Citrix NetScaler 11的新功能 - Master Class【文字版-上】

前言

今天着重看下Citrix NetScaler 11有哪些新的功能。這些功能有哪些是屬於比較振奮人心的功能，同時就這些功能來說，哪些是咱們可能給到用戶的解決方案當中可以成爲一個比較獨特的亮點。而落地來講，就須要咱們的渠道合做夥伴利用這些功能在測試和集成過程中產生一些最佳實踐。

今天的Master Class由我一我的獨立進行講解，國外是分三個講師分別來介紹NetScaler 11的三個維度的功能。

如上圖所示，咱們能夠看到三個維度的圖示，今天的講解主要是從這三個維度Unified Gateway（統一網關）、Telco（電信網絡）以及Core ADC（應用交付）來說述NetScaler 11的更新。

UnifiedGateway（統一網關）

首先咱們從Unified Gateway（統一網關）開始來說解NetScaler產品在這一部分的更新。Unified Gateway（統一網關）是在NetScaler 11版本纔出現的新的名稱。實質上在以前，這個功能的名稱叫作Access Gateway，簡稱AG；到後來變爲NetScaler Gateway，如今在版本11中稱爲Unified Gateway。名字一直在變化，可是變化老是有它的意義。那麼這個Unified Gateway在什麼地方體現出來呢？咱們先來看下面這張圖：

在這張圖咱們能夠看見，在Unified Gateway這個維度下，除了Unified Gateway自己以外，還新增長了Smart Comtrol功能、Portal Customization、N-factor Authentiartion、Gateway Insight、GSLB Zone Preference。咱們這部分會這種介紹這6個功能。在介紹以前，咱們先來看一個解決方案：

對於這個解決方案來講，相信各位都配置Gateway這一塊，那麼咱們能夠看見，實際上在Citrix NetScaler Gateway或者是Citrix Access Gateway當中，咱們能夠配置如上的一些配置或者說應用。包括咱們對其作ADC的交付，咱們作一個傳統的SSL ×××，作一個Micro ×××接入（Micro ×××用於Citrix XenMobile解決方案當中）以及虛擬桌面和應用的ICA交付等等。那麼在你們配置的時候不知道是否碰見過一些場景，會有一些比較麻煩的地方，好比說一個用戶的場景裏面，他須要有兩個SSL ×××的vServer，即要求有一些普通的SSL ×××撥入，同時又須要發佈Citrix XenApp/XenDesktop的ICA Proxy，若是在有可能的狀況下，用戶還購買了Citrix XenMobile的解決方案，還須要Micro ×××的接入。那麼這時候來說，一般狀況下咱們會怎麼作？咱們通常會要求用戶給出三個不一樣該FQDN，而後每一個FQDN來說，每一個FQDN會綁定到一個NetScaler的vServer上。在這樣的配置環境下，用戶訪問的時候可能會有這樣的抱怨：沒法作SSO（單點登陸）！用戶在訪問SSL ×××的時候須要輸入一個域名，隨後在登陸界面須要輸入用戶名和密碼，在訪問虛擬桌面的時候又再須要輸入另外一個域名，隨後在登陸界面又再須要輸入用戶名和密碼。

這樣相對來講可能也比較麻煩，在新的Unified Gateway裏面來說，如上圖，你們能夠看到，在NetScaler裏面會有一個統一的URL，這個統一的URL後面惡魔能夠看到，有不少的不一樣類型的業務應用；咱們經過這個統一和URL在對外發布的狀況下，只須要這個統一的URL就能夠了。這樣就很是好的解決了SSO的問題，咱們只須要一個UI，這個UI給到咱們以後，咱們只須要登陸一次，就能夠訪問在URL以後的這些不一樣的業務應用類型，並且基於SSO，咱們再也不須要輸入用戶名和密碼。實質是就是經過URL的方式實現了SSO的模式。若是採用NetScaler 11的這個新功能，在遇見相似的混合部署的場景，咱們就能夠經過統一URL的方式撥入進來，實現不一樣類型的發佈應用直接的訪問。這個功能是咱們介紹的第一個功能，也屬於NetScaler 11的一個亮點。

