Citrix NetScaler 11的新功能 - Master Class【文字版-上】

前言

今天着重看下Citrix NetScaler 11有哪些新的功能。这些功能有哪些是属于比较振奋人心的功能，同时就这些功能来说，哪些是咱们可能给到用户的解决方案当中可以成为一个比较独特的亮点。而落地来讲，就须要咱们的渠道合做伙伴利用这些功能在测试和集成过程中产生一些最佳实践。

今天的Master Class由我一我的独立进行讲解，国外是分三个讲师分别来介绍NetScaler 11的三个维度的功能。

如上图所示，咱们能够看到三个维度的图示，今天的讲解主要是从这三个维度Unified Gateway（统一网关）、Telco（电信网络）以及Core ADC（应用交付）来说述NetScaler 11的更新。

UnifiedGateway（统一网关）

首先咱们从Unified Gateway（统一网关）开始来说解NetScaler产品在这一部分的更新。Unified Gateway（统一网关）是在NetScaler 11版本才出现的新的名称。实质上在以前，这个功能的名称叫作Access Gateway，简称AG；到后来变为NetScaler Gateway，如今在版本11中称为Unified Gateway。名字一直在变化，可是变化老是有它的意义。那么这个Unified Gateway在什么地方体现出来呢？咱们先来看下面这张图：

在这张图咱们能够看见，在Unified Gateway这个维度下，除了Unified Gateway自己以外，还新增长了Smart Comtrol功能、Portal Customization、N-factor Authentiartion、Gateway Insight、GSLB Zone Preference。咱们这部分会这种介绍这6个功能。在介绍以前，咱们先来看一个解决方案：

对于这个解决方案来讲，相信各位都配置Gateway这一块，那么咱们能够看见，实际上在Citrix NetScaler Gateway或者是Citrix Access Gateway当中，咱们能够配置如上的一些配置或者说应用。包括咱们对其作ADC的交付，咱们作一个传统的SSL ×××，作一个Micro ×××接入（Micro ×××用于Citrix XenMobile解决方案当中）以及虚拟桌面和应用的ICA交付等等。那么在你们配置的时候不知道是否碰见过一些场景，会有一些比较麻烦的地方，好比说一个用户的场景里面，他须要有两个SSL ×××的vServer，即要求有一些普通的SSL ×××拨入，同时又须要发布Citrix XenApp/XenDesktop的ICA Proxy，若是在有可能的状况下，用户还购买了Citrix XenMobile的解决方案，还须要Micro ×××的接入。那么这时候来说，一般状况下咱们会怎么作？咱们通常会要求用户给出三个不一样该FQDN，而后每一个FQDN来说，每一个FQDN会绑定到一个NetScaler的vServer上。在这样的配置环境下，用户访问的时候可能会有这样的抱怨：没法作SSO（单点登陆）！用户在访问SSL ×××的时候须要输入一个域名，随后在登陆界面须要输入用户名和密码，在访问虚拟桌面的时候又再须要输入另外一个域名，随后在登陆界面又再须要输入用户名和密码。

这样相对来讲可能也比较麻烦，在新的Unified Gateway里面来说，如上图，你们能够看到，在NetScaler里面会有一个统一的URL，这个统一的URL后面恶魔能够看到，有不少的不一样类型的业务应用；咱们经过这个统一和URL在对外发布的状况下，只须要这个统一的URL就能够了。这样就很是好的解决了SSO的问题，咱们只须要一个UI，这个UI给到咱们以后，咱们只须要登陆一次，就能够访问在URL以后的这些不一样的业务应用类型，并且基于SSO，咱们再也不须要输入用户名和密码。实质是就是经过URL的方式实现了SSO的模式。若是采用NetScaler 11的这个新功能，在遇见相似的混合部署的场景，咱们就能够经过统一URL的方式拨入进来，实现不一样类型的发布应用直接的访问。这个功能是咱们介绍的第一个功能，也属于NetScaler 11的一个亮点。

那么基于Unified Gateway这样的一个新的特性或者说行新的功能，对于用户来讲就有这三个提高。第一个提高对于用户来说就是使用的体验，总体上的使用体验会比原来的使用体验效果好，咱们会在后面继续接受具体好在什么地方；第二点来讲，就是更加的安全；第三点对于用户来讲就是对于方案的整合灵活性比较大，主要是应用于多个数据中心。好比典型的两地三中心的数据灾备架构。

