溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

Citrix NetScaler 11的新功能 - Mast

發(fā)布時間:2020-07-13 15:40:50 來源:網(wǎng)絡(luò) 閱讀:1767 作者:tasnrh 欄目:數(shù)據(jù)安全


前言

今天著重看下Citrix NetScaler 11有哪些新的功能。這些功能有哪些是屬于比較振奮人心的功能,同時就這些功能來講,哪些是我們可能給到用戶的解決方案當(dāng)中能夠成為一個比較獨特的亮點。而落地來說,就需要我們的渠道合作伙伴利用這些功能在測試和集成過程當(dāng)中產(chǎn)生一些最佳實踐。

今天的Master Class由我一個人獨立進(jìn)行講解,國外是分三個講師分別來介紹NetScaler 11的三個維度的功能。

Citrix NetScaler 11的新功能 - Mast

如上圖所示,我們可以看到三個維度的圖示,今天的講解主要是從這三個維度Unified Gateway(統(tǒng)一網(wǎng)關(guān))、Telco(電信網(wǎng)絡(luò))以及Core ADC(應(yīng)用交付)來講述NetScaler 11的更新。



UnifiedGateway(統(tǒng)一網(wǎng)關(guān))

首先我們從Unified Gateway(統(tǒng)一網(wǎng)關(guān))開始來講解NetScaler產(chǎn)品在這一部分的更新。Unified Gateway(統(tǒng)一網(wǎng)關(guān))是在NetScaler 11版本才出現(xiàn)的新的名稱。實質(zhì)上在之前,這個功能的名稱叫做Access Gateway,簡稱AG;到后來變?yōu)?/span>NetScaler Gateway,現(xiàn)在在版本11中稱為Unified Gateway。名字一直在變化,但是變化總是有它的意義。那么這個Unified Gateway在什么地方體現(xiàn)出來呢?我們先來看下面這張圖:

Citrix NetScaler 11的新功能 - Mast

在這張圖我們可以看見,在Unified Gateway這個維度下,除了Unified Gateway本身之外,還新增加了Smart Comtrol功能、Portal CustomizationN-factor Authentiartion、Gateway InsightGSLB Zone Preference。我們這部分會這種介紹這6個功能。在介紹之前,我們先來看一個解決方案:

Citrix NetScaler 11的新功能 - Mast

對于這個解決方案來說,相信各位都配置Gateway這一塊,那么我們可以看見,實際上在Citrix NetScaler Gateway或者是Citrix Access Gateway當(dāng)中,我們可以配置如上的一些配置或者說應(yīng)用。包括我們對其做ADC的交付,我們做一個傳統(tǒng)的SSL ×××,做一個Micro ×××接入(Micro ×××用于Citrix XenMobile解決方案當(dāng)中)以及虛擬桌面和應(yīng)用的ICA交付等等。那么在大家配置的時候不知道是否遇見過一些場景,會有一些比較麻煩的地方,比如說一個用戶的場景里面,他需要有兩個SSL ×××vServer,即要求有一些普通的SSL ×××撥入,同時又需要發(fā)布Citrix XenApp/XenDesktopICA Proxy,如果在有可能的情況下,用戶還購買了Citrix XenMobile的解決方案,還需要Micro ×××的接入。那么這時候來講,通常情況下我們會怎么做?我們一般會要求用戶給出三個不同該FQDN,然后每個FQDN來講,每個FQDN會綁定到一個NetScalervServer上。在這樣的配置環(huán)境下,用戶訪問的時候可能會有這樣的抱怨:無法做SSO(單點登錄)!用戶在訪問SSL ×××的時候需要輸入一個域名,隨后在登錄界面需要輸入用戶名和密碼,在訪問虛擬桌面的時候又再需要輸入另一個域名,隨后在登錄界面又再需要輸入用戶名和密碼。

