CitrixNetScaler11的新功能-Mast

前言

今天著重看下Citrix NetScaler 11有哪些新的功能。這些功能有哪些是屬于比較振奮人心的功能，同時就這些功能來講，哪些是我們可能給到用戶的解決方案當(dāng)中能夠成為一個比較獨特的亮點。而落地來說，就需要我們的渠道合作伙伴利用這些功能在測試和集成過程當(dāng)中產(chǎn)生一些最佳實踐。

專業(yè)成都網(wǎng)站建設(shè)公司，做排名好的好網(wǎng)站，排在同行前面，為您帶來客戶和效益!創(chuàng)新互聯(lián)公司為您提供成都網(wǎng)站建設(shè)，五站合一網(wǎng)站設(shè)計制作，服務(wù)好的網(wǎng)站設(shè)計公司，成都做網(wǎng)站、成都網(wǎng)站制作負責(zé)任的成都網(wǎng)站制作公司!

今天的Master Class由我一個人獨立進行講解，國外是分三個講師分別來介紹NetScaler 11的三個維度的功能。

如上圖所示，我們可以看到三個維度的圖示，今天的講解主要是從這三個維度Unified Gateway（統(tǒng)一網(wǎng)關(guān)）、Telco（電信網(wǎng)絡(luò)）以及Core ADC（應(yīng)用交付）來講述NetScaler 11的更新。

UnifiedGateway（統(tǒng)一網(wǎng)關(guān)）

首先我們從Unified Gateway（統(tǒng)一網(wǎng)關(guān)）開始來講解NetScaler產(chǎn)品在這一部分的更新。Unified Gateway（統(tǒng)一網(wǎng)關(guān)）是在NetScaler 11版本才出現(xiàn)的新的名稱。實質(zhì)上在之前，這個功能的名稱叫做Access Gateway，簡稱AG；到后來變?yōu)镹etScaler Gateway，現(xiàn)在在版本11中稱為Unified Gateway。名字一直在變化，但是變化總是有它的意義。那么這個Unified Gateway在什么地方體現(xiàn)出來呢？我們先來看下面這張圖：

在這張圖我們可以看見，在Unified Gateway這個維度下，除了Unified Gateway本身之外，還新增加了Smart Comtrol功能、Portal Customization、N-factor Authentiartion、Gateway Insight、GSLB Zone Preference。我們這部分會這種介紹這6個功能。在介紹之前，我們先來看一個解決方案：

對于這個解決方案來說，相信各位都配置Gateway這一塊，那么我們可以看見，實際上在Citrix NetScaler Gateway或者是Citrix Access Gateway當(dāng)中，我們可以配置如上的一些配置或者說應(yīng)用。包括我們對其做ADC的交付，我們做一個傳統(tǒng)的SSL ×××，做一個Micro ×××接入（Micro ×××用于Citrix XenMobile解決方案當(dāng)中）以及虛擬桌面和應(yīng)用的ICA交付等等。那么在大家配置的時候不知道是否遇見過一些場景，會有一些比較麻煩的地方，比如說一個用戶的場景里面，他需要有兩個SSL ×××的vServer，即要求有一些普通的SSL ×××撥入，同時又需要發(fā)布Citrix XenApp/XenDesktop的ICA Proxy，如果在有可能的情況下，用戶還購買了Citrix XenMobile的解決方案，還需要Micro ×××的接入。那么這時候來講，通常情況下我們會怎么做？我們一般會要求用戶給出三個不同該FQDN，然后每個FQDN來講，每個FQDN會綁定到一個NetScaler的vServer上。在這樣的配置環(huán)境下，用戶訪問的時候可能會有這樣的抱怨：無法做SSO（單點登錄）！用戶在訪問SSL ×××的時候需要輸入一個域名，隨后在登錄界面需要輸入用戶名和密碼，在訪問虛擬桌面的時候又再需要輸入另一個域名，隨后在登錄界面又再需要輸入用戶名和密碼。

