Citrix XenApp

Материал из Национальной библиотеки им. Н. Э. Баумана
Последнее изменение этой страницы: 19:25, 16 июня 2018.
XenApp
Xen logo.svg.png
Xenapp.JPG
Разработчики: Citrix Systems, Inc.
Постоянный выпуск: 7.6
Операционная система: Microsoft Windows
Тип ПО: Application virtualization
Лицензия: Proprietary
Веб-сайт www.citrix.com

XenApp – решение позволяет вам устанавливать и настраивать приложения на серверах, а затем обращаться к установленным приложениям без необходимости устанавливать что-либо на устройствах клиента через клиентское программное обеспечение Citrix. Вся обработка завершается сервером XenApp. Citrix, использующий протокол для всего процесса в инфраструктуре citrix под названием Independent Computing Architecture (ICA) и пользователи, похоже, что приложение работает как локально в операционной системе своего клиента. XenApp также работает над публикацией рабочего стола сервера и предоставлением пользователям полной среды Windows на сервере, а также доступом к приложениям, установленным на нем. Он называется Hosted Shared Desktop.[Источник 1]

Принцип работы

Принцип работы Citrix XenApp

Снаружи всегда SSL/TLS. На приведенной слева диаграмме обратите внимание, что трафик StoreFront (или веб-интерфейс) - это HTTPS, а трафик ICA от приемника Citrix к шлюзу - все они защищены TLS. Снаружи все давно используют алгоритмы, одобренные FIPS (обычно TLS/AES). В Citrix Receivers не было изменено ни одной строки кода, чтобы включить функцию; приемники долгое время говорили на правильном языке безопасности. Это также означает, что нет необходимости обновлять приемники, чтобы использовать SSL для VDA; могут быть другие веские причины для обновления приемников, но получение TLS не является одним из них, получатели уже знают, как это сделать.

Внутри, поддержка FIPS в XenDesktop и XenApp исторически потребовала дополнительной работы, такой как развертывание IPsec во внутренней сети или использование отдельных компонентов уровня приложения, таких как Citrix SSL Relay. FIPS TLS/AES в/из преобразования ICA происходит изнутри внутри VDA без необходимости в дополнительных компонентах и ​​конфигурации.

SSL-реле

В XenApp 6.x и обратно в Presentation Server для передачи SSL в ICA и ICA на SSL была использована функция с именем SSL Relay. Приложение SSL Relay (.exe) было загружено на серверы XenApp и будет прослушивать входящую беседу на порту SSL (443), а также при получении, расшифровке и повторной передаче на localhost:1494/2598, где код ICA получит его. Это работает и любезно предоставлено приложением SSL Relay, никогда не было необходимости научить стек ICA говорить TLS.

Плохое переключение каналов

Кольцевой переход - это когда код передает границу из пользовательского режима в режим ядра или наоборот. На компьютерах Intel/Windows это дорогостоящая операция. Поскольку SSL Relay является исполняемым файлом пользователя, когда в сеть входит зашифрованный сетевой трафик, стек Microsoft TCP получает данные (в режиме ядра) и передает его в пространство пользователя для обработки (циклический переход). Процесс SSL Relay принимает пакет, расшифровывает и передает пакет в ICA-код на localhost:1494/2598. Это локальная машина, поэтому она близка. Но передача осуществляется через стек TCP, который находится в ядре, поэтому система переходит обратно в пространство ядра (кольцевой переход). Стек TCP получает пакет и передает его в стек ICA, который также находится в ядре (по крайней мере, тот, который был рядом), и, наконец, данные могут быть проверены на предмет использования ICA. Я потерял счетчик числа кольцевых переходов, но есть «много». Эта серия шагов выполняется для каждого пакета! Есть миллионы пакетов! Это даже при 3GHz.

SSL в VDA

Превосходное решение пропускает кольцевые переходы. Пакеты прибывают в режим ядра, передаются VDA в режиме ядра, где VDA расшифровывает/шифрует и передает пакет в стек ICA, также в режиме ядра. Счетчик переходов по кольцу = 0. Функция «SSL to VDA» в версии 7.6 обеспечивает эту возможность.