Citrix NetScaler 11的新功能 - Mast

這樣相對來說可能也比較麻煩,在新的Unified Gateway里面來講,如上圖,大家可以看到,在NetScaler里面會有一個統(tǒng)一的URL,這個統(tǒng)一的URL后面惡魔可以看到,有很多的不同類型的業(yè)務(wù)應(yīng)用;我們通過這個統(tǒng)一和URL在對外發(fā)布的情況下,只需要這個統(tǒng)一的URL就可以了。這樣就非常好的解決了SSO的問題,我們只需要一個UI,這個UI給到我們之后,我們只需要登錄一次,就可以訪問在URL之后的這些不同的業(yè)務(wù)應(yīng)用類型,而且基于SSO,我們不再需要輸入用戶名和密碼。實質(zhì)是就是通過URL的方式實現(xiàn)了SSO的模式。如果采用NetScaler 11的這個新功能,在碰見類似的混合部署的場景,我們就可以通過統(tǒng)一URL的方式撥入進(jìn)來,實現(xiàn)不同類型的發(fā)布應(yīng)用直接的訪問。這個功能是我們介紹的第一個功能,也屬于NetScaler 11的一個亮點。

那么基于Unified Gateway這樣的一個新的特性或者說行新的功能,對于用戶來說就有這三個提升。第一個提升對于用戶來講就是使用的體驗,整體上的使用體驗會比原來的使用體驗效果好,我們會在后面繼續(xù)接受具體好在什么地方;第二點來說,就是更加的安全;第三點對于用戶來說就是對于方案的整合靈活性比較大,主要是應(yīng)用于多個數(shù)據(jù)中心。比如典型的兩地三中心的數(shù)據(jù)災(zāi)備架構(gòu)。

Citrix NetScaler 11的新功能 - Mast

對于提升用戶體驗來說,我們知道NetScalerGateway毋庸置疑大部分都是基于Citrix XenApp/XenDesktop的場景。但是還存在說用戶只用來進(jìn)行SSL ×××的功能使用,那么就有著這樣的一種趨勢,在NetScaler中存在著專門的一個plug-in來對應(yīng)這種場景。這個plug-in就是SSL ×××的客戶端。在之前的老版本中其實曾經(jīng)停止更新過一段時間,并且這個plug-in僅僅是基于Windows的一個插件。同時我接到一些用戶的反饋來說,在NetScaler版本10中還無法使用。并且如果用戶是在非Citrix的場景下部署這樣的一個解決方案,并且需要使用移動終端來訪問的話,以前是沒有這個plug-in的,解決方案必須是這個Gateway外加自己的軟件,這個Gateway才能夠在移動終端跑起來?,F(xiàn)在在版本11當(dāng)中,專門針對移動的場景提供了Unified Gateway的移動端的plug-in,即時在后端不是Citrix的情況下,也提供了這樣的plug-in。在這里為什么強(qiáng)調(diào)Citrix,是因為我們在后端是Citrix的系統(tǒng)軟件的情況下,我們只需要在移動終端上安裝Citrix Receiver即可。如果是XenMobile就是Worx Home了,這些都是基于Citrix的。同時如果我們使用的是Windows 10來訪問,目前NetScaler 10.5還不支持Windows 10plug-in,還需要升級到NetScaler 11才行。

Citrix NetScaler 11的新功能 - Mast

第二點針對提升用戶體驗來說,會有一個完全的定制化的界面。我們知道在部署Gateway的時候,用戶或者或少都會有一些定制化的要求,主要來講的話就是針對于登錄界面的這個UI的定制化。在NetScaer 11當(dāng)中針對這樣的需要,做了一個非常大的一個改進(jìn),第一個大的改進(jìn)就是做了一個主題。在默認(rèn)中會有三個不同的主題來供用戶進(jìn)行選擇。

Citrix NetScaler 11的新功能 - Mast

同時如上圖所示,我們可以明顯看出這是一張被用戶完全進(jìn)行自定義修改了的登錄界面。這個界面當(dāng)中所有標(biāo)識的部分都可以進(jìn)行定制化。原來的界面當(dāng)中也就只能夠修改部分的界面設(shè)置。那么現(xiàn)在來講,基本上我們眼睛能夠看到的地方,都能夠進(jìn)行定制化。以前修改的化還需要修改html代碼以及css等,現(xiàn)在全部開放出來的話對于渠道商以及供應(yīng)商來講,就節(jié)省了很多時間,特別是針對于對美工不是太懂的部署實施工程師來說。