這樣相對來說可能也比較麻煩，在新的Unified Gateway里面來講，如上圖，大家可以看到，在NetScaler里面會有一個統(tǒng)一的URL，這個統(tǒng)一的URL后面惡魔可以看到，有很多的不同類型的業(yè)務(wù)應(yīng)用；我們通過這個統(tǒng)一和URL在對外發(fā)布的情況下，只需要這個統(tǒng)一的URL就可以了。這樣就非常好的解決了SSO的問題，我們只需要一個UI，這個UI給到我們之后，我們只需要登錄一次，就可以訪問在URL之后的這些不同的業(yè)務(wù)應(yīng)用類型，而且基于SSO，我們不再需要輸入用戶名和密碼。實質(zhì)是就是通過URL的方式實現(xiàn)了SSO的模式。如果采用NetScaler 11的這個新功能，在碰見類似的混合部署的場景，我們就可以通過統(tǒng)一URL的方式撥入進來，實現(xiàn)不同類型的發(fā)布應(yīng)用直接的訪問。這個功能是我們介紹的第一個功能，也屬于NetScaler 11的一個亮點。

那么基于Unified Gateway這樣的一個新的特性或者說行新的功能，對于用戶來說就有這三個提升。第一個提升對于用戶來講就是使用的體驗，整體上的使用體驗會比原來的使用體驗效果好，我們會在后面繼續(xù)接受具體好在什么地方；第二點來說，就是更加的安全；第三點對于用戶來說就是對于方案的整合靈活性比較大，主要是應(yīng)用于多個數(shù)據(jù)中心。比如典型的兩地三中心的數(shù)據(jù)災(zāi)備架構(gòu)。

對于提升用戶體驗來說，我們知道NetScaler的Gateway毋庸置疑大部分都是基于Citrix XenApp/XenDesktop的場景。但是還存在說用戶只用來進行SSL ×××的功能使用，那么就有著這樣的一種趨勢，在NetScaler中存在著專門的一個plug-in來對應(yīng)這種場景。這個plug-in就是SSL ×××的客戶端。在之前的老版本中其實曾經(jīng)停止更新過一段時間，并且這個plug-in僅僅是基于Windows的一個插件。同時我接到一些用戶的反饋來說，在NetScaler版本10中還無法使用。并且如果用戶是在非Citrix的場景下部署這樣的一個解決方案，并且需要使用移動終端來訪問的話，以前是沒有這個plug-in的，解決方案必須是這個Gateway外加自己的軟件，這個Gateway才能夠在移動終端跑起來?，F(xiàn)在在版本11當(dāng)中，專門針對移動的場景提供了Unified Gateway的移動端的plug-in，即時在后端不是Citrix的情況下，也提供了這樣的plug-in。在這里為什么強調(diào)Citrix，是因為我們在后端是Citrix的系統(tǒng)軟件的情況下，我們只需要在移動終端上安裝Citrix Receiver即可。如果是XenMobile就是Worx Home了，這些都是基于Citrix的。同時如果我們使用的是Windows 10來訪問，目前NetScaler 10.5還不支持Windows 10的plug-in，還需要升級到NetScaler 11才行。

第二點針對提升用戶體驗來說，會有一個完全的定制化的界面。我們知道在部署Gateway的時候，用戶或者或少都會有一些定制化的要求，主要來講的話就是針對于登錄界面的這個UI的定制化。在NetScaer 11當(dāng)中針對這樣的需要，做了一個非常大的一個改進，第一個大的改進就是做了一個主題。在默認中會有三個不同的主題來供用戶進行選擇。