对于提高用户体验来讲，咱们知道NetScaler的Gateway毋庸置疑大部分都是基于Citrix XenApp/XenDesktop的场景。可是还存在说用户只用来进行SSL ×××的功能使用，那么就有着这样的一种趋势，在NetScaler中存在着专门的一个plug-in来对应这种场景。这个plug-in就是SSL ×××的客户端。在以前的老版本中其实曾经中止更新过一段时间，而且这个plug-in仅仅是基于Windows的一个插件。同时我接到一些用户的反馈来讲，在NetScaler版本10中还没法使用。而且若是用户是在非Citrix的场景下部署这样的一个解决方案，而且须要使用移动终端来访问的话，之前是没有这个plug-in的，解决方案必须是这个Gateway外加本身的软件，这个Gateway才可以在移动终端跑起来。如今在版本11当中，专门针对移动的场景提供了Unified Gateway的移动端的plug-in，即时在后端不是Citrix的状况下，也提供了这样的plug-in。在这里为何强调Citrix，是由于咱们在后端是Citrix的系统软件的状况下，咱们只须要在移动终端上安装Citrix Receiver便可。若是是XenMobile就是Worx Home了，这些都是基于Citrix的。同时若是咱们使用的是Windows 10来访问，目前NetScaler 10.5还不支持Windows 10的plug-in，还须要升级到NetScaler 11才行。

第二点针对提高用户体验来讲，会有一个彻底的定制化的界面。咱们知道在部署Gateway的时候，用户或者或少都会有一些定制化的要求，主要来说的话就是针对于登陆界面的这个UI的定制化。在NetScaer 11当中针对这样的须要，作了一个很是大的一个改进，第一个大的改进就是作了一个主题。在默认中会有三个不一样的主题来供用户进行选择。

同时如上图所示，咱们能够明显看出这是一张被用户彻底进行自定义修改了的登陆界面。这个界面当中全部标识的部分均可以进行定制化。原来的界面当中也就只可以修改部分的界面设置。那么如今来说，基本上咱们眼睛可以看到的地方，都可以进行定制化。之前修改的化还须要修改html代码以及css等，如今所有开放出来的话对于渠道商以及供应商来说，就节省了不少时间，特别是针对于对美工不是太懂的部署实施工程师来讲。

在这里咱们能够经过添加一个主题的方式，在这个主题当中咱们就能够作这样一个定制化的修改，包括你在主题当中须要去调用的一些背景。上述是在用户是体验这一块进行的一些介绍，接下来咱们介绍一些对安全性提高的方面。

在安全领域来说，在NetScaler 11当中咱们添加了一个新的功能，名称叫作SmartControl。在以前，你们可能都知道NetScaler有一个功能叫作SmartAccess。SmartAccess从NetScaler已经实施部署的大部分用户调查来看，应用的并很少。SmartAccess自己是一个特别好的功能，可是在实施的时候，须要两边都部署。在NetScaler上咱们须要去配置策略，在软件的后端还须要配置一个相应的策略。Unified Gateway默认工做在ICA Proxy模式下，可是在SSL ×××的环境下，有两种工做模式：一种是透明工做模式，另外一种是代理模式或者叫作TCP代理模式。咱们回来继续说ICA Proxy，只有Citrix 的NetScaler Gateway才可以看得懂在Citrix想的ICA协议当中32个通道里面的内容。问题在于NetScaler采起什么方式来对ICA协议的32个子通道进行开关呢？原来是经过SmartAccess来作这样的一个事情。实际上在新的版本11当中，你会发现一个比较有趣的事情就是，你会发现除了Gateway下面原有的会话策略以外，还多了一个ICA策略。ICA策略就是用来专门作这件事情的，包括你能够选择那些用户是能够彻底控制的形式来访问后面的资源，那些是须要被限制访问的。包括拷贝、打印以及细到你在打开的Word里面可不能够容许你复制粘贴等等。那么SmartCotrol就是这个功能的总称了。

若是咱们可以使用SmartCotrol在NetScaler上配置以后来实现并简化部署这些功能的话，这无疑大大提升用户的访问和配置的最佳实践。而且，这个功能为何要独立出来称为这个名称呢？就是由于出来ICA策略以外，SmartCotrol还能够对SSL ×××的访问也作这样的控制，这是其余任何SSL设备都没法作到的事情。

同时对于NetScaler的安全性来说，还有一方面是，NetScaler对于可视化的这样一个解决方案。咱们知道目前市面有不少的可视化的解决方案，在这些可视化的解决方案当中，无非就是NPM或者是APM以及BPM。针对于这些可视化的解决方案来讲，他们存在的最大的一个问题就是，若是您的环境跑了Citrix环境的流量的话，那么这些可视化解决方案针对于Citrix是没有效果的，由于这些软件看不懂Citrix的ICA协议内容，有些可视化的供应商会强制是在Citrix的软件层，好比说DDC以及StoreFront里面安装一个Agent，经过这个Agent拉出来一些东西，在传送到她们的整个报表手机引擎当中，由此来造成一个报表。可是这种方式方法根据咱们最近的几个案例，用户都是以为得不偿失的，甚至于在有些用户的场景的当中已经出了故障，闯了祸。另一个方面，Citrix对于自身交付的产品自己就提供了可视化的解决方案。在这一块来讲对用户最具备吸引力的就是在作桌面交付的时候，Citrix提供的HDX Insight的可视化解决方案。

