Storefront与NetScaler的集成配置 - part1
随着XenDesktop 7的大规模使用,配合其用户希望通过Internet访问其虚拟桌面,其Storefront与NetScaler集成的需求也越来越多。
不过相比过去的NetScaler与Web Interface的配置相比,很多配置项都发生了改变。所以不少初次接触的工程师会感觉无所适从。
其实相比过去NetScaler与Web Interface集成配置,现在的NetScaler已经拥有了NetScaler Gateway Wizard这一自动化的工具,
基本的配置工作量要减轻不少。不过由于整个配置过程中涉及到大量的网络通信需求,所以建议在配置前做好规划,准备好相应的
各种信息是必不可少的。如:内外网地址,公网域名,证书等。
本例中:
NetScaler:
管理IP(NSIP):192.168.40.200
Sunnet IP(子网IP):192.168.40.205
NGVIP(虚拟IP):192.168.40.210
Storefront:
主机名:storefront.wwco.local
域控制器:192.168.50.10
首先安装、配置storefront(如果你的storefront已经与DDC控制器安装在一起,也可以直接使用)本例中,安装Storefront步骤跳过。
1. 打开Citrix StoreFront控制台,点开“身份验证”,在右侧选择“添加/测试方法”,
2. 将“域直通”,“NetScaler Gateway直通”勾选上,并保留默认的“用户名和密码”
3. 选择“NetScaler Gateway”,选择“添加NetScaler Gatway设备”,
4. 在设置中,输入显示名称,在NetScaler Gateway URL和回调URL中,输入外网发布的域名。本例中为:https://go.citrixlab.com 。
在子网IP地址中这里,可以直接放空,不填入SNIP地址。
5. 选择“存储”,"启用远程访问",选择“完整VPN隧道”,将刚才创建的NetScaler勾选上,确认即可。
到此,Storefront的XenDesktop部分设定完成。
不过请注意,由于NetSclaer与Storefront集成中,所有的验证都是经由NetScaler完成传递给Storefront,然后Storefront会再把请求丢回到NetSclaer做一次确认的动作,
所以在Callback URL是NetSclaer的一个VIP地址,本例中就直接指到了发布的域名。
所以为了完成这一个验证的链路,需要保证在Storefront上解析callback 中的server 那么所解析的IP地址是NetScaler的VIP地址。
操作方法可以是在Storefront的服务上直接改hosts记录,也可以是在DNS上加一条对应的记录。最终的结果就是在storefront上ping go.citrixlab.com的结果如下:
另外从Best practice来说,由于NetScaler也可能会部署在DMZ区域,为了保证安全性,NetSclaer和Storefront之间的通信建议也走SSL,
所以建议为Storefront也起一张证书。由于是内部通信,可以通过Windows CA来完成证书的签发,也可以通过自签证书来完成。本例中使用Windows CA。
1. 首先请确保环境内有一套Windows CA,
2. 访问Storefront,打开IIS manager控制器,
3. 在服务器证书管理中,选择创建“域证书”,
4. 在通用名称中输入你指定的storefont的访问域名,不一定非要与主机名相同,本例中为: storefront.wwco.local
5.指定好内部的Windows CA主机名和Friendly Name
6.支持在storefront上证书已经申请好。但请注意,在storefront上起好证书以后,需要把WIndows CA的root证书导入到NetScaler上,
否则双方走SSL通信的时候会出现不信任的情况。如果是自签证书,则请把自签证书导入到NetScaler中。