同時如上圖所示，我們可以明顯看出這是一張被用戶完全進行自定義修改了的登錄界面。這個界面當(dāng)中所有標(biāo)識的部分都可以進行定制化。原來的界面當(dāng)中也就只能夠修改部分的界面設(shè)置。那么現(xiàn)在來講，基本上我們眼睛能夠看到的地方，都能夠進行定制化。以前修改的化還需要修改html代碼以及css等，現(xiàn)在全部開放出來的話對于渠道商以及供應(yīng)商來講，就節(jié)省了很多時間，特別是針對于對美工不是太懂的部署實施工程師來說。

在這里我們可以通過添加一個主題的方式，在這個主題當(dāng)中我們就可以做這樣一個定制化的修改，包括你在主題當(dāng)中需要去調(diào)用的一些背景。上述是在用戶是體驗這一塊進行的一些介紹，接下來我們介紹一些對安全性提升的方面。

在安全領(lǐng)域來講，在NetScaler 11當(dāng)中我們添加了一個新的功能，名稱叫做SmartControl。在之前，大家可能都知道NetScaler有一個功能叫做SmartAccess。SmartAccess從NetScaler已經(jīng)實施部署的大部分用戶調(diào)查來看，應(yīng)用的并不多。SmartAccess本身是一個特別好的功能，但是在實施的時候，需要兩邊都部署。在NetScaler上我們需要去配置策略，在軟件的后端還需要配置一個相應(yīng)的策略。Unified Gateway默認工作在ICA Proxy模式下，但是在SSL ×××的環(huán)境下，有兩種工作模式：一種是透明工作模式，另一種是代理模式或者叫做TCP代理模式。我們回來繼續(xù)說ICA Proxy，只有Citrix的NetScaler Gateway才能夠看得懂在Citrix想的ICA協(xié)議當(dāng)中32個通道里面的內(nèi)容。問題在于NetScaler采取什么方式來對ICA協(xié)議的32個子通道進行開關(guān)呢？原來是通過SmartAccess來做這樣的一個事情。實際上在新的版本11當(dāng)中，你會發(fā)現(xiàn)一個比較有趣的事情就是，你會發(fā)現(xiàn)除了Gateway下面原有的會話策略之外，還多了一個ICA策略。ICA策略就是用來專門做這件事情的，包括你可以選擇那些用戶是可以完全控制的形式來訪問后面的資源，那些是需要被限制訪問的。包括拷貝、打印以及細到你在打開的Word里面可不可以允許你復(fù)制粘貼等等。那么SmartCotrol就是這個功能的總稱了。

如果我們能夠使用SmartCotrol在NetScaler上配置之后來實現(xiàn)并簡化部署這些功能的話，這無疑大大提高用戶的訪問和配置的最佳實踐。并且，這個功能為什么要獨立出來稱為這個名稱呢？就是因為出來ICA策略之外，SmartCotrol還可以對SSL ×××的訪問也做這樣的控制，這是其他任何SSL設(shè)備都無法做到的事情。

同時對于NetScaler的安全性來講，還有一方面是，NetScaler對于可視化的這樣一個解決方案。我們知道目前市面有很多的可視化的解決方案，在這些可視化的解決方案當(dāng)中，無非就是NPM或者是APM以及BPM。針對于這些可視化的解決方案來說，他們存在的最大的一個問題就是，如果您的環(huán)境跑了Citrix環(huán)境的流量的話，那么這些可視化解決方案針對于Citrix是沒有效果的，因為這些軟件看不懂Citrix的ICA協(xié)議內(nèi)容，有些可視化的供應(yīng)商會強制是在Citrix的軟件層，比如說DDC以及StoreFront里面安裝一個Agent，通過這個Agent拉出來一些東西，在傳送到她們的整個報表手機引擎當(dāng)中，由此來形成一個報表。但是這種方式方法根據(jù)我們最近的幾個案例，用戶都是覺得得不償失的，甚至于在有些用戶的場景的當(dāng)中已經(jīng)出了故障，闖了禍。另外一個方面，Citrix對于自身交付的產(chǎn)品本身就提供了可視化的解決方案。在這一塊來說對用戶最具有吸引力的就是在做桌面交付的時候，Citrix提供的HDX Insight的可視化解決方案。

