Článek přečtěte do 8 min.

Když přistupujete k nasazení Linux VDA, můžete mít tendenci je považovat za trochu jiný druh Windows VDA. Ve skutečnosti jsou zcela odlišné. Dělají stejnou práci, ale uvnitř existují určité výrazné rozdíly.

V několika následujících odstavcích zdůrazníme některé rozdíly v designu a to, jak mohou ovlivnit vaše nasazení Linuxu.

Jaké typy scénářů podporujeme?

Jednou z běžných mylných představ je, že podpora Linux VDA se řídí stejnými pravidly, která platí pro Windows VDA. Například verze Windows VDA by měla odpovídat verzi CVAD Site. Pokud je například váš web založen na CVAD 2203, vaše Windows VDA by měly odpovídat této verzi. Nakonec, pokud požadovaný OS není podporován verzí CVAD, můžete nainstalovat kompatibilní starší, ale stále podporovanou verzi Windows VDA. Tuto kombinaci podporujeme, dokud nebude operační systém podporován společností Microsoft.

S Linuxem VDA jsme o něco flexibilnější. Podporujeme používání starších verzí Linux VDA jako v případě Windows; pro Linux však podporujeme také používání novějších verzí Linux VDA. V posledním případě je tu malé upozornění; pokud funkce Linux VDA vyžaduje povolení stejné verze CVAD, musíte na tuto verzi upgradovat svůj web CVAD.

Například podporujeme nasazení počítačů Linux VDA 2402 na 2203 CVAD Site, ale pokud funkce 2402 vyžaduje 2402 CVAD Site, musíte upgradovat vaši instalaci, abyste ji mohli používat.

Pokud udržujete instalaci LTSR, mějte na paměti, že použití verzí VDA odlišných od základní verze může ovlivnit shodu s LTSR. Zjistěte více o souladu s LTSR.

Na druhou stranu podporujeme „OS“ trochu jiným způsobem. Ve světě Linuxu se bavíme o linuxových distribucích a jejich verzích.

Distribuce Linuxu je kompletní operační systém, který zahrnuje linuxové jádro, systémové knihovny, nástroje, aplikační software a systém správy balíčků. Vytváří se sestavením různých softwarových komponent z různých zdrojů a jejich zabalením dohromady, aby poskytlo soudržné a uživatelsky přívětivé výpočetní prostředí.

Samozřejmě podporujeme všechny verze podporované jejich správci softwaru, ale také poskytujeme omezenou podporu pro verze End Of Life. Omezená podpora přichází s malým upozorněním; nainstalovaná verze Linux VDA musí být podporovaná verze LTSR a distribuční verzi budeme podporovat, dokud nebude možné opravit chyby/problémy beze změn v kódu distribuce.

Formálně je to vyjádřeno v této poznámce:

Když podpora od vašeho dodavatele OS vyprší, Citrix může mít omezenou schopnost napravovat problémy. Zastaralé nebo odstraněné platformy najdete v tématu Ukončení podpory.

Přečtěte si více o podpoře End of Life.

Abychom uvedli příklad, CentOS 7 dosáhl konce své životnosti (EOL) 30. června 2024. Po tomto datu můžete používat linuxové stroje ve svém prostředí Citrix s 2203 Linux VDA až do roku 2027, kdy Linux VDA dosáhne svého EOL. To může skončit dříve než v roce 2027, pokud vyvineme opravu/opravu, která vyžaduje aktualizaci softwaru v distribuci Linux. Když k tomu dojde, nebudeme schopni problém vyřešit a CentOS 7 prohlásíme za nepodporovaný.

Buďte prosím velmi opatrní a zvažte všechny bezpečnostní aspekty používání nepodporované distribuční verze v produkčním prostředí. Nenavrhujeme ani nedoporučujeme používat nepodporovaný software.

A co škálovatelnost Linux VDA v Citrix DaaS?

Aktuální limity Citrix DaaS jsou zveřejněny zde.

Pokud se podíváte na maximální počet VDA, které můžete nakonfigurovat v jednom umístění zdroje, získáte obecný pevný limit 10 000 VDA. Také doporučujeme přísnější limity zřizování pro předplatné jednoho veřejného poskytovatele.