Citrix NetScaler 11的新功能 - Mast

在這里我們可以通過添加一個主題的方式,在這個主題當(dāng)中我們就可以做這樣一個定制化的修改,包括你在主題當(dāng)中需要去調(diào)用的一些背景。上述是在用戶是體驗這一塊進(jìn)行的一些介紹,接下來我們介紹一些對安全性提升的方面。

Citrix NetScaler 11的新功能 - Mast

在安全領(lǐng)域來講,在NetScaler 11當(dāng)中我們添加了一個新的功能,名稱叫做SmartControl。在之前,大家可能都知道NetScaler有一個功能叫做SmartAccess。SmartAccessNetScaler已經(jīng)實施部署的大部分用戶調(diào)查來看,應(yīng)用的并不多。SmartAccess本身是一個特別好的功能,但是在實施的時候,需要兩邊都部署。在NetScaler上我們需要去配置策略,在軟件的后端還需要配置一個相應(yīng)的策略。Unified Gateway默認(rèn)工作在ICA Proxy模式下,但是在SSL ×××的環(huán)境下,有兩種工作模式:一種是透明工作模式,另一種是代理模式或者叫做TCP代理模式。我們回來繼續(xù)說ICA Proxy,只有Citrix NetScaler Gateway才能夠看得懂在Citrix想的ICA協(xié)議當(dāng)中32個通道里面的內(nèi)容。問題在于NetScaler采取什么方式來對ICA協(xié)議的32個子通道進(jìn)行開關(guān)呢?原來是通過SmartAccess來做這樣的一個事情。實際上在新的版本11當(dāng)中,你會發(fā)現(xiàn)一個比較有趣的事情就是,你會發(fā)現(xiàn)除了Gateway下面原有的會話策略之外,還多了一個ICA策略。ICA策略就是用來專門做這件事情的,包括你可以選擇那些用戶是可以完全控制的形式來訪問后面的資源,那些是需要被限制訪問的。包括拷貝、打印以及細(xì)到你在打開的Word里面可不可以允許你復(fù)制粘貼等等。那么SmartCotrol就是這個功能的總稱了。

Citrix NetScaler 11的新功能 - Mast

如果我們能夠使用SmartCotrolNetScaler上配置之后來實現(xiàn)并簡化部署這些功能的話,這無疑大大提高用戶的訪問和配置的最佳實踐。并且,這個功能為什么要獨立出來稱為這個名稱呢?就是因為出來ICA策略之外,SmartCotrol還可以對SSL ×××的訪問也做這樣的控制,這是其他任何SSL設(shè)備都無法做到的事情。

Citrix NetScaler 11的新功能 - Mast

同時對于NetScaler的安全性來講,還有一方面是,NetScaler對于可視化的這樣一個解決方案。我們知道目前市面有很多的可視化的解決方案,在這些可視化的解決方案當(dāng)中,無非就是NPM或者是APM以及BPM。針對于這些可視化的解決方案來說,他們存在的最大的一個問題就是,如果您的環(huán)境跑了Citrix環(huán)境的流量的話,那么這些可視化解決方案針對于Citrix是沒有效果的,因為這些軟件看不懂CitrixICA協(xié)議內(nèi)容,有些可視化的供應(yīng)商會強(qiáng)制是在Citrix的軟件層,比如說DDC以及StoreFront里面安裝一個Agent,通過這個Agent拉出來一些東西,在傳送到她們的整個報表手機(jī)引擎當(dāng)中,由此來形成一個報表。但是這種方式方法根據(jù)我們最近的幾個案例,用戶都是覺得得不償失的,甚至于在有些用戶的場景的當(dāng)中已經(jīng)出了故障,闖了禍。另外一個方面,Citrix對于自身交付的產(chǎn)品本身就提供了可視化的解決方案。在這一塊來說對用戶最具有吸引力的就是在做桌面交付的時候,Citrix提供的HDX Insight的可視化解決方案。