HTTPS в VDA

Стек ICA говорит о нескольких слоях. Протокол ICA в ядре (1494); он заключен в более сложный протокол CGP (2598), затем HTTP-протокол websockets (только для приемника с поддержкой HTML5) и, наконец, SSL/TLS (443) перед передачей по TCP/IP.

До 7.6 каждый из этих элементов находился в отдельном драйвере устройства, а часть SSL находилась в пользовательском режиме. Цепочка драйвера-стека данных tdwsk.sys, tdcgp.sys и tdhtml5.sys между собой. С добавлением TLS в родной микс, сложность была установлена, поскольку в цепочке должен был быть еще один драйвер. Вместо этого все было заменено одним новым драйвером TDICA.sys, который отвечает за все переходы протокола, включая поддержку TLS/SSL.

Ключевым моментом является то, что теперь все в одном месте, активность обработки пакетов, зашифрованных или не зашифрованных, выполняется с помощью локальных вызовов функций. Никаких кольцевых переходов, никаких перемещений между драйверами. Конечный результат равен «эффективному».

Дополнительным преимуществом является то, что драйвер HTML5, который используется клиентами Chrome Receiver, получает «надежность сеанса» от драйвера CGP. CGP использовался за пределами HTTPS (HyperText Transfer Protocol Secure)-пути к ICA, теперь он находится.

Цель SECURE - эффективный бонус

Эффективный трафик TLS/AES является отличным, но реальная цель является безопасной и, в частности, поощряет использование одобренных FIPS алгоритмов и использует проверенные крипто модули внутри центра обработки данных. Мы также хотим сделать «FIPS Compliance» «легче», чтобы стимулировать использование TLS в коммерческих помещениях, а не только для федерального федерального бюджета.

Теперь, когда TLS реализован в стеке ICA, SSL Relay больше не используется, и IPsec больше не требуется. На старых серверах Presentation Server, XenApp 4, 5 или 6 или более поздних версиях XenDesktop все конфигурации теперь имеют путь внутри и за пределами центра обработки данных с использованием одобренных FIPS алгоритмов.

Конфигурация администратора

Использование SSL/TLS за пределами центра обработки данных уже давно является «стандартным». У администраторов есть большой опыт настройки веб-серверов (StoreFront, Web Interface), установка сертификатов, настройка брандмауэров и поддержка HTTPS. Ничто здесь не изменилось.

Администраторы также имеют большой опыт настройки безопасного доступа к NetScaler Gateway. Установите сертификат на шлюз, как правило, из общего ЦС, приемники Citrix вне корпоративной сети могут обратиться к шлюзу и поговорить с SSL/TLS/AES. Опять же, ничего здесь не изменилось.

Решения Citrix также знали, как говорить TLS/AES с самого начала. Они могут разговаривать как с шлюзом, так и во внутреннем случае, непосредственно с сессиями внутри центра обработки данных, и они знают, как это сделать, поскольку, по крайней мере, Presentation Server 4 (2004). Они все еще делают. Это означает, что использование TLS внутри центра обработки данных не требует обновления Citrix Receivers.

Установка сертификата на терминальных серверах

С терминальными серверами XenApp 6.x или даже с возвратом на Presentation Server сертификаты устанавливаются на терминальных серверах, а клиенты и шлюзы подключаются через SSL/TLS, где SSL Relay будет использоваться для преобразования TLS в ICA для обработки хостинговым сеансом. Здесь количество терминальных серверов сравнительно невелико (10 с, 100 с), и установка сертификатов обычно является одноразовой работой. С сертификатами на месте, все говорит надежно, и жизнь счастлива.

Когда количество терминальных серверов больше, это делает управление ИТ и финансовое право использовать центр сертификации компании для выдачи сертификатов. Active Directory также может помочь.

Установка сертификата на рабочих станциях VDA

Что нового с SSL для VDA, расширяющего внедрение TLS внутри, так это то, что XenDesktop может иметь множество «серверов». «Сервер» может быть терминальным сервером (XenApp) или размещенной рабочей станцией (XenDesktop), и каждому VDA нужен собственный сертификат для безопасной связи на основе TLS. Если количество рабочих станций составляет ... 10 000, установка сертификатов - это нетривиальная проблема, требующая автоматизации.

