Citrix NetScaler 11的新功能 - Mast
前言
今天著重看下Citrix NetScaler 11有哪些新的功能����。這些功能有哪些是屬于比較振奮人心的功能���,同時就這些功能來講�,哪些是我們可能給到用戶的解決方案當中能夠成為一個比較獨特的亮點�。而落地來說�,就需要我們的渠道合作伙伴利用這些功能在測試和集成過程當中產生一些最佳實踐���。
今天的Master Class由我一個人獨立進行講解���,國外是分三個講師分別來介紹NetScaler 11的三個維度的功能�����。
如上圖所示��,我們可以看到三個維度的圖示�����,今天的講解主要是從這三個維度Unified Gateway(統一網關)��、Telco(電信網絡)以及Core ADC(應用交付)來講述NetScaler 11的更新���。
UnifiedGateway(統一網關)
首先我們從Unified Gateway(統一網關)開始來講解NetScaler產品在這一部分的更新�。Unified Gateway(統一網關)是在NetScaler 11版本才出現的新的名稱�����。實質上在之前��,這個功能的名稱叫做Access Gateway���,簡稱AG�;到后來變為NetScaler Gateway���,現在在版本11中稱為Unified Gateway���。名字一直在變化�����,但是變化總是有它的意義�。那么這個Unified Gateway在什么地方體現出來呢��?我們先來看下面這張圖:
在這張圖我們可以看見��,在Unified Gateway這個維度下�����,除了Unified Gateway本身之外��,還新增加了Smart Comtrol功能��、Portal Customization�����、N-factor Authentiartion�、Gateway Insight��、GSLB Zone Preference�����。我們這部分會這種介紹這6個功能�����。在介紹之前��,我們先來看一個解決方案:
對于這個解決方案來說�����,相信各位都配置Gateway這一塊����,那么我們可以看見����,實際上在Citrix NetScaler Gateway或者是Citrix Access Gateway當中�����,我們可以配置如上的一些配置或者說應用�。包括我們對其做ADC的交付��,我們做一個傳統的SSL ×××����,做一個Micro ×××接入(Micro ×××用于Citrix XenMobile解決方案當中)以及虛擬桌面和應用的ICA交付等等���。那么在大家配置的時候不知道是否遇見過一些場景���,會有一些比較麻煩的地方����,比如說一個用戶的場景里面����,他需要有兩個SSL ×××的vServer�,即要求有一些普通的SSL ×××撥入�,同時又需要發布Citrix XenApp/XenDesktop的ICA Proxy����,如果在有可能的情況下�����,用戶還購買了Citrix XenMobile的解決方案����,還需要Micro ×××的接入�。那么這時候來講�,通常情況下我們會怎么做���?我們一般會要求用戶給出三個不同該FQDN��,然后每個FQDN來講�,每個FQDN會綁定到一個NetScaler的vServer上����。在這樣的配置環境下����,用戶訪問的時候可能會有這樣的抱怨:無法做SSO(單點登錄)��!用戶在訪問SSL ×××的時候需要輸入一個域名��,隨后在登錄界面需要輸入用戶名和密碼��,在訪問虛擬桌面的時候又再需要輸入另一個域名����,隨后在登錄界面又再需要輸入用戶名和密碼����。
這樣相對來說可能也比較麻煩��,在新的Unified Gateway里面來講�����,如上圖�����,大家可以看到��,在NetScaler里面會有一個統一的URL����,這個統一的URL后面惡魔可以看到�,有很多的不同類型的業務應用�����;我們通過這個統一和URL在對外發布的情況下�,只需要這個統一的URL就可以了���。這樣就非常好的解決了SSO的問題��,我們只需要一個UI��,這個UI給到我們之后���,我們只需要登錄一次�,就可以訪問在URL之后的這些不同的業務應用類型���,而且基于SSO���,我們不再需要輸入用戶名和密碼�。實質是就是通過URL的方式實現了SSO的模式���。如果采用NetScaler 11的這個新功能���,在碰見類似的混合部署的場景�,我們就可以通過統一URL的方式撥入進來�����,實現不同類型的發布應用直接的訪問���。這個功能是我們介紹的第一個功能���,也屬于NetScaler 11的一個亮點�����。