Jsou tyto limity platné pro nasazení VDA pro Windows i Linux? Krátká odpověď zní ne, nebo alespoň zatím ne. Ve skutečnosti zveřejněná čísla vycházejí z testů škálovatelnosti zaměřených na Windows VDA. Takže, co Linux VDA?

Pokusíme se vysvětlit, co se skrývá v zákulisí.

Komunikace Citrix VDA s Cloud Connectorem je v současnosti založena na WCF (Windows Communication Foundation). Linuxová VDA používají připojení WCF jinak než Windows VDA. Někdy to způsobí, že cloudovým konektorům dojdou prostředky, když je v umístění prostředků aktivních příliš mnoho Linuxových VDA.

Cloud Connector normálně funguje v online režimu, ale mohou nastat situace, kdy nemůže dosáhnout služeb DaaS. V těchto případech přejde do režimu výpadku nebo režimu LHC. Za normálních okolností se v online režimu všechny cloudové konektory používají ke zpracování registrace VDA, zatímco během výpadku bude opětovné registrace VDA spravovat pouze zvolený sekundární broker. Nezvolení sekundární brokeři v zóně aktivně odmítají příchozí připojení a požadavky na registraci VDA.

Další podrobnosti o místní mezipaměti hostitele a místní mezipaměti hostitele HA.

Nyní víte, že limit 10 000 VDA na umístění zdroje představuje počet Windows VDA, které se mohou během výpadku zaregistrovat k jednomu cloudovému konektoru.

Nejnovější verze Linuxu VDA (1912 CU9, 2402, 2203 CU5 a aktuální CR) procházejí určitou optimalizací kódu a v současnosti každý Cloud Connector v online režimu podporuje až 3000 Linuxových VDA, zatímco v režimu výpadku (LHC) jich podporuje 4000. Pokud používáte tyto verze, doporučujeme konzervativní limit 3000 Linux VDA na umístění zdroje.

Na nových verzích Linux VDA (2402 CU1 a 2407) jsme zvýšili online limit na 6000. To znamená, že nyní podporujeme až 6000 Linux VDA na umístění zdroje.

Potřebujete-li toto číslo posunout výše, obraťte se na svého partnera služeb Citrix nebo přímo na svého zástupce společnosti Citrix, aby se zapojili do našich týmů profesionálních služeb a PM za účelem specializovaného vyhodnocení vašeho případu.

Ano, čtete správně. To je zajímavý fakt; Cloud Connectors mají vyšší kapacitu v režimu výpadku než v režimu Online.

Závěrem je, že pokud potřebujete maximalizovat počet Linuxových VDA v umístění zdrojů, musíte použít nejnovější verze. Neustále v Citrixu pracují na zlepšení těchto limitů, takže pokud plánujete nasadit 1000 linuxových VDA, promluvte si s námi o některá aktualizovaná doporučení.

Co dalšího by mohlo ovlivnit uživatelské relace?

Nyní mám na mysli stroje Linux VDA připojené k Active Directory. Kromě standardních chybných konfigurací a běžných problémů existuje jedna věc, která jistě ovlivňuje uživatelský dojem z přihlašování: latence LDAP.

Pojďme si promluvit o tom, co se tady děje.

Během přihlašování uživatele existují alespoň dvě fáze, kdy se spouštějí dotazy LDAP. První z nich je na začátku s ověřováním pověření, ale bezprostředně poté následuje fáze hodnocení politik. Linux VDA stáhne všechny zásady Citrixu lokálně a poté je všechny postupně jednu po druhé zpracuje. Vzhledem k tomu, jak Linux VDA funguje, nebyly dotazy LDAP příliš efektivní.

Existovaly některé nadbytečné kontroly, které by bylo možné zjednodušit. Optimalizovaný kód je k dispozici pro verzi 2407 (aktuální verze) a pro verze 2203 CU5 a 2402 CU1 LTSR. To je důvod, proč může mít latence obrovský dopad na dobu přihlášení. Někdy, pokud je latence příliš vysoká a vyhodnocení zásad trvá déle než 30 sekund, bude relace přerušena a ukončena. Toto je známé jako nechvalně známá šedá obrazovka.