這個解決方案首先是針對于Citrix自己的環(huán)境，第二對于用戶來說非常的簡單，部署的時候只需要訪問NetScaler。NetScaler上面開啟數(shù)據(jù)收集的功能將其上傳到報表生成的引擎即可。如果用戶的環(huán)境沒有這樣的報表生成工具，那么Citrix還提供了專門的工具--Insight Center。目前來說是基于虛擬化底層做好的一個虛擬機。用戶只需要下載導(dǎo)入，簡單配置即可使用。Insight Center當(dāng)中用戶可以看到目前的ICA當(dāng)中狀態(tài)怎么樣，流量多大。比如說在實施一些VDI項目的時候，過了一段時間用戶反映變慢，那么就需要一款軟件去分析到底慢在什么地方。之前來講，大家都是拿性能測試工具去看，去測試，大部分都是瞎子摸象，有些用戶甚至請了一些APM廠家的人過來做分析。但是分析出來的結(jié)果可能不盡如人意?，F(xiàn)在有了Insight Center一切就變得非常的清楚，可能用戶變慢的話，用戶忙在什么地方一目了然。并且報表非常簡單，很容易就看得懂。同時還可以和數(shù)據(jù)挖掘的一些軟件整合，比如說Splunk。

對于NetScaler可視化，用戶的訪問行為流程是如何實現(xiàn)可視化的。對于用戶來說，用戶的請求首先發(fā)送到gateway，gateway將其轉(zhuǎn)發(fā)到后臺的業(yè)務(wù)系統(tǒng)，比如是Citrix的環(huán)境。在數(shù)據(jù)經(jīng)過NetScaler的時候，NetScaler會做一個操作，將是將這些數(shù)據(jù)以AppFlow的方式發(fā)送到Insight Center當(dāng)中，在Insight Center當(dāng)中，存在著兩個Insight，一個是基于HDX的Insight，一個基于Web的Insight。HDX的Insight的話是針對Citrix的虛擬桌面以及應(yīng)用的，它會將基于Citrix的這些數(shù)據(jù)吐出來發(fā)送到Insight Center。Web的Insight是基于Web的應(yīng)用的數(shù)據(jù)都可以吐出來發(fā)送到Insight Center。Insight Center在版本11當(dāng)中也有一個較大的提升。在使用可視化的時候，最為關(guān)鍵的是需要在NetScaler上的服務(wù)AppFlow勾選上，在10.5的時候，這個功能默認就是打開的，我們不用的時候建議就將其關(guān)閉掉。

那么在Insight Center上我們可以看見什么東西？如上圖，我們可以看見網(wǎng)絡(luò)的信息，這個是比較重要的信息，這個對于用戶來講，用戶也可以將其集成到NPM的解決方案當(dāng)中，NPM是一種網(wǎng)絡(luò)性能監(jiān)控的解決方案，在網(wǎng)絡(luò)當(dāng)中安裝探針，探針會將數(shù)據(jù)的流量發(fā)送到數(shù)據(jù)的收集端，收集端會將其進行分析之后生成報表。在Citrix當(dāng)中，NetScaler就充當(dāng)了這個探針，然后我們通過AppFlow的方式將流量吐出來做這個事情。為什么叫AppFlow，是有一個區(qū)別，F(xiàn)low這個是技術(shù)最初是又思科公司發(fā)明的，名叫NetFlow，NetFlow是一種數(shù)據(jù)交換方式，其工作原理是：NetFlow利用標(biāo)準(zhǔn)的交換模式處理數(shù)據(jù)流的第一個IP包數(shù)據(jù)，生成NetFlow緩存，隨后同樣的數(shù)據(jù)基于緩存信息在同一個數(shù)據(jù)流中進行傳輸，不再匹配相關(guān)的訪問控制等策略，NetFlow緩存同時包含了隨后數(shù)據(jù)流的統(tǒng)計信息。NetFlow能夠看到的信息都是比較簡單的，比如源地址，目的地址，源端口，目的端口等這些基本信息。但是對于Web訪問來說我們是需要看到更多的東西的，包括URL、目錄、瀏覽器等等，當(dāng)然最主要是能夠看見ICA協(xié)議里面的這些東西。所以Citrix基于Flow，開發(fā)擴展了AppFlow。