В последующем сообщении мои коллеги рассмотрят, как настроить XenApp и XenDesktop 7.6 с помощью TLS снаружи и внутри центра обработки данных, включая описания распространения сертификата; конфигурации VDA для использования сертификатов и как сообщить брокеру о размещении соединений на основе TLS.[Источник 2]

Классификация Citrix XenApp

  • Fundamentals

Специальная редакция, предназначенная для организаций с количеством пользователей до 75. Обладает базовыми возможностями по виртуализации и доставке Windows-приложений на широкий спектр устройств.

  • Advanced

Содержит базовые технологии для доставки Windows-приложений и интеграции со средой пользователя. Редакция обеспечивает доступ к приложениям через web-интерфейс и распределение нагрузки между серверами.

  • Enterprise

Включает функционал редакции Advanced и дополнительные средства потоковой доставки и изоляции приложений.

  • Platinum

Всеобъемлющая система для доставки Windows-приложений. Имеет весь функционал редакции Enterprise, а также дополнительные возможности, повышающие безопасность и мобильность, и необходимые для управления производительностью.

Возможности

Централизованное хранение данных

Все файлы, с которыми работают пользователи, находятся в центре обработки данных, централизованно и в любой момент могут быть восстановлены и использованы, например, в случае потери ноутбука сотрудником.

Шифрованный доступ к приложениям

XenApp поддерживает шифрование TLS (Transport Layer Security), Secure Socket Layer (SSL), Advanced Encryption Standards (AES), что обеспечивает защищенное подключение к приложениям. Доставка приложений пользователям происходит по протоколу HTTPS.

SSL VPN доступ в корпоративную сеть Доступ из интернета к корпоративным приложениям может быть зашифрован с помощью SSL VPN. Данные продукты выступают в качестве прокси-серверов, которые позволяют полностью обезопасить внутреннюю сеть предприятия.

Единый пароль

Имеется единая точка входа и единый пароль для доступа ко всем корпоративным приложениям. Поддержка Active Directory, Active Directory Federation Services, Novell eDirectory, Kerberos, Radius протокола, Поддержка аутентификации RSA SecureID и SafeWord Secure Computing tokens, CAC (Common Access Card).

Запись сессий пользователя

Функция, позволяющая администратору записывать на видео сессии пользователя.

Платформы

Доступ из интернет-браузера

Получить доступ к опубликованным приложениям можно из любого браузера подключившись к Web интерфейсу Citrix XenApp, который поддерживает большое количество языков, включая русский.

Доступ из Windows, Linux и Mac OS

Citrix online plug-in - программа, разработанная для запуска опубликованных приложений на различных операционных системах персональных компьютеров: DOS, Windows XP, Vista, Windows 7, Mac OS X, Linux, Unix, IBM OS/2 Warp.

Доступ с тонких клиентов, планшетов и смартфонов

Citrix online plug-in - это программа, разработанная для запуска опубликованных приложений на различных операционных системах мобильных устройств: Windows mobile, iPad, iPhone, Android, Java, Blackberry, EPOC/Symbian OS.

Виртуализация с помощью XenApp

Виртуализации приложений

Технология виртуализации приложений Citrix изолирует приложения от базовой операционной системы и от других приложений, чтобы повысить совместимость и управляемость. Эта технология виртуализации приложений позволяет транслировать приложения из централизованного расположения в среду изоляции, в которой они будут выполняться. Приложения не установлены в традиционном смысле. Файлы, настройки и настройки приложения копируются на целевое устройство. При выполнении время выполнения приложения полагает, что оно напрямую взаимодействует с операционной системой, когда на самом деле оно взаимодействует с средой виртуализации, которая проксирует все запросы к операционной системе.