那么基于Unified Gateway這樣的一個新的特性或者說行新的功能�����,對于用戶來說就有這三個提升�。第一個提升對于用戶來講就是使用的體驗�,整體上的使用體驗會比原來的使用體驗效果好�,我們會在后面繼續接受具體好在什么地方���;第二點來說���,就是更加的安全�;第三點對于用戶來說就是對于方案的整合靈活性比較大�����,主要是應用于多個數據中心����。比如典型的兩地三中心的數據災備架構�����。
對于提升用戶體驗來說�,我們知道NetScaler的Gateway毋庸置疑大部分都是基于Citrix XenApp/XenDesktop的場景����。但是還存在說用戶只用來進行SSL ×××的功能使用���,那么就有著這樣的一種趨勢�,在NetScaler中存在著專門的一個plug-in來對應這種場景���。這個plug-in就是SSL ×××的客戶端��。在之前的老版本中其實曾經停止更新過一段時間��,并且這個plug-in僅僅是基于Windows的一個插件���。同時我接到一些用戶的反饋來說���,在NetScaler版本10中還無法使用��。并且如果用戶是在非Citrix的場景下部署這樣的一個解決方案����,并且需要使用移動終端來訪問的話����,以前是沒有這個plug-in的�����,解決方案必須是這個Gateway外加自己的軟件�,這個Gateway才能夠在移動終端跑起來?���,F在在版本11當中����,專門針對移動的場景提供了Unified Gateway的移動端的plug-in��,即時在后端不是Citrix的情況下����,也提供了這樣的plug-in�。在這里為什么強調Citrix�,是因為我們在后端是Citrix的系統軟件的情況下���,我們只需要在移動終端上安裝Citrix Receiver即可���。如果是XenMobile就是Worx Home了����,這些都是基于Citrix的��。同時如果我們使用的是Windows 10來訪問�,目前NetScaler 10.5還不支持Windows 10的plug-in����,還需要升級到NetScaler 11才行�。
第二點針對提升用戶體驗來說�,會有一個完全的定制化的界面�����。我們知道在部署Gateway的時候�����,用戶或者或少都會有一些定制化的要求����,主要來講的話就是針對于登錄界面的這個UI的定制化���。在NetScaer 11當中針對這樣的需要���,做了一個非常大的一個改進�����,第一個大的改進就是做了一個主題�����。在默認中會有三個不同的主題來供用戶進行選擇��。
同時如上圖所示���,我們可以明顯看出這是一張被用戶完全進行自定義修改了的登錄界面�。這個界面當中所有標識的部分都可以進行定制化����。原來的界面當中也就只能夠修改部分的界面設置����。那么現在來講����,基本上我們眼睛能夠看到的地方����,都能夠進行定制化�����。以前修改的化還需要修改html代碼以及css等���,現在全部開放出來的話對于渠道商以及供應商來講�����,就節省了很多時間����,特別是針對于對美工不是太懂的部署實施工程師來說����。
在這里我們可以通過添加一個主題的方式����,在這個主題當中我們就可以做這樣一個定制化的修改��,包括你在主題當中需要去調用的一些背景�����。上述是在用戶是體驗這一塊進行的一些介紹�����,接下來我們介紹一些對安全性提升的方面���。
在安全領域來講�,在NetScaler 11當中我們添加了一個新的功能����,名稱叫做SmartControl���。在之前��,大家可能都知道NetScaler有一個功能叫做SmartAccess���。SmartAccess從NetScaler已經實施部署的大部分用戶調查來看�,應用的并不多��。SmartAccess本身是一個特別好的功能���,但是在實施的時候�����,需要兩邊都部署�。在NetScaler上我們需要去配置策略�,在軟件的后端還需要配置一個相應的策略�����。Unified Gateway默認工作在ICA Proxy模式下����,但是在SSL ×××的環境下�����,有兩種工作模式:一種是透明工作模式�,另一種是代理模式或者叫做TCP代理模式����。