает безопасность и обновление ОС и самих браузеров.
Доступ клиентов к Secure Browser осуществляется через Workspace app или клиентский браузер. Сессия шифруется по TLS. Для использования сервиса клиенту не нужно себе ничего скачивать и устанавливать.
Сайты и веб-приложения, запускаемые через Secure Browser крутятся в облаке, клиент лишь получает картинку терминальной сессии, на конечном устройстве ничего не выполняется. Это позволяет значительно повысить уровень безопасности и защититься от браузерных атак.
Подключение сервиса и управление им осуществляется через панель заказчика Citrix Cloud. Подключение выполняется за пару кликов:
Управление тоже достаточно простое, оно сводится к заданию политики и белых листов:
Политика позволяет регулировать следующие параметры:
- Clipboard — позволяет включить возможность копи-паста в браузерной сессии;
- Printing — возможность сохранять веб-страницы на клиентском устройстве в формате PDF;
- Non-kiosk — по умолчанию включена, дает возможность полноценного пользования браузером (несколько вкладок, адресная строка);
- Region failover — возможность перезапуска браузера в другом регионе Citrix Cloud при падении основного региона;
- Client drive mapping — возможность монтирования диска клиентского устройства для скачивания или загрузки файлов браузерной сессии.
Белые листы (Whitelists) позволяют задать список сайтов, к которым будет открыт доступ клиентов. Доступ к ресурсам вне этого списка будет запрещен.
Content Collaboration
Данный сервис обеспечивает возможность объединенного доступа пользователей Workspace к файлам и документам, размещаемым на внутренних ресурсах заказчика (on-premises) и поддерживаемых публичных облачных сервисах. Это могут быть персональные папки пользователя, корпоративные сетевые шары, документы SharePoint или такие облачные репозитории как OneDrive, DropBox или Google Drive.
Сервис предоставляет SSO для доступа к данным на всех типах ресурсов хранения. Пользователи Citrix Workspace получают безопасный доступ к рабочим файлам со своих устройств не только в офисе, но и удаленно, без каких-либо дополнительных сложностей.
Content Collaboration предоставляет следующие возможности работы с данными:
- обмен файлами между ресурсами Workspace и клиентским устройством (скачивание и загрузка),
- синхронизация файлов пользователя на всех устройствах,
- совместный доступ к файлам и их синхронизация для нескольких пользователей Workspace,
- настройка прав доступа к файлам и папкам для других пользователей Workspace,
- запрос на доступ к файлам, формирование ссылок на безопасную загрузку (upload) файлов.
Помимо этого, обеспечиваются дополнительные механизмы защиты:
- доступ к файлам по одноразовым паролям,
- шифрование файлов,
- снабжение шареных файлов водяными знаками (watermark).
Endpoint Management
Данный сервис обеспечивает необходимую для цифровых рабочих мест функциональность управления мобильными устройствами (Mobile Device Management — MDM) и приложениями (Mobile Application Management — MAM). Citrix позиционирует его в качестве SaaS-EMM решения — Enterprise Mobility Management как услуга.
MDM функциональность позволяет:
- распространять приложения, политики устройств, сертификаты для подключения к ресурсам заказчика,
- вести учет устройств,
- блокировать и выполнять полное или частичное стирание (wipe) устройств.
MAM функциональность позволяет:
- обеспечивать безопасность приложений и данных на мобильных устройствах,
- доставлять корпоративные мобильные приложения.
С точки зрения архитектуры и принципа предоставления услуги заказчику Endpoint Management очень похож на описанный выше облачный вариант Virtual Apps and Desktops. Control Plane и образующие её сервисы находятся в Citrix Cloud, их сопровождением занимается Citrix, что позволяет рассматривать данную услугу как SaaS.