接下來我們介紹多因素認證的一些東西。大家在之前可能覺得NetScaler在多因素認證這一塊有點弱，弱在什么地方？比如說用戶希望用戶認證之后看到不同的UI界面，在版本11之前我的實現(xiàn)方式是比較麻煩的，因為大家可能知道，NetScaler對認證，包括登錄界面以及登錄后的界面，都是放置在一起的。那么對于新的NeScaler 11來說，這一塊來說就有Dynamic Auth Flow、有Extensible to any number、Policy based decisions、EPA based selection、UI generation usingLoginSchema等。EPA based selection是需要對終端進行掃描之后最決定是否允許接入，特別是UI generation usingLoginSchema，我們可以根據(jù)認證用戶的不同權(quán)限來顯示不同的UI。當(dāng)然這個功能如果我們有軟件環(huán)境，比如StoreFront，那么我們直接就可以實現(xiàn)，但是這宮功能主要是用來使用于沒有這類軟件的場景下，而且用戶有需要這個功能。

同時認證這一塊還支持SAML的模式，SAML即安全聲明標(biāo)記語言，英文全稱是Security AssertionMarkup Language。它是一個基于XML的標(biāo)準(zhǔn)，用于在不同的安全域(security domain)之間交換認證和授權(quán)數(shù)據(jù)。在SAML標(biāo)準(zhǔn)定義了身份提供者(identity provider)和服務(wù)提供者(service provider)，這兩者構(gòu)成了前面所說的不同的安全域。雖然SAML認證對于版本11來講并不是一個新的東西，但是會有一些提升，包括對SAML的SingleLogout、Redirect Binding等等，具體可以查看上圖所述的信息。如果現(xiàn)有有用戶需要使用SAML這樣的認證場景下，NetScaler可以很好的滿足他的需要了。

如上圖，版本11還推出了一個新的功能，GSLB Zone Preference。GSLB是英文Global Server LoadBalance的縮寫，意思是全局負載均衡。作用：實現(xiàn)在廣域網(wǎng)（包括互聯(lián)網(wǎng)）上不同地域的服務(wù)器間的流量調(diào)配，保證使用最佳的服務(wù)器服務(wù)離自己最近的客戶，從而確保訪問質(zhì)量。NetScaler的GSLB功能在部署Gateway的時候，在以前的部署場景中很少有集成在以前使用的。同時在local DNS中，GSLB的Site選擇會有一個問題，這個問題是LDNS issue，在一些場景下LDNS issue會變得非常的大。比方說我們在聯(lián)通的網(wǎng)絡(luò)當(dāng)中，我可能使用了LDNS，在選擇路徑的時候可能并不是一個最佳的路徑。在這種情況下面，如果我們有多個數(shù)據(jù)中心的Citrix虛擬桌面環(huán)境，那么在StoreFront當(dāng)中，所產(chǎn)生的ICA協(xié)議文件給到用戶這邊的，可能會有沖突或者或者說不正確。結(jié)果是，用戶使用LDNS訪問虛擬桌面，雖然用戶在訪問的前端使用了NetScaler的GSLB選擇了一臺優(yōu)選的路徑去訪問，但是StoreFron并沒有去選擇一條優(yōu)選的路徑或者沒有去選擇正確的后臺數(shù)據(jù)中心，實際上就導(dǎo)致整個訪問的體驗并不好。那么用戶不得不手動去調(diào)整一個正確是配置或者選擇最優(yōu)的路徑去訪問。