我們回來繼續說ICA Proxy�����,只有Citrix 的NetScaler Gateway才能夠看得懂在Citrix想的ICA協議當中32個通道里面的內容�。問題在于NetScaler采取什么方式來對ICA協議的32個子通道進行開關呢�����?原來是通過SmartAccess來做這樣的一個事情��。實際上在新的版本11當中�,你會發現一個比較有趣的事情就是����,你會發現除了Gateway下面原有的會話策略之外�����,還多了一個ICA策略��。ICA策略就是用來專門做這件事情的�,包括你可以選擇那些用戶是可以完全控制的形式來訪問后面的資源����,那些是需要被限制訪問的����。包括拷貝����、打印以及細到你在打開的Word里面可不可以允許你復制粘貼等等�。那么SmartCotrol就是這個功能的總稱了���。
如果我們能夠使用SmartCotrol在NetScaler上配置之后來實現并簡化部署這些功能的話�����,這無疑大大提高用戶的訪問和配置的最佳實踐��。并且�����,這個功能為什么要獨立出來稱為這個名稱呢�����?就是因為出來ICA策略之外��,SmartCotrol還可以對SSL ×××的訪問也做這樣的控制�,這是其他任何SSL設備都無法做到的事情�。
同時對于NetScaler的安全性來講��,還有一方面是�,NetScaler對于可視化的這樣一個解決方案����。我們知道目前市面有很多的可視化的解決方案��,在這些可視化的解決方案當中����,無非就是NPM或者是APM以及BPM��。針對于這些可視化的解決方案來說���,他們存在的最大的一個問題就是�����,如果您的環境跑了Citrix環境的流量的話���,那么這些可視化解決方案針對于Citrix是沒有效果的�,因為這些軟件看不懂Citrix的ICA協議內容�����,有些可視化的供應商會強制是在Citrix的軟件層�����,比如說DDC以及StoreFront里面安裝一個Agent�,通過這個Agent拉出來一些東西����,在傳送到她們的整個報表手機引擎當中��,由此來形成一個報表���。但是這種方式方法根據我們最近的幾個案例�����,用戶都是覺得得不償失的��,甚至于在有些用戶的場景的當中已經出了故障�����,闖了禍��。另外一個方面�����,Citrix對于自身交付的產品本身就提供了可視化的解決方案�����。在這一塊來說對用戶最具有吸引力的就是在做桌面交付的時候�,Citrix提供的HDX Insight的可視化解決方案�����。
這個解決方案首先是針對于Citrix自己的環境���,第二對于用戶來說非常的簡單����,部署的時候只需要訪問NetScaler��。NetScaler上面開啟數據收集的功能將其上傳到報表生成的引擎即可��。如果用戶的環境沒有這樣的報表生成工具���,那么Citrix還提供了專門的工具--Insight Center�����。目前來說是基于虛擬化底層做好的一個虛擬機��。用戶只需要下載導入���,簡單配置即可使用�����。Insight Center當中用戶可以看到目前的ICA當中狀態怎么樣���,流量多大���。比如說在實施一些VDI項目的時候���,過了一段時間用戶反映變慢����,那么就需要一款軟件去分析到底慢在什么地方�����。之前來講���,大家都是拿性能測試工具去看����,去測試�����,大部分都是瞎子摸象�����,有些用戶甚至請了一些APM廠家的人過來做分析��。但是分析出來的結果可能不盡如人意?���,F在有了Insight Center一切就變得非常的清楚���,可能用戶變慢的話���,用戶忙在什么地方一目了然��。并且報表非常簡單�,很容易就看得懂��。同時還可以和數據挖掘的一些軟件整合����,比如說Splunk���。
對于NetScaler可視化����,用戶的訪問行為流程是如何實現可視化的���。對于用戶來說�����,用戶的請求首先發送到gateway�����,gateway將其轉發到后臺的業務系統����,比如是Citrix的環境���。在數據經過NetScaler的時候�����,NetScaler會做一個操作�����,將是將這些數據以AppFlow的方式發送到Insight Center當中�,在Insight Center當中�����,存在著兩個Insight�,一個是基于HDX的Insight����,一個基于Web的Insight�����。HDX的Insight的話是針對Citrix的虛擬桌面以及應用的�����,它會將基于Citrix的這些數據吐出來發送到Insight Center����。Web的Insight是基于Web的應用的數據都可以吐出來發送到Insight Center�����。Insight Center在版本11當中也有一個較大的提升����。在使用可視化的時候���,最為關鍵的是需要在NetScaler上的服務AppFlow勾選上�����,在10.5的時候�����,這個功能默認就是打開的����,我們不用的時候建議就將其關閉掉�。