Dalším aspektem, který musíte vzít v úvahu, je, že počítače se systémem Linux nejsou schopny použít konfiguraci stránek Active Directory k určení nejbližších řadičů domény. Ve výchozím nastavení používá počítač se systémem Linux k získání seznamu DNS a používá je náhodně. Linux VDA je místo toho seřadí pomocí latence LDAP a uloží seznam 3 rychlejších serverů do hodnoty „registru“ ListOfLDAPServersForPolicy. Informace o latenci lze nalézt v protokolu jproxy (/var/log/xdl/jproxy.log). Existují prostředí, kde potřebujete používat specifické řadiče domény; v tomto případě je můžete vynutit konfigurací hodnoty „registru“ ListOfLDAPServers.

/opt/Citrix/VDA/bin/ctxreg create -k “HKLM\Software\Citrix\VirtualDesktopAgent” -t “REG_SZ” -v “ListOfLDAPServers” -d “ldap1.test.local:389 ldap2.test.local:389” -platnost

Důležitá poznámka: Pokud nejsou všechny nebo některé nakonfigurované řadiče domény dosažitelné, Linux VDA nemusí fungovat správně. Řešením bývalo spuštění příkazu ctxreg k odstranění nedostupných serverů LDAP ze seznamu. Od verze 2402 je nyní klíč ListOfLDAPServersForPolicy nahrazen klíčem ListOfActiveLDAPServers. Kromě změn názvu je upraven tak, aby lépe odpovídal funkci.

ListOfActiveLDAPServers je pravidelně aktualizován každých 15 minut Linuxem VDA. V případě, že všechny LDAP servery nakonfigurované v ListOfLDAPServers nejsou funkční, Linux VDA se automaticky přepne na servery v seznamu ListOfActiveLDAPServers. Tato změna bude také zpětně portována v CU příštích verzí LTSR (2203 CU5).

V souvislosti s latencí LDAP je další věcí, kterou je třeba opatrně zvážit, využití CPU služby ctxpolicyd. Jak můžete předpokládat podle názvu, služba spravuje zásady Citrix aplikované na Linux VDA. Nejprve stáhne všechny zásady Citrixu do souborů GPF a poté analyzuje všechny informace, aby použil nakonfigurovaná nastavení. Toto je operace náročná na CPU.

Jak si dokážete představit, situace se může snadno stát kritickou, pokud během bouří přihlášení přidáte zatížení CPU generované ctxpolicyd nad latenci LDAP. Pokud má hypervizor omezenou kapacitu procesoru, můžete zaznamenat dokonalou bouři, která bude mít za následek praskání registrace Linux VDA a šedé obrazovky při přihlášení uživatele.

Na toto přesné téma kromě optimalizací LDAP dostupných ve verzi 2407 aktivně vyvíjíme lepší způsob analýzy zásad, který dále zkrátí dobu analýzy. Bude také k dispozici v dalších CU verzí Linux VDA LTSR.

Cílem je zkontrolovat latenci LDAP a nepřetěžovat váš hypervizor. Vyhraďte si nějaké zdroje na podporu kritických situací, jako je výpadek. Jasnou stránkou je, že vyvíjíme některá klíčová vylepšení, abychom všechny tyto situace usnadnili, ale nikdy nepodceňujte dopad vnějších podmínek.

Linux Kerberos versus Active Directory: sága o šifrování

Pokud se pokoušíte integrovat linuxové stroje se složitou infrastrukturou Active Directory, můžete narazit na nějaké potíže, nebo přinejmenším budete muset složitost poněkud vyřešit. Šifrování je zde určitě klíčové.

Linuxové distribuce mají obvykle tendenci být rychlejší při implementaci nových bezpečnostních protokolů. Microsoft dělá totéž, ale potřebuje zachovat kompatibilitu se starými komponentami (například staršími OS). Takže někdy se staré věci chvíli vlečou, než se dají roztřídit.

Typy šifrování jsou velmi důležité, pokud jsou ve vaší infrastruktuře Active Directory důvěryhodné domény. Můžete mít například službu Doména hostující všechny stroje a uživatelskou doménu pro uživatelské účty.