那麼基於Unified Gateway這樣的一個新的特性或者說行新的功能，對於用戶來講就有這三個提高。第一個提高對於用戶來說就是使用的體驗，總體上的使用體驗會比原來的使用體驗效果好，咱們會在後面繼續接受具體好在什麼地方；第二點來講，就是更加的安全；第三點對於用戶來講就是對於方案的整合靈活性比較大，主要是應用於多個數據中心。好比典型的兩地三中心的數據災備架構。

對於提高用戶體驗來講，咱們知道NetScaler的Gateway毋庸置疑大部分都是基於Citrix XenApp/XenDesktop的場景。可是還存在說用戶只用來進行SSL ×××的功能使用，那麼就有着這樣的一種趨勢，在NetScaler中存在着專門的一個plug-in來對應這種場景。這個plug-in就是SSL ×××的客戶端。在以前的老版本中其實曾經中止更新過一段時間，而且這個plug-in僅僅是基於Windows的一個插件。同時我接到一些用戶的反饋來講，在NetScaler版本10中還沒法使用。而且若是用戶是在非Citrix的場景下部署這樣的一個解決方案，而且須要使用移動終端來訪問的話，之前是沒有這個plug-in的，解決方案必須是這個Gateway外加本身的軟件，這個Gateway纔可以在移動終端跑起來。如今在版本11當中，專門針對移動的場景提供了Unified Gateway的移動端的plug-in，即時在後端不是Citrix的狀況下，也提供了這樣的plug-in。在這裏爲何強調Citrix，是由於咱們在後端是Citrix的系統軟件的狀況下，咱們只須要在移動終端上安裝Citrix Receiver便可。若是是XenMobile就是Worx Home了，這些都是基於Citrix的。同時若是咱們使用的是Windows 10來訪問，目前NetScaler 10.5還不支持Windows 10的plug-in，還須要升級到NetScaler 11才行。

第二點針對提高用戶體驗來講，會有一個徹底的定製化的界面。咱們知道在部署Gateway的時候，用戶或者或少都會有一些定製化的要求，主要來說的話就是針對於登陸界面的這個UI的定製化。在NetScaer 11當中針對這樣的須要，作了一個很是大的一個改進，第一個大的改進就是作了一個主題。在默認中會有三個不一樣的主題來供用戶進行選擇。

同時如上圖所示，咱們能夠明顯看出這是一張被用戶徹底進行自定義修改了的登陸界面。這個界面當中全部標識的部分均可以進行定製化。原來的界面當中也就只可以修改部分的界面設置。那麼如今來說，基本上咱們眼睛可以看到的地方，都可以進行定製化。之前修改的化還須要修改html代碼以及css等，如今所有開放出來的話對於渠道商以及供應商來說，就節省了不少時間，特別是針對於對美工不是太懂的部署實施工程師來講。

在這裏咱們能夠經過添加一個主題的方式，在這個主題當中咱們就能夠作這樣一個定製化的修改，包括你在主題當中須要去調用的一些背景。上述是在用戶是體驗這一塊進行的一些介紹，接下來咱們介紹一些對安全性提高的方面。