這個解決方案首先是針對于Citrix自己的環(huán)境,第二對于用戶來說非常的簡單,部署的時候只需要訪問NetScaler。NetScaler上面開啟數(shù)據(jù)收集的功能將其上傳到報表生成的引擎即可。如果用戶的環(huán)境沒有這樣的報表生成工具,那么Citrix還提供了專門的工具--Insight Center。目前來說是基于虛擬化底層做好的一個虛擬機(jī)。用戶只需要下載導(dǎo)入,簡單配置即可使用。Insight Center當(dāng)中用戶可以看到目前的ICA當(dāng)中狀態(tài)怎么樣,流量多大。比如說在實施一些VDI項目的時候,過了一段時間用戶反映變慢,那么就需要一款軟件去分析到底慢在什么地方。之前來講,大家都是拿性能測試工具去看,去測試,大部分都是瞎子摸象,有些用戶甚至請了一些APM廠家的人過來做分析。但是分析出來的結(jié)果可能不盡如人意。現(xiàn)在有了Insight Center一切就變得非常的清楚,可能用戶變慢的話,用戶忙在什么地方一目了然。并且報表非常簡單,很容易就看得懂。同時還可以和數(shù)據(jù)挖掘的一些軟件整合,比如說Splunk

Citrix NetScaler 11的新功能 - Mast

對于NetScaler可視化,用戶的訪問行為流程是如何實現(xiàn)可視化的。對于用戶來說,用戶的請求首先發(fā)送到gatewaygateway將其轉(zhuǎn)發(fā)到后臺的業(yè)務(wù)系統(tǒng),比如是Citrix的環(huán)境。在數(shù)據(jù)經(jīng)過NetScaler的時候,NetScaler會做一個操作,將是將這些數(shù)據(jù)以AppFlow的方式發(fā)送到Insight Center當(dāng)中,在Insight Center當(dāng)中,存在著兩個Insight,一個是基于HDXInsight,一個基于WebInsight。HDXInsight的話是針對Citrix的虛擬桌面以及應(yīng)用的,它會將基于Citrix的這些數(shù)據(jù)吐出來發(fā)送到Insight Center。WebInsight是基于Web的應(yīng)用的數(shù)據(jù)都可以吐出來發(fā)送到Insight Center。Insight Center在版本11當(dāng)中也有一個較大的提升。在使用可視化的時候,最為關(guān)鍵的是需要在NetScaler上的服務(wù)AppFlow勾選上,在10.5的時候,這個功能默認(rèn)就是打開的,我們不用的時候建議就將其關(guān)閉掉。

Citrix NetScaler 11的新功能 - Mast

那么在Insight Center上我們可以看見什么東西?如上圖,我們可以看見網(wǎng)絡(luò)的信息,這個是比較重要的信息,這個對于用戶來講,用戶也可以將其集成到NPM的解決方案當(dāng)中,NPM是一種網(wǎng)絡(luò)性能監(jiān)控的解決方案,在網(wǎng)絡(luò)當(dāng)中安裝探針,探針會將數(shù)據(jù)的流量發(fā)送到數(shù)據(jù)的收集端,收集端會將其進(jìn)行分析之后生成報表。在Citrix當(dāng)中,NetScaler就充當(dāng)了這個探針,然后我們通過AppFlow的方式將流量吐出來做這個事情。為什么叫AppFlow,是有一個區(qū)別,Flow這個是技術(shù)最初是又思科公司發(fā)明的,名叫NetFlow,NetFlow是一種數(shù)據(jù)交換方式,其工作原理是:NetFlow利用標(biāo)準(zhǔn)的交換模式處理數(shù)據(jù)流的第一個IP包數(shù)據(jù),生成NetFlow 緩存,隨后同樣的數(shù)據(jù)基于緩存信息在同一個數(shù)據(jù)流中進(jìn)行傳輸,不再匹配相關(guān)的訪問控制等策略,NetFlow緩存同時包含了隨后數(shù)據(jù)流的統(tǒng)計信息。NetFlow能夠看到的信息都是比較簡單的,比如源地址,目的地址,源端口,目的端口等這些基本信息。但是對于Web訪問來說我們是需要看到更多的東西的,包括URL、目錄、瀏覽器等等,當(dāng)然最主要是能夠看見ICA協(xié)議里面的這些東西。所以Citrix基于Flow,開發(fā)擴(kuò)展了AppFlow