我們通過下面的圖片來詳細解釋下這個問題：

在這張圖上，用戶在華盛頓特區(qū)，它的LDNS屬于San Jose。LDNS如果是San Jose的話，在后端的數(shù)據(jù)中心中，一個是屬于San jose，如圖。另一個是New York。那么通過GSLB，GSLB是通過查看用戶本地的LDNS的IP來判斷選擇最優(yōu)路徑。因為用戶的LDNS是San Jose，俺么正常情況下用戶就應(yīng)該去和那個文的是San jose的虛擬桌面。

如圖，這個時候通過GSLB判斷出來了，用戶成功去訪問到了San Jose的數(shù)據(jù)中心的Citrix NetScaler服務(wù)Gateway。不管是使用動態(tài)的就近雙方也好還是靜態(tài)的就近雙方也好，反正是正常的給出了san jose的一個地址。那么連接到gateway之后呢？問題就在于StoreFront了。StoreFront去連接DDC（Desktop DeliveryController），最后DDC給出了可用的虛擬桌面信息，包括IP地址以及登錄憑據(jù)等等。

如圖所示，如果StoreFront是去New York的DDC去拿的虛擬桌面信息，那么最終用戶的虛擬桌面訪問就成了這樣子：

那么這明顯是一個不友好的使用體驗。

針對這個問題的解決的方案就是在版本11中，針對于GSLB和StoreFront做了一個聯(lián)動的方式來解決這個問題，這就是GSLB Zone Preference功能。那么具體是怎么實現(xiàn)的呢？

首先在GSLB來講，選擇一個GSLB的selection，在圖上，最右邊有三個數(shù)據(jù)中心，在右上角有一臺StoreFront。

比如此時GSLB選擇1，在這當(dāng)中GSLB會去檢查一下三個數(shù)據(jù)中心的對應(yīng)關(guān)系。

然后將請求的數(shù)據(jù)交給StoreFront，此時，NetScaler的GSLB已經(jīng)把優(yōu)選的數(shù)據(jù)中心的IP地址寫入到了給出的數(shù)據(jù)中，告訴StoreFront應(yīng)該選擇后端的那個IP地址。

然后StoreFront再去優(yōu)選的數(shù)據(jù)中心向里面的DDC請求虛擬桌面的認證信息以及生成ICA文件所需的信息。

拿到所需信息生成ICA文件之后，StoreFront將其返回給到NetScaler，NetScale了返回到用戶。

對于用戶來講，本地Citrix Receiver解析ICA文件之后，就直接訪問優(yōu)選的數(shù)據(jù)中心的虛擬桌面即可。

那么有了這個解決方案之后，我們再遇到類似GSLB和Gateway集成的時候，就可以使用這個解決方案完美解決上述存在的問題了。

在Gateway的最后，介紹最后一個功能，即RDP代理。

在配置當(dāng)中專門有針對于RDP的一個策略，我們在這個策略中可以對RDP協(xié)議做如上圖所示的這樣一些優(yōu)化。那么為什么會有這樣一個功能呢？我們知道傳統(tǒng)的RDP發(fā)布到外網(wǎng)都是通過防火墻做NAT端口映射。這樣存在的一個問題就是RDP協(xié)議本身有漏洞，那么***就可以使用RDP協(xié)議很輕易的***進入我們的內(nèi)網(wǎng)，使用NetScaler版本11的RDP代理，我們可以面免去這樣帶來的被***的風(fēng)險。

標(biāo)題名稱：CitrixNetScaler11的新功能-Mast
文章鏈接：http://muchs.cn/article32/ihgepc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供移動網(wǎng)站建設(shè)、品牌網(wǎng)站制作、網(wǎng)站建設(shè)、小程序開發(fā)、品牌網(wǎng)站建設(shè)、商城網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)