Administration aus der Cloud

von Jan Hendrik Meier

IT-Verantwortliche verbinden mit der Bezeichnung Cloud die Auslagerung von Workloads aus dem eigenen Unternehmen zu einem Cloudanbieter. Mit dem "Virtual Apps & Desktops Service" hingegen stellt Citrix nur die Verwaltungs- und Zugriffskomponenten einer Virtual-Apps-&-Desktops-Umgebung aus der Wolke bereit. In diese lassen sich sowohl On-Premises- als auch Cloud-Workloads einbinden. Wir zeigen die Konfiguration und Einsatzmöglichkeiten auf.

evor wir uns den "Citrix Virtual Apps & Desktops Service", kurz CVAD, einmal genauer anschauen, ein kurzer Hinweis: An vielen Stellen, auch nachfolgend, finden Sie die Bezeichnung "Citrix Cloud". Anders als es der Name vermuten lässt, handelt es sich hierbei nicht um eine klassische Cloud wie Azure, AWS oder Google Cloud, auf der Sie Ihre eigenen VMs betreiben, sondern um Software-as-a-Service. Sie greifen also auf Software zu, die Citrix betreibt und aktualisiert – wie den CVAD-Service –, und führen hierüber die Administration durch.

Administratoren, die mehrere CVAD-Umgebungen lokal für Entwicklung, Produktion und Test – gegebenenfalls auch noch in mehreren Rechenzentren – betreiben, wissen, dass sie hierfür meistens jeweils eine eigene CVAD-Site bereitstellen müssen. Hierzu gehören zumindest die Delivery Controller und die entsprechenden Datenbanken. Je nach Anforderung sind zusätzlich Systeme für StoreFront und Lizenzverwaltung notwendig. Jede dieser Sites muss separat aktualisiert, konfiguriert und gewartet werden. Bei Nutzung des CVAD-Services übernimmt Citrix die entsprechenden Updates.

Komponenten als Service

Bei der Verteilung einer Site über mehrere Zonen hinweg sind außerdem separate Delivery Controller pro Site nötig. Schauen wir uns die CVAD-Services an, stellen wir fest, dass sich das Konzept hier geändert hat. Lautete die Empfehlung, insbesondere für größere Umgebungen mit verteilten Rechenzentren, mehrere Sites bereitzustellen, gibt es im CVAD-Service nur noch eine Site. Alles, was grundsätzlich zum Betrieb der Site benötigt wird, stellt Citrix als Dienst bereit. Hierzu zählen die Delivery Controller, Datenbanken, der Lizenzserver und die StoreFront-Systeme. Standardmäßig gehören hierzu allerdings nicht die Workload-Systeme, also Virtual Delivery Agents (VDA), auf denen die Benutzer arbeiten. Diese müssen Sie selbst in sogenannten Ressourcenlokationen bereitstellen. Hierbei ist es egal, ob es sich bei einer Ressourcenlokation um ein eigenes Rechenzentrum, ein gemietetes Rechenzentrum oder einen öffentlichen Cloudanbieter handelt.

Dabei kommt die Frage auf, wie Citrix dann die dort jeweils vorhandenen Hypervisoren anspricht und sicherstellt, dass die Latenz zwischen VDA und Delivery Controller in der Cloud nicht zu hoch ist. Gerade dies war in verteilten Umgebungen, wenn der Delivery Controller nicht im gleichen Rechenzentrum wie der VDA platziert war, oft ein Problem. Damit sich die lokalen Hypervisoren weiterhin ansprechen lassen, ohne dass diese direkt aus dem Internet erreichbar sein müssen, sind in der jeweiligen Ressourcenlokation Citrix-Cloud-Connectoren gefragt.

Abhängig von den Anforderungen würde hier in der einen oder anderen Umgebung bereits ein Cloud-Connector ausreichen, aus Ausfallgründen sollten Sie aber immer mindestens zwei Connectoren bereitstellen. Hierbei handelt es sich um eine Windows-VM. Auch diese muss nicht direkt aus der Cloud erreichbar sein, sondern sie baut ausgehend eine Verbindung über Port 443 zu den Virtual-Apps-&-Desktops-Services in der Citrix-Cloud auf. Wer jetzt befürchtet, er muss bei jeder Änderung in der Citrix-Cloud die Cloud-Connectoren aktualisieren, kann beruhigt sein.

Die Aktualisierung der Cloud-Connectoren erfolgt automatisch, sobald dies notwendig ist. Damit es hierbei nicht zu Ausfällen kommt, wird immer nur ein Cloud-Connector in der jeweiligen Ressourcenlokation aktualisiert. Erst wenn die Aktualisierung vollständig abgeschlossen ist und der Cloud-Connector wieder eine fehlerfreie Verbindung hat, folgt das Update des nächsten. Sie benötigen die Cloud-Connectoren in jeder Ressourcenlokation, unabhängig davon, ob es sich um eine On-Premises-Lokation oder einen öffentlichen Cloudanbieter handelt.