Citrix NetScaler 11的新功能 - Mast

接下來我們介紹多因素認(rèn)證的一些東西。大家在之前可能覺得NetScaler在多因素認(rèn)證這一塊有點弱,弱在什么地方?比如說用戶希望用戶認(rèn)證之后看到不同的UI界面,在版本11之前我的實現(xiàn)方式是比較麻煩的,因為大家可能知道,NetScaler對認(rèn)證,包括登錄界面以及登錄后的界面,都是放置在一起的。那么對于新的NeScaler 11來說,這一塊來說就有Dynamic Auth Flow、有Extensible to any numberPolicy based decisions、EPA based selectionUI generation usingLoginSchema等。EPA based selection是需要對終端進(jìn)行掃描之后最決定是否允許接入,特別是UI generation usingLoginSchema,我們可以根據(jù)認(rèn)證用戶的不同權(quán)限來顯示不同的UI。當(dāng)然這個功能如果我們有軟件環(huán)境,比如StoreFront,那么我們直接就可以實現(xiàn),但是這宮功能主要是用來使用于沒有這類軟件的場景下,而且用戶有需要這個功能。

Citrix NetScaler 11的新功能 - Mast

同時認(rèn)證這一塊還支持SAML的模式,SAML即安全聲明標(biāo)記語言,英文全稱是Security AssertionMarkup Language。它是一個基于XML的標(biāo)準(zhǔn),用于在不同的安全域(security domain)之間交換認(rèn)證和授權(quán)數(shù)據(jù)。在SAML標(biāo)準(zhǔn)定義了身份提供者(identity provider)和服務(wù)提供者(service provider),這兩者構(gòu)成了前面所說的不同的安全域。雖然SAML認(rèn)證對于版本11來講并不是一個新的東西,但是會有一些提升,包括對SAMLSingleLogout、Redirect Binding等等,具體可以查看上圖所述的信息。如果現(xiàn)有有用戶需要使用SAML這樣的認(rèn)證場景下,NetScaler可以很好的滿足他的需要了。

Citrix NetScaler 11的新功能 - Mast

如上圖,版本11還推出了一個新的功能,GSLB Zone Preference。GSLB 是英文Global Server LoadBalance的縮寫,意思是全局負(fù)載均衡。作用:實現(xiàn)在廣域網(wǎng)(包括互聯(lián)網(wǎng))上不同地域的服務(wù)器間的流量調(diào)配,保證使用最佳的服務(wù)器服務(wù)離自己最近的客戶,從而確保訪問質(zhì)量。NetScalerGSLB功能在部署Gateway的時候,在以前的部署場景中很少有集成在以前使用的。同時在local DNS中,GSLBSite選擇會有一個問題,這個問題是LDNS issue,在一些場景下LDNS issue會變得非常的大。比方說我們在聯(lián)通的網(wǎng)絡(luò)當(dāng)中,我可能使用了LDNS,在選擇路徑的時候可能并不是一個最佳的路徑。在這種情況下面,如果我們有多個數(shù)據(jù)中心的Citrix虛擬桌面環(huán)境,那么在StoreFront當(dāng)中,所產(chǎn)生的ICA協(xié)議文件給到用戶這邊的,可能會有沖突或者或者說不正確。結(jié)果是,用戶使用LDNS訪問虛擬桌面,雖然用戶在訪問的前端使用了NetScalerGSLB選擇了一臺優(yōu)選的路徑去訪問,但是StoreFron并沒有去選擇一條優(yōu)選的路徑或者沒有去選擇正確的后臺數(shù)據(jù)中心,實際上就導(dǎo)致整個訪問的體驗并不好。那么用戶不得不手動去調(diào)整一個正確是配置或者選擇最優(yōu)的路徑去訪問。