在安全領域來說，在NetScaler 11當中咱們添加了一個新的功能，名稱叫作SmartControl。在以前，你們可能都知道NetScaler有一個功能叫作SmartAccess。SmartAccess從NetScaler已經實施部署的大部分用戶調查來看，應用的並很少。SmartAccess自己是一個特別好的功能，可是在實施的時候，須要兩邊都部署。在NetScaler上咱們須要去配置策略，在軟件的後端還須要配置一個相應的策略。Unified Gateway默認工做在ICA Proxy模式下，可是在SSL ×××的環境下，有兩種工做模式：一種是透明工做模式，另外一種是代理模式或者叫作TCP代理模式。咱們回來繼續說ICA Proxy，只有Citrix 的NetScaler Gateway纔可以看得懂在Citrix想的ICA協議當中32個通道里面的內容。問題在於NetScaler採起什麼方式來對ICA協議的32個子通道進行開關呢？原來是經過SmartAccess來作這樣的一個事情。實際上在新的版本11當中，你會發現一個比較有趣的事情就是，你會發現除了Gateway下面原有的會話策略以外，還多了一個ICA策略。ICA策略就是用來專門作這件事情的，包括你能夠選擇那些用戶是能夠徹底控制的形式來訪問後面的資源，那些是須要被限制訪問的。包括拷貝、打印以及細到你在打開的Word裏面可不能夠容許你複製粘貼等等。那麼SmartCotrol就是這個功能的總稱了。

若是咱們可以使用SmartCotrol在NetScaler上配置以後來實現並簡化部署這些功能的話，這無疑大大提升用戶的訪問和配置的最佳實踐。而且，這個功能爲何要獨立出來稱爲這個名稱呢？就是由於出來ICA策略以外，SmartCotrol還能夠對SSL ×××的訪問也作這樣的控制，這是其餘任何SSL設備都沒法作到的事情。

同時對於NetScaler的安全性來說，還有一方面是，NetScaler對於可視化的這樣一個解決方案。咱們知道目前市面有不少的可視化的解決方案，在這些可視化的解決方案當中，無非就是NPM或者是APM以及BPM。針對於這些可視化的解決方案來講，他們存在的最大的一個問題就是，若是您的環境跑了Citrix環境的流量的話，那麼這些可視化解決方案針對於Citrix是沒有效果的，由於這些軟件看不懂Citrix的ICA協議內容，有些可視化的供應商會強制是在Citrix的軟件層，好比說DDC以及StoreFront裏面安裝一個Agent，經過這個Agent拉出來一些東西，在傳送到她們的整個報表手機引擎當中，由此來造成一個報表。可是這種方式方法根據咱們最近的幾個案例，用戶都是以爲得不償失的，甚至於在有些用戶的場景的當中已經出了故障，闖了禍。另一個方面，Citrix對於自身交付的產品自己就提供了可視化的解決方案。在這一塊來講對用戶最具備吸引力的就是在作桌面交付的時候，Citrix提供的HDX Insight的可視化解決方案。

這個解決方案首先是針對於Citrix本身的環境，第二對於用戶來講很是的簡單，部署的時候只須要訪問NetScaler。NetScaler上面開啓數據收集的功能將其上傳到報表生成的引擎便可。若是用戶的環境沒有這樣的報表生成工具，那麼Citrix還提供了專門的工具--Insight Center。目前來講是基於虛擬化底層作好的一個虛擬機。用戶只須要下載導入，簡單配置便可使用。Insight Center當中用戶能夠看到目前的ICA當中狀態怎麼樣，流量多大。好比說在實施一些VDI項目的時候，過了一段時間用戶反映變慢，那麼就須要一款軟件去分析到底慢在什麼地方。以前來說，你們都是拿性能測試工具去看，去測試，大部分都是瞎子摸象，有些用戶甚至請了一些APM廠家的人過來作分析。可是分析出來的結果可能不盡如人意。如今有了Insight Center一切就變得很是的清楚，可能用戶變慢的話，用戶忙在什麼地方一目瞭然。而且報表很是簡單，很容易就看得懂。同時還能夠和數據挖掘的一些軟件整合，好比說Splunk。