那么在Insight Center上我們可以看見什么東西�����?如上圖�����,我們可以看見網絡的信息�,這個是比較重要的信息��,這個對于用戶來講�����,用戶也可以將其集成到NPM的解決方案當中�����,NPM是一種網絡性能監控的解決方案�,在網絡當中安裝探針�,探針會將數據的流量發送到數據的收集端����,收集端會將其進行分析之后生成報表�����。在Citrix當中�,NetScaler就充當了這個探針����,然后我們通過AppFlow的方式將流量吐出來做這個事情���。為什么叫AppFlow����,是有一個區別����,Flow這個是技術最初是又思科公司發明的�,名叫NetFlow����,NetFlow是一種數據交換方式��,其工作原理是:NetFlow利用標準的交換模式處理數據流的第一個IP包數據����,生成NetFlow 緩存����,隨后同樣的數據基于緩存信息在同一個數據流中進行傳輸����,不再匹配相關的訪問控制等策略�,NetFlow緩存同時包含了隨后數據流的統計信息�。NetFlow能夠看到的信息都是比較簡單的��,比如源地址��,目的地址�����,源端口���,目的端口等這些基本信息��。但是對于Web訪問來說我們是需要看到更多的東西的��,包括URL��、目錄��、瀏覽器等等�,當然最主要是能夠看見ICA協議里面的這些東西�����。所以Citrix基于Flow���,開發擴展了AppFlow����。
接下來我們介紹多因素認證的一些東西�����。大家在之前可能覺得NetScaler在多因素認證這一塊有點弱��,弱在什么地方����?比如說用戶希望用戶認證之后看到不同的UI界面���,在版本11之前我的實現方式是比較麻煩的�����,因為大家可能知道��,NetScaler對認證����,包括登錄界面以及登錄后的界面�����,都是放置在一起的����。那么對于新的NeScaler 11來說�,這一塊來說就有Dynamic Auth Flow���、有Extensible to any number��、Policy based decisions�����、EPA based selection�、UI generation usingLoginSchema等�����。EPA based selection是需要對終端進行掃描之后最決定是否允許接入���,特別是UI generation usingLoginSchema�,我們可以根據認證用戶的不同權限來顯示不同的UI�����。當然這個功能如果我們有軟件環境�,比如StoreFront��,那么我們直接就可以實現�����,但是這宮功能主要是用來使用于沒有這類軟件的場景下���,而且用戶有需要這個功能����。
同時認證這一塊還支持SAML的模式�,SAML即安全聲明標記語言�����,英文全稱是Security AssertionMarkup Language�。它是一個基于XML的標準���,用于在不同的安全域(security domain)之間交換認證和授權數據����。在SAML標準定義了身份提供者(identity provider)和服務提供者(service provider)�����,這兩者構成了前面所說的不同的安全域����。雖然SAML認證對于版本11來講并不是一個新的東西��,但是會有一些提升���,包括對SAML的SingleLogout��、Redirect Binding等等���,具體可以查看上圖所述的信息���。如果現有有用戶需要使用SAML這樣的認證場景下���,NetScaler可以很好的滿足他的需要了�����。