Ressourcen bereitstellen

Sobald Sie die Ressourcenlokation erfolgreich mit der Citrix-Cloud verbunden haben, gilt es, entsprechende Ressourcen in der Lokation bereitzustellen und für die Benutzer zu veröffentlichen. Derzeit stehen Ihnen hierfür zwei Verwaltungskonsolen zur Verfügung: Zum einen das klassische Studio, das Sie vielleicht bereits von On-Premises-Installationen kennen, und zum anderen ein aktuelles Webstudio. Im Letzteren sind allerdings noch nicht alle Funktionalitäten des klassischen Studios abgebildet, sodass vereinzelte Tätigkeiten weiterhin dort erfolgen müssen. Wie bei einer lokalen Installation legen Sie jetzt die entsprechenden Hosting-Verbindungen für die Maschinenkataloge an. Es gilt hierbei, den entsprechenden Hypervisor beziehungsweise Cloudanbieter auszuwählen, die Verbindungs- und Authentifizierungsdaten einzutragen und die Zone anzugeben.

Bei den Zonen handelt es sich um die vorher erstellten Verbindungen mit den Cloud-Connectoren. Die weiteren Schritte entsprechen der Konfiguration, die Sie von einer On-Premises-Umgebung gewohnt sind. Sobald die Verbindung steht, legen Sie die Maschinenkataloge mit den VDAs an und weisen den Benutzern die Applikationen und Desktops über die Delivery-Gruppen zu. Für die Bereitstellung der Maschinen können Sie weiterhin alle gewohnten Mechanismen nutzen. Exemplarisch seien hier die Citrix Machine Creation Services, Citrix Remote PC, also die Einbindung physikalischer Clients, und Citrix Provisioning genannt.

Langzeitversion und Current Release parallel

Prinzipiell stehen Ihnen für Ihre Citrix-Umgebung zwei Updatepfade zur Verfügung: Long Term Service Release (LTSR) oder Current Release (CR). Beide Varianten haben ihre Vor- und Nachteile und jedes Unternehmen muss für sich bewerten, welche Aspekte wichtiger sind. Auch wenn viele Umgebungen auf das LTSR setzen, für das Citrix lange Support-Zeiträume anbietet, wird hierbei oftmals vergessen, dass es auch für die LTSR-Versionen entsprechende Cumulative Updates gibt, die regelmäßig installiert werden sollten. Ansonsten kann es einem im Fehlerfall passieren, dass Sie kurzfristig noch das entsprechende Update ausrollen müssen – sei es, weil der Fehler in diesem bereits behoben ist oder aber ein Hotfix nur für das aktuelle Cumulative Update zur Verfügung steht.

Prinzipiell spielt es keine Rolle, ob Sie auf dem VDA die LTSR- oder die CR-Version installieren. Die Clouddienste wie etwa der Delivery Controller sind immer auf dem aktuellen Stand und unterstützen alle VDA-Versionen, die offiziell supportet werden. Dies ermöglicht es Ihnen, dass Sie für Bereiche, die hohe Stabilität und weniger neue Funktionen erfordern, die LTSR-Version nutzen können. In anderen Bereichen hingegen, die neue Funktionalitäten erfordern, bietet sich die CR-Version an. Zwar ist dies theoretisch auch bei einer reinen On-Premises-Installation möglich, in diesem Fall müssen Sie aber immer die Delivery Controller und Co mit aktualisieren, da es ansonsten passieren kann, dass zum Beispiel Richtlinien nicht die gewünschten Effekte haben. Auch im Support-Fall gilt Ihre Umgebung dann nicht als konform und muss zunächst auf die CR- oder LTSR-Version vereinheitlicht werden.

User-Authentifizierung

Der Benutzer verbindet sich jetzt schließlich mit der Citrix-Workspace-App mit der vorher konfigurierten Umgebung. Nach der erfolgreichen Authentifizierung sieht dieser alle ihm zugewiesenen Anwendungen und Desktops – egal, ob sich diese über mehrere lokale Rechenzentren beziehungsweise Cloudanbieter verteilen. Dies ist an dieser Stelle für den Benutzer komplett intransparent und er kann einfach auf die von ihm benötigten Ressourcen zugreifen.