我們通過下面的圖片來詳細(xì)解釋下這個問題:

Citrix NetScaler 11的新功能 - Mast

在這張圖上,用戶在華盛頓特區(qū),它的LDNS屬于San Jose。LDNS如果是San Jose的話,在后端的數(shù)據(jù)中心中,一個是屬于San jose,如圖。另一個是New York。那么通過GSLB,GSLB是通過查看用戶本地的LDNSIP來判斷選擇最優(yōu)路徑。因為用戶的LDNSSan Jose,俺么正常情況下用戶就應(yīng)該去和那個文的是San jose的虛擬桌面。

Citrix NetScaler 11的新功能 - Mast

如圖,這個時候通過GSLB判斷出來了,用戶成功去訪問到了San Jose的數(shù)據(jù)中心的Citrix NetScaler服務(wù)Gateway。不管是使用動態(tài)的就近雙方也好還是靜態(tài)的就近雙方也好,反正是正常的給出了san jose的一個地址。那么連接到gateway之后呢?問題就在于StoreFront了。StoreFront去連接DDCDesktop DeliveryController),最后DDC給出了可用的虛擬桌面信息,包括IP地址以及登錄憑據(jù)等等。

Citrix NetScaler 11的新功能 - Mast

如圖所示,如果StoreFront是去New YorkDDC去拿的虛擬桌面信息,那么最終用戶的虛擬桌面訪問就成了這樣子:

Citrix NetScaler 11的新功能 - Mast

那么這明顯是一個不友好的使用體驗。

針對這個問題的解決的方案就是在版本11中,針對于GSLBStoreFront做了一個聯(lián)動的方式來解決這個問題,這就是GSLB Zone Preference功能。那么具體是怎么實現(xiàn)的呢?

首先在GSLB來講,選擇一個GSLBselection,在圖上,最右邊有三個數(shù)據(jù)中心,在右上角有一臺StoreFront。

Citrix NetScaler 11的新功能 - Mast

比如此時GSLB選擇1,在這當(dāng)中GSLB會去檢查一下三個數(shù)據(jù)中心的對應(yīng)關(guān)系。

Citrix NetScaler 11的新功能 - Mast

然后將請求的數(shù)據(jù)交給StoreFront,此時,NetScalerGSLB已經(jīng)把優(yōu)選的數(shù)據(jù)中心的IP地址寫入到了給出的數(shù)據(jù)中,告訴StoreFront應(yīng)該選擇后端的那個IP地址。

Citrix NetScaler 11的新功能 - Mast

然后StoreFront再去優(yōu)選的數(shù)據(jù)中心向里面的DDC請求虛擬桌面的認(rèn)證信息以及生成ICA文件所需的信息。

Citrix NetScaler 11的新功能 - Mast

拿到所需信息生成ICA文件之后,StoreFront將其返回給到NetScaler,NetScale了返回到用戶。

Citrix NetScaler 11的新功能 - Mast

對于用戶來講,本地Citrix Receiver解析ICA文件之后,就直接訪問優(yōu)選的數(shù)據(jù)中心的虛擬桌面即可。

Citrix NetScaler 11的新功能 - Mast

那么有了這個解決方案之后,我們再遇到類似GSLBGateway集成的時候,就可以使用這個解決方案完美解決上述存在的問題了。

Gateway的最后,介紹最后一個功能,即RDP代理。

Citrix NetScaler 11的新功能 - Mast

在配置當(dāng)中專門有針對于RDP的一個策略,我們在這個策略中可以對RDP協(xié)議做如上圖所示的這樣一些優(yōu)化。那么為什么會有這樣一個功能呢?我們知道傳統(tǒng)的RDP發(fā)布到外網(wǎng)都是通過防火墻做NAT端口映射。這樣存在的一個問題就是RDP協(xié)議本身有漏洞,那么***就可以使用RDP協(xié)議很輕易的***進(jìn)入我們的內(nèi)網(wǎng),使用NetScaler版本11RDP代理,我們可以面免去這樣帶來的被***的風(fēng)險。


向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI