Perinteiset sovellukset pilvestä?

Written By Kimmo Hassinen
3.png

Sovellukset siirtyvät kovaa vauhtia pilveen. Yhä useampaa sovellusta pystytään käyttämään mobiiliappina tai selainsovelluksena. Moni uusi yrityksen sovellus hankitaan palveluna suoraan sovelluksen toimittajalta.

 

Siirtymä pilveen on käynnissä mutta edelleen suuri osa yritysten ohjelmistoista on perinteisiä Windows client-server sovelluksia. Niiden hallinta ja tietoturvallinen etäkäyttö hyödyntäen julkisen pilven tarjoamia mahdollisuuksia herättää kiinnostusta asiakkaissamme.

 

Olemme hyödyntäneet Citrix Cloudia perinteisten sovellusten pilveistämiseen monessa projektissamme. Erityisesti pidämme sen toimittaja riippumattomuudesta eli mahdollisuudesta integroitua kaikkien kolmen ison julkipilvipalveluiden toimittajan konesaleihin.

 

Monen asiakkaamme valinta on ollut Google Cloud Platform (GCP). GCP on kolme suuresta toimijasta ainoa, jolla on julkisesti saatavilla oleva konesali Suomessa. Palvelu tarjoaa vikasietoisen ja skaalautuvan ympäristön kaikentyyppisille kuormille.

 

Citrix Cloudin ja GCP ympäristön käyttöönotto on nopeaa. Alla esimerkki kuinka ympäristöt pääpiirteittäin pystytetään hyödyntäen autentikointiin asiakkaan Google identiteettiä

Citrix Cloudin perustaminen 

1.jpg

Rekisteröidytään cloud.citrix.com
osoitteeseen

2.png

Valitaan alue, jolla Citrix Cloudin Control Plane sijaitsee. Tärkeää valita European Union, jos GDPR yms. vaatimuksia datan sijainnista EU-alueella. Citrix Cloudiin mm. raportoidaan sessioista lisenssikäyttöä. Jo perustetun instanssin siirto alueiden välillä ei ole välttämättä helppoa

●       Sähköpostiin tulee viesti, jolla osoite vahvistetaan

●       Luodaan salasana

3.png

Tehdään pyyntö Trialista

4.png

Kun Trial on myönnetty konsoli aukeaa. Ensimmäiseksi yhdistetään Citrix Cloud ja Cloud Connector. Sitä ennen perustetaan Cloud Connector palvelin GCP:hen

Googlen Cloud Platform (GCP) ympäristön luonti

Olemme kokeneet GCP:n hallintakonsolin erittäin helppona ja yksinkertaisena käyttää. Käyttöliittymä on erittäin selkeästi jaoteltu ja responsiivinen. Toimintoja ei ole piilotettu pitkien valikkorakenteiden taakse.

 

Google GCP ympäristön pystyy luomaan omalla Google-tunnuksella. Tunnuksessa on oltava maksutapana lisätty luottokortti. Cloud2 tarjoaa Googlen GCP ympäristön hallinnoinnin ja laskutuksen palveluna kauttamme.

 

GCP ympäristön luonti menee pääpiirteittäin seuraavasti:

5.png

Luodaan verkkorakenne

6.png

Luodaan VPN asiakkaan ja GCP:n verkon välille

7.png

Asennetaan Cloud Connector. Minimissään 1 Windows 2012R2/2016 palvelin. Vikasietoisuuden takia suositus 2 kpl. Cloud Connector hoitaa kommunikoinnin Googlen ja Citrixin Cloudin välillä. Minimispeksit Cloud Connectorille ovat 2vCPU:ta ja 8GB RAM:a

8.png

Asennetaan Virtual Delivery Agent (VDA). VDA palvelimeen asennetaan sovellukset, joita halutaan käyttää Citrix Cloudista käyttää. Sen käyttöjärjestelmä voi olla Windows 2008 R2 tai uudempi. VDA palvelimen päivitys ja ylläpito on aina asiakkaan vastuulla

9.png

Tarkistetaan palomuurisäännöt, että liikenne halutuista verkoista onnistuu

Citrix Cloud yhteys GCP:hen

Citrix Cloud yhdistetään Googleen Cloud Connectorin avulla. Cloud Connector muodostaa SSL-suojatun yhteyden Citrixin pilven ja Googlen pilven välille. Citrix Cloudista tehdään host connection yhteys GCP:hen. Tämän yhteyden avulla Citrix Cloud voi hallita GCP:ssa sijaitsevia palvelimia. Luoda koneita, käynnistää ja sammuttaa.