Unkritische Anwendungen lassen sich dann zum Beispiel bei einem beliebigen Cloudanbieter bereitstellen, besonders vertrauliche Daten und Anwendungen hingegen kommen weiter aus dem eigenen Rechenzentrum. Für Sie als Admin hingegen bedeutet dies, dass Sie sich nur noch um eine Umgebung für die Verwaltung kümmern müssen. Dem Helpdesk steht, wie on-premises auch, der Citrix Director zur Verfügung.

Bevor der Benutzer Zugriff auf die eigenen Ressourcen erhalten soll, ist es natürlich erst einmal notwendig, dass er sich entsprechend authentifiziert. Sie können hierfür zwischen den nachfolgend aufgeführten Authentifizierungsmethoden wählen. Zum Zeitpunkt der Erstellung des Artikels befanden sich hiervon noch einige im Tech-Preview, waren also noch nicht final verfügbar. Dies kann sich inzwischen bereits geändert haben. Daneben werden die Möglichkeiten kontinuierlich erweitert:

- Actice Directory + TOTP

- Azure Active Directory

Wollte der Benutzer in der Vergangenheit von außerhalb des Unternehmensnetzwerkes, etwa aus dem Home Office, auf die veröffentlichten Desktops oder Anwendungen zugreifen, musste er entweder zusätzlich eine VPN-Verbindung konfigurieren oder konnte über ein Citrix-Gateway auf die enstprechenden Ressourcen zugreifen. Bei Nutzung des CVAD-Services gibt es noch eine weitere Möglichkeit: die Gateway-Services. Citrix stellt hierzu an verschiedensten Lokationen auf der Welt entsprechende Zugangspunkte bereit.

Der Benutzer verbindet sich dann mit diesen, die abhängig von der Konfiguration entweder über die Cloud-Connectoren oder direkt eine Verbindung zu den VDAs aufbauen. Natürlich müssen die VDAs hierfür nicht direkt aus dem Internet erreichbar sein. Stattdessen bauen sie, wie die Cloud-Connectoren, eine ausgehende Verbindung zu den CVAD-Services auf. Für jede Ressourcenlokation können Sie dabei separat einstellen, ob die Gateway-Services oder ein klassisches, selbst verwaltetes Gateway zum Einsatz kommen sollen.

Bestehende Konfigurationen übernehmen

Haben Sie bereits eine On-Premises-Umgebung aufwendig konfiguriert, dürften Sie sich vermutlich die Frage stellen, wie Sie die Konfiguration am einfachsten in die CVAD-Services übernehmen. Citrix stellt hierfür das Tool "Automated Configuration for Citrix Virtual Apps and Desktops" [1] bereit. Mit diesem können Sie Konfigurationen einer lokalen Site exportieren und in die CVAD-Services importieren. Es ist nicht notwendig, die komplette Konfiguration zu importieren, sondern Sie können zum Beispiel auch nur die Policies importieren oder die Delivery-Gruppen aus dem Import ausschließen. Alternativ lässt sich auch die Konfiguration eines Cloud-Tenants exportieren und in einen anderen importieren. Der Import in eine andere On-Premises-Installation ist allerdings nicht möglich.

Nutzen Sie abschließend den Citrix Workspace Environment Manager, benötigt dieser vor Ort ebenfalls eine eigene Verwaltungsinfrastruktur mit entsprechender Datenbank. Mit den CVAD-Services hingegen stehen Ihnen auch die WEM-Infrastrukturserver (Workspace Environment Management) in der Cloud zur Verfügung und Sie müssen sich nicht um die entsprechenden Updates kümmern.

Abschließend sei noch erwähnt, dass, sobald die entsprechenden CVAD-Services genutzt werden, Sie über die Integration weiterer Dienste unter anderem SaaS-Anwendungen mit Single-Sign-on und entsprechender Absicherung mit einbinden können.

Fazit

Die Citrix Virtual Apps & Desktops Services ermöglichen es auf einfache Weise, Workloads aus dem eigenen Rechenzentrum zu einem Cloudanbieter zu verlagern. Besonders sensible Daten oder Legacy-Applikationen können dennoch auch dauerhaft im eigenen Rechenzentrum betrieben werden. Für den Benutzer ist dies völlig intransparent – ihm werden alle zugewiesenen Ressourcen, egal ob on-premises oder Cloud, in der Workspace App angezeigt.

Mit dem Configuration Tool stellt Citrix dabei eine einfache Möglichkeit bereit, um vorhandene Virtual-Apps-&-Desktops-Umgebungen in den Service zu migrieren. Die selektive Übernahme einer bestehenden Konfiguration vereinfacht dem Administrator das Leben dabei deutlich. Auch die Pflege der Infrastruk-turkomponenten entfällt und es gilt nur noch, den VDA zu aktualisieren. Somit sinkt auch das Risiko von Ausfällen oder Störungen bei entsprechenden Site-Upgrades oder -Updates.