如上圖�,版本11還推出了一個新的功能���,GSLB Zone Preference���。GSLB 是英文Global Server LoadBalance的縮寫���,意思是全局負載均衡�����。作用:實現在廣域網(包括互聯網)上不同地域的服務器間的流量調配���,保證使用最佳的服務器服務離自己最近的客戶��,從而確保訪問質量�。NetScaler的GSLB功能在部署Gateway的時候���,在以前的部署場景中很少有集成在以前使用的�。同時在local DNS中���,GSLB的Site選擇會有一個問題��,這個問題是LDNS issue�,在一些場景下LDNS issue會變得非常的大���。比方說我們在聯通的網絡當中��,我可能使用了LDNS���,在選擇路徑的時候可能并不是一個最佳的路徑�����。在這種情況下面����,如果我們有多個數據中心的Citrix虛擬桌面環境�����,那么在StoreFront當中���,所產生的ICA協議文件給到用戶這邊的��,可能會有沖突或者或者說不正確����。結果是���,用戶使用LDNS訪問虛擬桌面�����,雖然用戶在訪問的前端使用了NetScaler的GSLB選擇了一臺優選的路徑去訪問��,但是StoreFron并沒有去選擇一條優選的路徑或者沒有去選擇正確的后臺數據中心���,實際上就導致整個訪問的體驗并不好�����。那么用戶不得不手動去調整一個正確是配置或者選擇最優的路徑去訪問����。
我們通過下面的圖片來詳細解釋下這個問題:
在這張圖上�����,用戶在華盛頓特區�,它的LDNS屬于San Jose��。LDNS如果是San Jose的話����,在后端的數據中心中�,一個是屬于San jose�,如圖�。另一個是New York����。那么通過GSLB���,GSLB是通過查看用戶本地的LDNS的IP來判斷選擇最優路徑���。因為用戶的LDNS是San Jose�����,俺么正常情況下用戶就應該去和那個文的是San jose的虛擬桌面����。
如圖��,這個時候通過GSLB判斷出來了�,用戶成功去訪問到了San Jose的數據中心的Citrix NetScaler服務Gateway����。不管是使用動態的就近雙方也好還是靜態的就近雙方也好����,反正是正常的給出了san jose的一個地址��。那么連接到gateway之后呢�?問題就在于StoreFront了��。StoreFront去連接DDC(Desktop DeliveryController)�����,最后DDC給出了可用的虛擬桌面信息�����,包括IP地址以及登錄憑據等等�����。
如圖所示���,如果StoreFront是去New York的DDC去拿的虛擬桌面信息����,那么最終用戶的虛擬桌面訪問就成了這樣子:
那么這明顯是一個不友好的使用體驗����。
針對這個問題的解決的方案就是在版本11中��,針對于GSLB和StoreFront做了一個聯動的方式來解決這個問題�����,這就是GSLB Zone Preference功能��。那么具體是怎么實現的呢��?
首先在GSLB來講�����,選擇一個GSLB的selection��,在圖上�,最右邊有三個數據中心��,在右上角有一臺StoreFront���。
比如此時GSLB選擇1����,在這當中GSLB會去檢查一下三個數據中心的對應關系�����。
然后將請求的數據交給StoreFront�,此時���,NetScaler的GSLB已經把優選的數據中心的IP地址寫入到了給出的數據中����,告訴StoreFront應該選擇后端的那個IP地址����。
然后StoreFront再去優選的數據中心向里面的DDC請求虛擬桌面的認證信息以及生成ICA文件所需的信息�。
拿到所需信息生成ICA文件之后���,StoreFront將其返回給到NetScaler��,NetScale了返回到用戶���。
對于用戶來講��,本地Citrix Receiver解析ICA文件之后�����,就直接訪問優選的數據中心的虛擬桌面即可�����。
那么有了這個解決方案之后�����,我們再遇到類似GSLB和Gateway集成的時候���,就可以使用這個解決方案完美解決上述存在的問題了�。
在Gateway的最后��,介紹最后一個功能�����,即RDP代理���。
在配置當中專門有針對于RDP的一個策略����,我們在這個策略中可以對RDP協議做如上圖所示的這樣一些優化��。那么為什么會有這樣一個功能呢��?我們知道傳統的RDP發布到外網都是通過防火墻做NAT端口映射����。這樣存在的一個問題就是RDP協議本身有漏洞�����,那么***就可以使用RDP協議很輕易的***進入我們的內網�,使用NetScaler版本11的RDP代理�����,我們可以面免去這樣帶來的被***的風險����。