Data Plane в расположениях ресурсов заказчика включает:
- Cloud Connector-ы необходимые для взаимодействия с облаком Citrix,
- Citrix Gateway-и, обеспечивающие безопасный удаленный доступ пользователей к внутренним ресурсам заказчика (приложения, данные) и функциональность микро-VPN,
- Active Directory, PKI
- Exchange, файлы, виртуальные приложения и десктопы.
Gateway
Citrix Gateway обеспечивает следующую функциональность:
- шлюз удаленного доступа — безопасное подключение к корпоративным ресурсам для мобильных и удаленных пользователей снаружи защищенного периметра,
- IdAM-провайдер (Identity and Access Management) для обеспечения SSO к корпоративным ресурсам.
Под корпоративными ресурсами в данном контексте следует понимать не только виртуальные приложения и десктопы, но и многочисленные SaaS-приложения.
Для оптимизации сетевого трафика и получения функциональности micro VPN необходимо развертывание Citrix Gateway в каждом из расположений ресурсов, как правило в DMZ. В таком случае выделение необходимых мощностей и сопровождение ложится на плечи заказчика.
Альтернативный вариант — использование Citrix Gateway в виде сервиса Citrix Cloud, в этом случае заказчику у себя ничего разворачивать и сопровождать не нужно, за него это делает Citrix в своем облаке.
Analitics
Это аналитический сервис Citrix Cloud, интегрированный со всеми описанными выше облачными сервисами. Он предназначен для сбора данных, генерируемых сервисами Citrix, и их анализа посредством встроенных механизмов машинного обучения. При этом учитываются метрики, связанные с пользователями, приложениями, файлами, устройствами и сетью.
В результате формируются отчеты касательно безопасности, производительности и пользовательских операций.
Помимо формирования статистических отчетов Citrix Analitics умеет действовать проактивно. Это заключается в формировании профилей нормального поведения пользователей и выявление аномалий. Если пользователь начинает нестандартно использовать приложение или активно шарить данные, он и его устройство могут быть заблокированы автоматически. Тоже самое произойдет в случае доступа к опасным интернет-ресурсам.
Внимание уделяется не только безопасности, но и производительности. Аналитика позволяет мониторить и оперативно решать проблемы связанные с долгим логоном пользователей и сетевыми задержками.
Заключение
Мы познакомились с архитектурой облака Citrix, платформой Workspace и её основными сервисами, необходимыми для организации инфраструктуры цифровых рабочих мест. Стоит отметить, что мы рассмотрели далеко не все сервисы Сitrix Cloud, ограничились базовым набором для организации digital workspace. Полный перечень сервисов облака Citrix также включает сетевые инструменты, дополнительные фичи по работе с приложениями и рабочими местами.
Также необходимо сказать, что основную функциональность цифровых рабочих мест можно развернуть и без Citrix Cloud, исключительно on-premises. Базовый продукт Virtual Apps and Desktops по-прежнему доступен в классическом варианте, когда не только VDA, но и все управляющие сервисы заказчик разворачивает и сопровождает на своей площадке самостоятельно, никакие Cloud Connector-ы в таком случае не нужны. Тоже касается и Endpoint Management — его on-pemises предок называется XenMobile Server, правда в облачном варианте он чуть более функционален. Часть возможностей Access Control заказчик также может реализовать на своей площадке. Функциональность Secure Browser может быть реализована on-premises, причем выбор браузера остается за закзчиком.
Стремление всё развернуть на своей площадке хорошо в плане безопасности, контроля и санкционного недоверия буржуйским облакам. Однако без Citrix Cloud функциональность Content Collaboration и Analytics и будет полностью недоступна. Функционал других решений Citrix on-premises, как было сказано выше, может уступать их облачной реализации. И самое главное — плоскость управления придется держать у себя и админить самостоятельно.
Полезные ссылки:
Техническая документация по продуктам Citrix, в т.ч. Citrix Cloud
Citrix Tech Zone — технические видео, статьи и диаграммы
Библиотека ресурсов Citrix Workspace