Citrix NetScaler 11的新功能 - Mast

前言

今天着重看下Citrix NetScaler 11有哪些新的功能。这些功能有哪些是属于比较振奋人心的功能，同时就这些功能来讲，哪些是我们可能给到用户的解决方案当中能够成为一个比较独特的亮点。而落地来说，就需要我们的渠道合作伙伴利用这些功能在测试和集成过程当中产生一些最佳实践。

今天的Master Class由我一个人独立进行讲解，国外是分三个讲师分别来介绍NetScaler 11的三个维度的功能。

如上图所示，我们可以看到三个维度的图示，今天的讲解主要是从这三个维度Unified Gateway（统一网关）、Telco（电信网络）以及Core ADC（应用交付）来讲述NetScaler 11的更新。

UnifiedGateway（统一网关）

首先我们从Unified Gateway（统一网关）开始来讲解NetScaler产品在这一部分的更新。Unified Gateway（统一网关）是在NetScaler 11版本才出现的新的名称。实质上在之前，这个功能的名称叫做Access Gateway，简称AG；到后来变为NetScaler Gateway，现在在版本11中称为Unified Gateway。名字一直在变化，但是变化总是有它的意义。那么这个Unified Gateway在什么地方体现出来呢？我们先来看下面这张图：

在这张图我们可以看见，在Unified Gateway这个维度下，除了Unified Gateway本身之外，还新增加了Smart Comtrol功能、Portal Customization、N-factor Authentiartion、Gateway Insight、GSLB Zone Preference。我们这部分会这种介绍这6个功能。在介绍之前，我们先来看一个解决方案：

对于这个解决方案来说，相信各位都配置Gateway这一块，那么我们可以看见，实际上在Citrix NetScaler Gateway或者是Citrix Access Gateway当中，我们可以配置如上的一些配置或者说应用。包括我们对其做ADC的交付，我们做一个传统的SSL ×××，做一个Micro ×××接入（Micro ×××用于Citrix XenMobile解决方案当中）以及虚拟桌面和应用的ICA交付等等。那么在大家配置的时候不知道是否遇见过一些场景，会有一些比较麻烦的地方，比如说一个用户的场景里面，他需要有两个SSL ×××的vServer，即要求有一些普通的SSL ×××拨入，同时又需要发布Citrix XenApp/XenDesktop的ICA Proxy，如果在有可能的情况下，用户还购买了Citrix XenMobile的解决方案，还需要Micro ×××的接入。那么这时候来讲，通常情况下我们会怎么做？我们一般会要求用户给出三个不同该FQDN，然后每个FQDN来讲，每个FQDN会绑定到一个NetScaler的vServer上。在这样的配置环境下，用户访问的时候可能会有这样的抱怨：无法做SSO（单点登录）！用户在访问SSL ×××的时候需要输入一个域名，随后在登录界面需要输入用户名和密码，在访问虚拟桌面的时候又再需要输入另一个域名，随后在登录界面又再需要输入用户名和密码。

这样相对来说可能也比较麻烦，在新的Unified Gateway里面来讲，如上图，大家可以看到，在NetScaler里面会有一个统一的URL，这个统一的URL后面恶魔可以看到，有很多的不同类型的业务应用；我们通过这个统一和URL在对外发布的情况下，只需要这个统一的URL就可以了。这样就非常好的解决了SSO的问题，我们只需要一个UI，这个UI给到我们之后，我们只需要登录一次，就可以访问在URL之后的这些不同的业务应用类型，而且基于SSO，我们不再需要输入用户名和密码。实质是就是通过URL的方式实现了SSO的模式。如果采用NetScaler 11的这个新功能，在碰见类似的混合部署的场景，我们就可以通过统一URL的方式拨入进来，实现不同类型的发布应用直接的访问。这个功能是我们介绍的第一个功能，也属于NetScaler 11的一个亮点。

那么基于Unified Gateway这样的一个新的特性或者说行新的功能，对于用户来说就有这三个提升。第一个提升对于用户来讲就是使用的体验，整体上的使用体验会比原来的使用体验效果好，我们会在后面继续接受具体好在什么地方；第二点来说，就是更加的安全；第三点对于用户来说就是对于方案的整合灵活性比较大，主要是应用于多个数据中心。比如典型的两地三中心的数据灾备架构。