这个解决方案首先是针对于Citrix本身的环境，第二对于用户来讲很是的简单，部署的时候只须要访问NetScaler。NetScaler上面开启数据收集的功能将其上传到报表生成的引擎便可。若是用户的环境没有这样的报表生成工具，那么Citrix还提供了专门的工具--Insight Center。目前来讲是基于虚拟化底层作好的一个虚拟机。用户只须要下载导入，简单配置便可使用。Insight Center当中用户能够看到目前的ICA当中状态怎么样，流量多大。好比说在实施一些VDI项目的时候，过了一段时间用户反映变慢，那么就须要一款软件去分析到底慢在什么地方。以前来说，你们都是拿性能测试工具去看，去测试，大部分都是瞎子摸象，有些用户甚至请了一些APM厂家的人过来作分析。可是分析出来的结果可能不尽如人意。如今有了Insight Center一切就变得很是的清楚，可能用户变慢的话，用户忙在什么地方一目了然。而且报表很是简单，很容易就看得懂。同时还能够和数据挖掘的一些软件整合，好比说Splunk。

对于NetScaler可视化，用户的访问行为流程是如何实现可视化的。对于用户来讲，用户的请求首先发送到gateway，gateway将其转发到后台的业务系统，好比是Citrix的环境。在数据通过NetScaler的时候，NetScaler会作一个操做，将是将这些数据以AppFlow的方式发送到Insight Center当中，在Insight Center当中，存在着两个Insight，一个是基于HDX的Insight，一个基于Web的Insight。HDX的Insight的话是针对Citrix的虚拟桌面以及应用的，它会将基于Citrix的这些数据吐出来发送到Insight Center。Web的Insight是基于Web的应用的数据均可以吐出来发送到Insight Center。Insight Center在版本11当中也有一个较大的提高。在使用可视化的时候，最为关键的是须要在NetScaler上的服务AppFlow勾选上，在10.5的时候，这个功能默认就是打开的，咱们不用的时候建议就将其关闭掉。

那么在Insight Center上咱们能够看见什么东西？如上图，咱们能够看见网络的信息，这个是比较重要的信息，这个对于用户来说，用户也能够将其集成到NPM的解决方案当中，NPM是一种网络性能监控的解决方案，在网络当中安装探针，探针会将数据的流量发送到数据的收集端，收集端会将其进行分析以后生成报表。在Citrix当中，NetScaler就充当了这个探针，而后咱们经过AppFlow的方式将流量吐出来作这个事情。为何叫AppFlow，是有一个区别，Flow这个是技术最初是又思科公司发明的，名叫NetFlow，NetFlow是一种数据交换方式，其工做原理是：NetFlow利用标准的交换模式处理数据流的第一个IP包数据，生成NetFlow 缓存，随后一样的数据基于缓存信息在同一个数据流中进行传输，再也不匹配相关的访问控制等策略，NetFlow缓存同时包含了随后数据流的统计信息。NetFlow可以看到的信息都是比较简单的，好比源地址，目的地址，源端口，目的端口等这些基本信息。可是对于Web访问来讲咱们是须要看到更多的东西的，包括URL、目录、浏览器等等，固然最主要是可以看见ICA协议里面的这些东西。因此Citrix基于Flow，开发扩展了AppFlow。

接下来咱们介绍多因素认证的一些东西。你们在以前可能以为NetScaler在多因素认证这一块有点弱，弱在什么地方？好比说用户但愿用户认证以后看到不一样的UI界面，在版本11以前个人实现方式是比较麻烦的，由于你们可能知道，NetScaler对认证，包括登陆界面以及登陆后的界面，都是放置在一块儿的。那么对于新的NeScaler 11来讲，这一块来讲就有Dynamic Auth Flow、有Extensible to any number、Policy based decisions、EPA based selection、UI generation usingLoginSchema等。EPA based selection是须要对终端进行扫描以后最决定是否容许接入，特别是UI generation usingLoginSchema，咱们能够根据认证用户的不一样权限来显示不一样的UI。固然这个功能若是咱们有软件环境，好比StoreFront，那么咱们直接就能够实现，可是这宫功能主要是用来使用于没有这类软件的场景下，并且用户有须要这个功能。