XenApp является полной системой доставки виртуальных приложений, предлагая как онлайн, так и офлайн-доступ приложений через комбинацию хостинга приложений и потоковой передачи приложений непосредственно на пользовательские устройства. Когда пользователи запрашивают приложение, XenApp определяет, совместимо ли их устройство и может ли оно запускать соответствующее приложение.

Виртуализации сеансов

Виртуализация сеанса использует потоковое приложение для доставки приложений на серверы хостинга в центре обработки данных. Затем XenApp соединяет пользователя с сервером, на который было отправлено приложение. Пользователь взаимодействует с приложением удаленно. В то время как виртуализация приложений ограничена операционными системами на базе Windows, виртуализация сеансов через XenApp позволяет любому пользователю в любой операционной системе получать доступ к любому приложению, предоставляемому ИТ. В результате XenApp позволяет Windows, Mac, Linux, iOS и Android устройствам запускать любые приложения, используя виртуализацию сеансов. Кроме того, виртуализация сеанса использует серверную вычислительную мощность, которая освобождает ИТ от бесконечного цикла обновления аппаратных средств ПК, которые часто необходимы для поддержки обновлений приложений при использовании традиционных методов развертывания приложений.[Источник 3]


Использование виртуализации приложений и виртуализации сеансов

В виртуализации приложений и виртуализации сеансов взаимодействие с приложением осуществляется без проблем. Принтеры, диски, периферийные устройства и даже буфер обмена работают точно так же. В результате XenApp снижает затраты на управление приложениями и связанные с этим расходы до 50 процентов и позволяет лучше, чем установленный для пользователей.

Системные требования

Для версии XenApp 6.5, которая на текущий момент является последней, основными требованиями при развертывании является: Microsoft Windows Server 2008 R2 (за исключением редакций Server Core и Web server) в качестве базовой платформы;

Объем и производительность аппаратных ресурсов зависит от требований публикуемых приложений, числа активных сессий и рассчитывается индивидуально для каждой среды. Все дополнительные компоненты (.NET Framework 3.5 SP1, Microsoft Visual C++ 2005 SP1 Redistributable (x64)), а так же роли Windows Server (RDS, IIS) необходимые для работы XenApp будут автоматически развернуты и настроены мастером установки. В случае если в сети нет SQL-сервера соответствующего требованиям роли DataStore:

  • Microsoft SQL Server 2005 SP3 (x32 and x64) или старше
  • Oracle 11g R2 32-bit Enterprise Edition

XenApp работает в рабочей группе и использует локальные учетные записи. Виртуализация приложений выполняется программными средствами, на уровне ОС.[Источник 4]

Преимущества решения

XenApp сокращает затраты на управление приложениями до 50 процентов, бесперебойно доставляя приложения пользователям в любую точку мира и повышая защищенность приложений и данных. XenApp позволяет ИТ-администраторам использовать единый эталонный образ каждого приложения и предоставлять его для использования в режиме онлайн или оффлайн. Удобство работы пользователей с приложениями, доставленными таким образом, выше, чем у приложений, развернутых на устройстве пользователя. Этот подход обеспечивает 99.999 процентную доступность приложений и используется более чем 100 миллионами пользователей во всем мире.

Источники

  1. XenApp// Miaton.ru. Дата обновления: 17.03.2017. URL: http://miaton.ru/assets/userfiles/citrix/citrix_xenapp.pdf(Дата обращения: 15.04.2018).
  2. XenApp and XenDesktop 7.6 Security: FIPS 140-2 and SSL to VDA // Citrix [2018]. Дата изменения: 11.12.2014. URL: https://www.citrix.com/blogs/2014/10/16/xenapp-and-xendesktop-7-6-security-fips-140-2-and-ssl-to-vda/ (Дата обращения: 06.06.2018).
  3. XenApp// Ricohidc. Дата обновления: 9.08.2017. URL: 3. https://www.ricohidc.com/kb/what-citrix-xenapp-is-what-it-can-do-and-how-it-works/(Дата обращения: 15.04.2018).
  4. XenApp// Citrix - сайт производителя решения. Дата обновления: 26.03.2018. URL: https://www.citrix.ru/products/xenapp-xendesktop/application-virtualization.html(Дата обращения: 15.04.2018).