對於NetScaler可視化，用戶的訪問行爲流程是如何實現可視化的。對於用戶來講，用戶的請求首先發送到gateway，gateway將其轉發到後臺的業務系統，好比是Citrix的環境。在數據通過NetScaler的時候，NetScaler會作一個操做，將是將這些數據以AppFlow的方式發送到Insight Center當中，在Insight Center當中，存在着兩個Insight，一個是基於HDX的Insight，一個基於Web的Insight。HDX的Insight的話是針對Citrix的虛擬桌面以及應用的，它會將基於Citrix的這些數據吐出來發送到Insight Center。Web的Insight是基於Web的應用的數據均可以吐出來發送到Insight Center。Insight Center在版本11當中也有一個較大的提高。在使用可視化的時候，最爲關鍵的是須要在NetScaler上的服務AppFlow勾選上，在10.5的時候，這個功能默認就是打開的，咱們不用的時候建議就將其關閉掉。

那麼在Insight Center上咱們能夠看見什麼東西？如上圖，咱們能夠看見網絡的信息，這個是比較重要的信息，這個對於用戶來說，用戶也能夠將其集成到NPM的解決方案當中，NPM是一種網絡性能監控的解決方案，在網絡當中安裝探針，探針會將數據的流量發送到數據的收集端，收集端會將其進行分析以後生成報表。在Citrix當中，NetScaler就充當了這個探針，而後咱們經過AppFlow的方式將流量吐出來作這個事情。爲何叫AppFlow，是有一個區別，Flow這個是技術最初是又思科公司發明的，名叫NetFlow，NetFlow是一種數據交換方式，其工做原理是：NetFlow利用標準的交換模式處理數據流的第一個IP包數據，生成NetFlow 緩存，隨後一樣的數據基於緩存信息在同一個數據流中進行傳輸，再也不匹配相關的訪問控制等策略，NetFlow緩存同時包含了隨後數據流的統計信息。NetFlow可以看到的信息都是比較簡單的，好比源地址，目的地址，源端口，目的端口等這些基本信息。可是對於Web訪問來講咱們是須要看到更多的東西的，包括URL、目錄、瀏覽器等等，固然最主要是可以看見ICA協議裏面的這些東西。因此Citrix基於Flow，開發擴展了AppFlow。

接下來咱們介紹多因素認證的一些東西。你們在以前可能以爲NetScaler在多因素認證這一塊有點弱，弱在什麼地方？好比說用戶但願用戶認證以後看到不一樣的UI界面，在版本11以前個人實現方式是比較麻煩的，由於你們可能知道，NetScaler對認證，包括登陸界面以及登陸後的界面，都是放置在一塊兒的。那麼對於新的NeScaler 11來講，這一塊來講就有Dynamic Auth Flow、有Extensible to any number、Policy based decisions、EPA based selection、UI generation usingLoginSchema等。EPA based selection是須要對終端進行掃描以後最決定是否容許接入，特別是UI generation usingLoginSchema，咱們能夠根據認證用戶的不一樣權限來顯示不一樣的UI。固然這個功能若是咱們有軟件環境，好比StoreFront，那麼咱們直接就能夠實現，可是這宮功能主要是用來使用於沒有這類軟件的場景下，並且用戶有須要這個功能。

同時認證這一塊還支持SAML的模式，SAML即安全聲明標記語言，英文全稱是Security AssertionMarkup Language。它是一個基於XML的標準，用於在不一樣的安全域(security domain)之間交換認證和受權數據。在SAML標準定義了身份提供者(identity provider)和服務提供者(service provider)，這二者構成了前面所說的不一樣的安全域。雖然SAML認證對於版本11來說並非一個新的東西，可是會有一些提高，包括對SAML的SingleLogout、Redirect Binding等等，具體能夠查看上圖所述的信息。若是現有有用戶須要使用SAML這樣的認證場景下，NetScaler能夠很好的知足他的須要了。