对于提升用户体验来说，我们知道NetScaler的Gateway毋庸置疑大部分都是基于Citrix XenApp/XenDesktop的场景。但是还存在说用户只用来进行SSL ×××的功能使用，那么就有着这样的一种趋势，在NetScaler中存在着专门的一个plug-in来对应这种场景。这个plug-in就是SSL ×××的客户端。在之前的老版本中其实曾经停止更新过一段时间，并且这个plug-in仅仅是基于Windows的一个插件。同时我接到一些用户的反馈来说，在NetScaler版本10中还无法使用。并且如果用户是在非Citrix的场景下部署这样的一个解决方案，并且需要使用移动终端来访问的话，以前是没有这个plug-in的，解决方案必须是这个Gateway外加自己的软件，这个Gateway才能够在移动终端跑起来。现在在版本11当中，专门针对移动的场景提供了Unified Gateway的移动端的plug-in，即时在后端不是Citrix的情况下，也提供了这样的plug-in。在这里为什么强调Citrix，是因为我们在后端是Citrix的系统软件的情况下，我们只需要在移动终端上安装Citrix Receiver即可。如果是XenMobile就是Worx Home了，这些都是基于Citrix的。同时如果我们使用的是Windows 10来访问，目前NetScaler 10.5还不支持Windows 10的plug-in，还需要升级到NetScaler 11才行。

第二点针对提升用户体验来说，会有一个完全的定制化的界面。我们知道在部署Gateway的时候，用户或者或少都会有一些定制化的要求，主要来讲的话就是针对于登录界面的这个UI的定制化。在NetScaer 11当中针对这样的需要，做了一个非常大的一个改进，第一个大的改进就是做了一个主题。在默认中会有三个不同的主题来供用户进行选择。

同时如上图所示，我们可以明显看出这是一张被用户完全进行自定义修改了的登录界面。这个界面当中所有标识的部分都可以进行定制化。原来的界面当中也就只能够修改部分的界面设置。那么现在来讲，基本上我们眼睛能够看到的地方，都能够进行定制化。以前修改的化还需要修改html代码以及css等，现在全部开放出来的话对于渠道商以及供应商来讲，就节省了很多时间，特别是针对于对美工不是太懂的部署实施工程师来说。

在这里我们可以通过添加一个主题的方式，在这个主题当中我们就可以做这样一个定制化的修改，包括你在主题当中需要去调用的一些背景。上述是在用户是体验这一块进行的一些介绍，接下来我们介绍一些对安全性提升的方面。

在安全领域来讲，在NetScaler 11当中我们添加了一个新的功能，名称叫做SmartControl。在之前，大家可能都知道NetScaler有一个功能叫做SmartAccess。SmartAccess从NetScaler已经实施部署的大部分用户调查来看，应用的并不多。SmartAccess本身是一个特别好的功能，但是在实施的时候，需要两边都部署。在NetScaler上我们需要去配置策略，在软件的后端还需要配置一个相应的策略。Unified Gateway默认工作在ICA Proxy模式下，但是在SSL ×××的环境下，有两种工作模式：一种是透明工作模式，另一种是代理模式或者叫做TCP代理模式。我们回来继续说ICA Proxy，只有Citrix 的NetScaler Gateway才能够看得懂在Citrix想的ICA协议当中32个通道里面的内容。问题在于NetScaler采取什么方式来对ICA协议的32个子通道进行开关呢？原来是通过SmartAccess来做这样的一个事情。实际上在新的版本11当中，你会发现一个比较有趣的事情就是，你会发现除了Gateway下面原有的会话策略之外，还多了一个ICA策略。ICA策略就是用来专门做这件事情的，包括你可以选择那些用户是可以完全控制的形式来访问后面的资源，那些是需要被限制访问的。包括拷贝、打印以及细到你在打开的Word里面可不可以允许你复制粘贴等等。那么SmartCotrol就是这个功能的总称了。

如果我们能够使用SmartCotrol在NetScaler上配置之后来实现并简化部署这些功能的话，这无疑大大提高用户的访问和配置的最佳实践。并且，这个功能为什么要独立出来称为这个名称呢？就是因为出来ICA策略之外，SmartCotrol还可以对SSL ×××的访问也做这样的控制，这是其他任何SSL设备都无法做到的事情。

同时对于NetScaler的安全性来讲，还有一方面是，NetScaler对于可视化的这样一个解决方案。我们知道目前市面有很多的可视化的解决方案，在这些可视化的解决方案当中，无非就是NPM或者是APM以及BPM。针对于这些可视化的解决方案来说，他们存在的最大的一个问题就是，如果您的环境跑了Citrix环境的流量的话，那么这些可视化解决方案针对于Citrix是没有效果的，因为这些软件看不懂Citrix的ICA协议内容，有些可视化的供应商会强制是在Citrix的软件层，比如说DDC以及StoreFront里面安装一个Agent，通过这个Agent拉出来一些东西，在传送到她们的整个报表手机引擎当中，由此来形成一个报表。但是这种方式方法根据我们最近的几个案例，用户都是觉得得不偿失的，甚至于在有些用户的场景的当中已经出了故障，闯了祸。另外一个方面，Citrix对于自身交付的产品本身就提供了可视化的解决方案。在这一块来说对用户最具有吸引力的就是在做桌面交付的时候，Citrix提供的HDX Insight的可视化解决方案。