Na straně Linuxu Samba Winbind a SSSD podporují typy šifrování Kerberos RC4, AES-128 a AES-256. Šifrování RC4 bylo ve výchozím nastavení zastaralé a zakázáno, protože je považováno za méně bezpečné než ostatní dva typy šifrování. Naproti tomu vztahy důvěryhodnosti Active Directory mezi doménami ve výchozím nastavení podporují šifrování RC4. Typy šifrování AES musí být explicitně povoleny. Povolení vyžaduje mnoho kontrol, aby byla zajištěna kontinuita služby. Není to tak jednoduché jako vyřazování starších verzí OS.

Co byste tedy měli v tomto případě dělat?

Nejlepší možností je povolit šifrování AES na úrovni Active Directory a zajistit, aby všechny důvěryhodnosti mezi doménami v doménové struktuře Active Directory podporovaly silné typy šifrování AES. Pokud to není možné, jediným řešením je povolit šifrování RC4. Navíc může být nutné přidat do souboru krb5.conf následující řádek:

allow_weak_crypto = true

Proces aktivace RC4 se v každé distribuci mírně liší. Podívejte se prosím na dokumentaci vaší distribuce.

Katalogy strojů versus automatizace

Použití Citrix MCS k nasazení Katalogů strojů vám dává jistotu, že všechny stroje jsou homogenní a respektují všechna doporučení Citrix. Existují případy použití, kdy je automatizace zvolenou cestou k nasazení strojů. Jedním případem použití může být například nasazení přiřazených statických strojů. Jako vedlejší poznámku doporučujeme Citrix MCS jako nejlepší způsob nasazení sdružených strojů.

Vyzýváme zákazníky, aby používali automatizaci, ale je třeba dodržovat několik jednoduchých základních pravidel. Primárním pravidlem je, že Katalog strojů musí obsahovat homogenní stroje používající stejnou verzi VDA.

Jak se to projevuje ve světě Linuxu? Použití stejné verze Linux VDA je zásadní, ale co distribuce? No, jako vždy, nejlepší možností je použít stejnou distribuci pro všechny stroje, ale v určitých případech, jako u statických katalogů strojů, můžeme být o něco „elastičtější“. Můžete kombinovat různé distribuční verze a dokonce i různé distribuce. Důležité je zachování určitého stupně homogenity. Otázkou není, zda Linux VDA bude fungovat nebo ne, ale zda lze všechny složitosti, které zavádíte, spravovat v hybridní konfiguraci.

Samozřejmostí je, že katalogy strojů jsou kontejnery, ale měly by obsahovat pouze homogenní stroje.

Linux VDA nemá správu profilů

Tato námitka je sporná. Pro počítače s Linuxem jistě nejsou k dispozici žádná profilová řešení jako Citrix Profile Management nebo Microsoft FSLogix, ale to neznamená, že všechny uživatelské profily jsou lokální.

Ve světě Linuxu se koncept uživatelských profilů překládá do domovské složky. Stejně jako v každém jiném OS je na počítači se systémem Linux uživatelská domovská složka (profil) uložena lokálně. Aby byly nezávislé na jediném počítači, můžete je uložit do sdílené síťové složky NFS. V tomto případě je domovská složka připojena ze sdílené složky NFS.

Škálovatelnost a spolehlivost tohoto řešení přímo souvisí se škálovatelností a spolehlivostí sdílené složky NFS. Doporučujeme, abyste si to ověřili u svého dodavatele úložiště a před použitím v produkčním prostředí provedli nějaké interní testování.


Prohlášení: Tento článek může obsahovat odkazy na plánované testování, vydání a/nebo dostupnost produktů a služeb Cloud Software Group, Inc. Informace uvedené v tomto článku mají pouze informativní charakter, její obsah se může bez upozornění změnit a nelze se na ně spoléhat při rozhodování o nákupu. Informace nepředstavují závazek, příslib nebo právní povinnost dodat jakýkoli materiál, kód nebo funkcionalitu. Vývoj, vydání a načasování jakýchkoli funkcí nebo funkcí popsaných pro produkty zůstává na výhradním uvážení Cloud Software Group, Inc.