同时认证这一块还支持SAML的模式，SAML即安全声明标记语言，英文全称是Security AssertionMarkup Language。它是一个基于XML的标准，用于在不一样的安全域(security domain)之间交换认证和受权数据。在SAML标准定义了身份提供者(identity provider)和服务提供者(service provider)，这二者构成了前面所说的不一样的安全域。虽然SAML认证对于版本11来说并非一个新的东西，可是会有一些提高，包括对SAML的SingleLogout、Redirect Binding等等，具体能够查看上图所述的信息。若是现有有用户须要使用SAML这样的认证场景下，NetScaler能够很好的知足他的须要了。

如上图，版本11还推出了一个新的功能，GSLB Zone Preference。GSLB 是英文Global Server LoadBalance的缩写，意思是全局负载均衡。做用：实如今广域网（包括互联网）上不一样地域的服务器间的流量调配，保证使用最佳的服务器服务离本身最近的客户，从而确保访问质量。NetScaler的GSLB功能在部署Gateway的时候，在之前的部署场景中不多有集成在之前使用的。同时在local DNS中，GSLB的Site选择会有一个问题，这个问题是LDNS issue，在一些场景下LDNS issue会变得很是的大。比方说咱们在联通的网络当中，我可能使用了LDNS，在选择路径的时候可能并非一个最佳的路径。在这种状况下面，若是咱们有多个数据中心的Citrix虚拟桌面环境，那么在StoreFront当中，所产生的ICA协议文件给到用户这边的，可能会有冲突或者或者说不正确。结果是，用户使用LDNS访问虚拟桌面，虽然用户在访问的前端使用了NetScaler的GSLB选择了一台优选的路径去访问，可是StoreFron并无去选择一条优选的路径或者没有去选择正确的后台数据中心，实际上就致使整个访问的体验并很差。那么用户不得不手动去调整一个正确是配置或者选择最优的路径去访问。

咱们经过下面的图片来详细解释下这个问题：

在这张图上，用户在华盛顿特区，它的LDNS属于San Jose。LDNS若是是San Jose的话，在后端的数据中心中，一个是属于San jose，如图。另外一个是New York。那么经过GSLB，GSLB是经过查看用户本地的LDNS的IP来判断选择最优路径。由于用户的LDNS是San Jose，俺么正常状况下用户就应该去和那个文的是San jose的虚拟桌面。

如图，这个时候经过GSLB判断出来了，用户成功去访问到了San Jose的数据中心的Citrix NetScaler服务Gateway。无论是使用动态的就近双方也好仍是静态的就近双方也好，反正是正常的给出了san jose的一个地址。那么链接到gateway以后呢？问题就在于StoreFront了。StoreFront去链接DDC（Desktop DeliveryController），最后DDC给出了可用的虚拟桌面信息，包括IP地址以及登陆凭据等等。

如图所示，若是StoreFront是去New York的DDC去拿的虚拟桌面信息，那么最终用户的虚拟桌面访问就成了这样子：

那么这明显是一个不友好的使用体验。

针对这个问题的解决的方案就是在版本11中，针对于GSLB和StoreFront作了一个联动的方式来解决这个问题，这就是GSLB Zone Preference功能。那么具体是怎么实现的呢？

首先在GSLB来说，选择一个GSLB的selection，在图上，最右边有三个数据中心，在右上角有一台StoreFront。

好比此时GSLB选择1，在这当中GSLB会去检查一下三个数据中心的对应关系。

而后将请求的数据交给StoreFront，此时，NetScaler的GSLB已经把优选的数据中心的IP地址写入到了给出的数据中，告诉StoreFront应该选择后端的那个IP地址。

而后StoreFront再去优选的数据中心向里面的DDC请求虚拟桌面的认证信息以及生成ICA文件所需的信息。

拿到所需信息生成ICA文件以后，StoreFront将其返回给到NetScaler，NetScale了返回到用户。

对于用户来说，本地Citrix Receiver解析ICA文件以后，就直接访问优选的数据中心的虚拟桌面便可。

那么有了这个解决方案以后，咱们再遇到相似GSLB和Gateway集成的时候，就可使用这个解决方案完美解决上述存在的问题了。

在Gateway的最后，介绍最后一个功能，即RDP代理。

在配置当中专门有针对于RDP的一个策略，咱们在这个策略中能够对RDP协议作如上图所示的这样一些优化。那么为何会有这样一个功能呢？咱们知道传统的RDP发布到外网都是经过防火墙作NAT端口映射。这样存在的一个问题就是RDP协议自己有漏洞，那么***就可使用RDP协议很轻易的***进入咱们的内网，使用NetScaler版本11的RDP代理，咱们能够面免去这样带来的被***的风险。