这个解决方案首先是针对于Citrix自己的环境，第二对于用户来说非常的简单，部署的时候只需要访问NetScaler。NetScaler上面开启数据收集的功能将其上传到报表生成的引擎即可。如果用户的环境没有这样的报表生成工具，那么Citrix还提供了专门的工具--Insight Center。目前来说是基于虚拟化底层做好的一个虚拟机。用户只需要下载导入，简单配置即可使用。Insight Center当中用户可以看到目前的ICA当中状态怎么样，流量多大。比如说在实施一些VDI项目的时候，过了一段时间用户反映变慢，那么就需要一款软件去分析到底慢在什么地方。之前来讲，大家都是拿性能测试工具去看，去测试，大部分都是瞎子摸象，有些用户甚至请了一些APM厂家的人过来做分析。但是分析出来的结果可能不尽如人意。现在有了Insight Center一切就变得非常的清楚，可能用户变慢的话，用户忙在什么地方一目了然。并且报表非常简单，很容易就看得懂。同时还可以和数据挖掘的一些软件整合，比如说Splunk。

对于NetScaler可视化，用户的访问行为流程是如何实现可视化的。对于用户来说，用户的请求首先发送到gateway，gateway将其转发到后台的业务系统，比如是Citrix的环境。在数据经过NetScaler的时候，NetScaler会做一个操作，将是将这些数据以AppFlow的方式发送到Insight Center当中，在Insight Center当中，存在着两个Insight，一个是基于HDX的Insight，一个基于Web的Insight。HDX的Insight的话是针对Citrix的虚拟桌面以及应用的，它会将基于Citrix的这些数据吐出来发送到Insight Center。Web的Insight是基于Web的应用的数据都可以吐出来发送到Insight Center。Insight Center在版本11当中也有一个较大的提升。在使用可视化的时候，最为关键的是需要在NetScaler上的服务AppFlow勾选上，在10.5的时候，这个功能默认就是打开的，我们不用的时候建议就将其关闭掉。

那么在Insight Center上我们可以看见什么东西？如上图，我们可以看见网络的信息，这个是比较重要的信息，这个对于用户来讲，用户也可以将其集成到NPM的解决方案当中，NPM是一种网络性能监控的解决方案，在网络当中安装探针，探针会将数据的流量发送到数据的收集端，收集端会将其进行分析之后生成报表。在Citrix当中，NetScaler就充当了这个探针，然后我们通过AppFlow的方式将流量吐出来做这个事情。为什么叫AppFlow，是有一个区别，Flow这个是技术最初是又思科公司发明的，名叫NetFlow，NetFlow是一种数据交换方式，其工作原理是：NetFlow利用标准的交换模式处理数据流的第一个IP包数据，生成NetFlow 缓存，随后同样的数据基于缓存信息在同一个数据流中进行传输，不再匹配相关的访问控制等策略，NetFlow缓存同时包含了随后数据流的统计信息。NetFlow能够看到的信息都是比较简单的，比如源地址，目的地址，源端口，目的端口等这些基本信息。但是对于Web访问来说我们是需要看到更多的东西的，包括URL、目录、浏览器等等，当然最主要是能够看见ICA协议里面的这些东西。所以Citrix基于Flow，开发扩展了AppFlow。

接下来我们介绍多因素认证的一些东西。大家在之前可能觉得NetScaler在多因素认证这一块有点弱，弱在什么地方？比如说用户希望用户认证之后看到不同的UI界面，在版本11之前我的实现方式是比较麻烦的，因为大家可能知道，NetScaler对认证，包括登录界面以及登录后的界面，都是放置在一起的。那么对于新的NeScaler 11来说，这一块来说就有Dynamic Auth Flow、有Extensible to any number、Policy based decisions、EPA based selection、UI generation usingLoginSchema等。EPA based selection是需要对终端进行扫描之后最决定是否允许接入，特别是UI generation usingLoginSchema，我们可以根据认证用户的不同权限来显示不同的UI。当然这个功能如果我们有软件环境，比如StoreFront，那么我们直接就可以实现，但是这宫功能主要是用来使用于没有这类软件的场景下，而且用户有需要这个功能。