 

●       Kirjaudutaan Cloud Connector palvelimelle ja asennetaan Connector. Kirjaudutaan Connectorin asennuksessa sisään Citrix Cloud tunnuksilla. Kun Connector on asennettu näkyy Citrix Cloudissa GCP:ssa oleva site

10.png

Avataan Citrix Studio Cloudissa (Full configuration)

  • Tehdään Service account GCP:hen Citrix yhteyttä varten

11.png

Luodaan yhteys Citrix Cloudista Googleen

12.jpg

Luodaan Machine Catalogit. Machine Catalogia luodessa koneen pystyy etsimään GCP:stä

  • Luodaan Delivery Groupit

13.png

Julkaistaan sovellukset

On myös mahdollista provisioida VDA koneita käyttämällä jostain palvelimesta otettua snapshotia. Tekemällä päivityksen yhteen template koneeseen (snapshotiin) pystyy päivittämään kaikki VDA palvelimet uuteen image versioon. Näin jokainen palvelin ei ole omanlaisensa vaan pohjautuu yhteen samaan snapshottiin.

Netscaler Gateway

Netscaler Gateway on palvelu, jota kautta Citrix ympäristöihin päästään tietoturvallisesti kiinni internetin yli. Ratkaisu on mahdollista toteuttaa kahdella tavalla. Citrix tarjoaa Netscaler Gatewayn palveluna Citrix Cloudista. Netscalerin voi myös hankkia asiakkaan itse ylläpitämänä virtuaaliappliancena. Citrixin hostaamassa Netscaler Gateway palvelussa on vielä tiettyjä rajoitteita, jotka ovat estäneet palvelun käytön osassa ympäristöissä. Netscaler Gateway palvelu sijaitsee Azuren konesaleissa Keski-Euroopassa. Suomessa liikenne Gatewayn kautta sovelluksiin tekee siis mutkan Euroopan kautta. Toinen rajoite on, että kaikkia autentikointimenetelmiä ei vielä tueta (Esim. Google identiteetti)

14.png

Netscaler Gateway palvelun ulkoinen osoite on muotoa asiakas.cloud.com. Muun kuin cloud.com domainin käyttö ei ole mahdollista palvelussa vaan vaatii oman Netscalerin asiakkaalle.

Autentikointi käyttäen Federated Authentication Serviceä ja Google identiteettiä

Federated Authentication Service (FAS) on Citrixin sovelluskomponentti, joka mahdollistaa saumattoman kertakirjautumisen Windowsiin eri autentikointimenetelmillä. Ilman FAS:a ei SAML:iin perustuvalla Google autentikoinnilla voisi kirjautua Windowsiin (SAML sanoma ei sisällä salasanaa). FAS ohittaa tämän ongelman pyytämällä käyttäjäsertifikaatin sisäiseltä varmentajalta (CA) ja kirjautumalla sertifikaatilla Windowsiin Citrix sessioon. Vaatimuksena on siis, että asiakkaalta löytyy toimiva sisäinen sertifikaatti infra. Autentikoinnin konfigurointi menee pääpiirteittäin seuraavasti:

 

  • Käydään admin.google.com portaalissa lisäämässä uusi SAML applikaatio

15.jpg

Otetaan ylös IdP data ja ladataan sertifikaatti

●       Annetaan Service Provider Details lehdellä Netscaler Gateway Virtual Serverin julkinen url

●       Asennetaan FAS (Löytyy XenApp asennusmedialta) ja konfiguroidaan siitä yhteys sisäiselle CA:lle. FAS lisää sisäiselle CA:lle käyttämiään sertifikaattitemplateja

●       Tuodaan Google IDP sertifikaatti Netscaleriin ja konfiguroidaan SAML autentikointipolitiikka

Lopputulos:

16.png

Kirjaudutaan Netscaler Gateway:n osoitteella sisään, joka ohjaa autentikoinnin Googleen:

17.png

CRM 2009 käynnistyy webbiportaalista ilman tunnuskyselyitä. Itse CRM Client ajetaan Googlen konesalissa Haminassa.

Haasteet ja kehittämiskohteet

Citrix Cloud ja Google ratkaisuissa on paljon hyvää. Aivan kaikki ei vielä kuitenkaan toimi niin kuin haluaisimme. Alla listaa asioista, joihin odotamme kovasti korjausta:

 

●       Citrix ADC(Netscaler) VPX on ajettava GCP:ssa Nested virtualization tilassa. Tämä ei ole Citrix virallisesti tukema.

●       GCP:n VPN liikenne kiertää vielä Ruotsin kautta. Latenssit reilut 20 ms Suomesta. Tämä ei riitä kaikille Client-Server sovelluksille.

●       Lisensointi Microsoftin osalta. Ei mahdollisuutta tuoda omia Windows Server lisenssejä tai käyttää SPLA:ta alustan osalta.

●       Cloud Connector vaatii dedikoidut Windows palvelimet. Toiveissa että tähän tulisi appliance tyyppinen ratkaisu.

●       Citrix Cloudin Netscaler Gateway palvelu ei vielä tue Google identiteettiä. Azure AD tuki löytyy.

Kimmo Hassinen
Previous

Tätä et usko: Kanarialla tehdään töitä pilvessä
Next

Mikon ensimmäinen viikko pilvessä