如上圖，版本11還推出了一個新的功能，GSLB Zone Preference。GSLB 是英文Global Server LoadBalance的縮寫，意思是全局負載均衡。做用：實如今廣域網（包括互聯網）上不一樣地域的服務器間的流量調配，保證使用最佳的服務器服務離本身最近的客戶，從而確保訪問質量。NetScaler的GSLB功能在部署Gateway的時候，在之前的部署場景中不多有集成在之前使用的。同時在local DNS中，GSLB的Site選擇會有一個問題，這個問題是LDNS issue，在一些場景下LDNS issue會變得很是的大。比方說咱們在聯通的網絡當中，我可能使用了LDNS，在選擇路徑的時候可能並非一個最佳的路徑。在這種狀況下面，若是咱們有多個數據中心的Citrix虛擬桌面環境，那麼在StoreFront當中，所產生的ICA協議文件給到用戶這邊的，可能會有衝突或者或者說不正確。結果是，用戶使用LDNS訪問虛擬桌面，雖然用戶在訪問的前端使用了NetScaler的GSLB選擇了一臺優選的路徑去訪問，可是StoreFron並無去選擇一條優選的路徑或者沒有去選擇正確的後臺數據中心，實際上就致使整個訪問的體驗並很差。那麼用戶不得不手動去調整一個正確是配置或者選擇最優的路徑去訪問。

咱們經過下面的圖片來詳細解釋下這個問題：

在這張圖上，用戶在華盛頓特區，它的LDNS屬於San Jose。LDNS若是是San Jose的話，在後端的數據中心中，一個是屬於San jose，如圖。另外一個是New York。那麼經過GSLB，GSLB是經過查看用戶本地的LDNS的IP來判斷選擇最優路徑。由於用戶的LDNS是San Jose，俺麼正常狀況下用戶就應該去和那個文的是San jose的虛擬桌面。

如圖，這個時候經過GSLB判斷出來了，用戶成功去訪問到了San Jose的數據中心的Citrix NetScaler服務Gateway。無論是使用動態的就近雙方也好仍是靜態的就近雙方也好，反正是正常的給出了san jose的一個地址。那麼鏈接到gateway以後呢？問題就在於StoreFront了。StoreFront去鏈接DDC（Desktop DeliveryController），最後DDC給出了可用的虛擬桌面信息，包括IP地址以及登陸憑據等等。

如圖所示，若是StoreFront是去New York的DDC去拿的虛擬桌面信息，那麼最終用戶的虛擬桌面訪問就成了這樣子：

那麼這明顯是一個不友好的使用體驗。

針對這個問題的解決的方案就是在版本11中，針對於GSLB和StoreFront作了一個聯動的方式來解決這個問題，這就是GSLB Zone Preference功能。那麼具體是怎麼實現的呢？

首先在GSLB來說，選擇一個GSLB的selection，在圖上，最右邊有三個數據中心，在右上角有一臺StoreFront。

好比此時GSLB選擇1，在這當中GSLB會去檢查一下三個數據中心的對應關係。

而後將請求的數據交給StoreFront，此時，NetScaler的GSLB已經把優選的數據中心的IP地址寫入到了給出的數據中，告訴StoreFront應該選擇後端的那個IP地址。

而後StoreFront再去優選的數據中心向裏面的DDC請求虛擬桌面的認證信息以及生成ICA文件所需的信息。

拿到所需信息生成ICA文件以後，StoreFront將其返回給到NetScaler，NetScale了返回到用戶。

對於用戶來說，本地Citrix Receiver解析ICA文件以後，就直接訪問優選的數據中心的虛擬桌面便可。

那麼有了這個解決方案以後，咱們再遇到相似GSLB和Gateway集成的時候，就可使用這個解決方案完美解決上述存在的問題了。

在Gateway的最後，介紹最後一個功能，即RDP代理。

在配置當中專門有針對於RDP的一個策略，咱們在這個策略中能夠對RDP協議作如上圖所示的這樣一些優化。那麼爲何會有這樣一個功能呢？咱們知道傳統的RDP發佈到外網都是經過防火牆作NAT端口映射。這樣存在的一個問題就是RDP協議自己有漏洞，那麼***就可使用RDP協議很輕易的***進入咱們的內網，使用NetScaler版本11的RDP代理，咱們能夠面免去這樣帶來的被***的風險。