同时认证这一块还支持SAML的模式，SAML即安全声明标记语言，英文全称是Security AssertionMarkup Language。它是一个基于XML的标准，用于在不同的安全域(security domain)之间交换认证和授权数据。在SAML标准定义了身份提供者(identity provider)和服务提供者(service provider)，这两者构成了前面所说的不同的安全域。虽然SAML认证对于版本11来讲并不是一个新的东西，但是会有一些提升，包括对SAML的SingleLogout、Redirect Binding等等，具体可以查看上图所述的信息。如果现有有用户需要使用SAML这样的认证场景下，NetScaler可以很好的满足他的需要了。

如上图，版本11还推出了一个新的功能，GSLB Zone Preference。GSLB 是英文Global Server LoadBalance的缩写，意思是全局负载均衡。作用：实现在广域网（包括互联网）上不同地域的服务器间的流量调配，保证使用最佳的服务器服务离自己最近的客户，从而确保访问质量。NetScaler的GSLB功能在部署Gateway的时候，在以前的部署场景中很少有集成在以前使用的。同时在local DNS中，GSLB的Site选择会有一个问题，这个问题是LDNS issue，在一些场景下LDNS issue会变得非常的大。比方说我们在联通的网络当中，我可能使用了LDNS，在选择路径的时候可能并不是一个最佳的路径。在这种情况下面，如果我们有多个数据中心的Citrix虚拟桌面环境，那么在StoreFront当中，所产生的ICA协议文件给到用户这边的，可能会有冲突或者或者说不正确。结果是，用户使用LDNS访问虚拟桌面，虽然用户在访问的前端使用了NetScaler的GSLB选择了一台优选的路径去访问，但是StoreFron并没有去选择一条优选的路径或者没有去选择正确的后台数据中心，实际上就导致整个访问的体验并不好。那么用户不得不手动去调整一个正确是配置或者选择最优的路径去访问。

我们通过下面的图片来详细解释下这个问题：

在这张图上，用户在华盛顿特区，它的LDNS属于San Jose。LDNS如果是San Jose的话，在后端的数据中心中，一个是属于San jose，如图。另一个是New York。那么通过GSLB，GSLB是通过查看用户本地的LDNS的IP来判断选择最优路径。因为用户的LDNS是San Jose，俺么正常情况下用户就应该去和那个文的是San jose的虚拟桌面。

如图，这个时候通过GSLB判断出来了，用户成功去访问到了San Jose的数据中心的Citrix NetScaler服务Gateway。不管是使用动态的就近双方也好还是静态的就近双方也好，反正是正常的给出了san jose的一个地址。那么连接到gateway之后呢？问题就在于StoreFront了。StoreFront去连接DDC（Desktop DeliveryController），最后DDC给出了可用的虚拟桌面信息，包括IP地址以及登录凭据等等。

如图所示，如果StoreFront是去New York的DDC去拿的虚拟桌面信息，那么最终用户的虚拟桌面访问就成了这样子：

那么这明显是一个不友好的使用体验。

针对这个问题的解决的方案就是在版本11中，针对于GSLB和StoreFront做了一个联动的方式来解决这个问题，这就是GSLB Zone Preference功能。那么具体是怎么实现的呢？

首先在GSLB来讲，选择一个GSLB的selection，在图上，最右边有三个数据中心，在右上角有一台StoreFront。

比如此时GSLB选择1，在这当中GSLB会去检查一下三个数据中心的对应关系。

然后将请求的数据交给StoreFront，此时，NetScaler的GSLB已经把优选的数据中心的IP地址写入到了给出的数据中，告诉StoreFront应该选择后端的那个IP地址。

然后StoreFront再去优选的数据中心向里面的DDC请求虚拟桌面的认证信息以及生成ICA文件所需的信息。

拿到所需信息生成ICA文件之后，StoreFront将其返回给到NetScaler，NetScale了返回到用户。

对于用户来讲，本地Citrix Receiver解析ICA文件之后，就直接访问优选的数据中心的虚拟桌面即可。

那么有了这个解决方案之后，我们再遇到类似GSLB和Gateway集成的时候，就可以使用这个解决方案完美解决上述存在的问题了。

在Gateway的最后，介绍最后一个功能，即RDP代理。

在配置当中专门有针对于RDP的一个策略，我们在这个策略中可以对RDP协议做如上图所示的这样一些优化。那么为什么会有这样一个功能呢？我们知道传统的RDP发布到外网都是通过防火墙做NAT端口映射。这样存在的一个问题就是RDP协议本身有漏洞，那么***就可以使用RDP协议很轻易的***进入我们的内网，使用NetScaler版本11的RDP代理，我们可以面免去这样带来的被***的风险。