從12年12月Citrix 收購Zenprise到現在,Citrix推出移動裝置管了解決方案也已經過去了2年半的時間了,在這兩年半的時間中Citrix現有推出了XenMobile 8.6,XenMobile9.0,以及最新的XenMobile10.0 這不僅标志着Citrix對其自身打造WorkSpace移動辦公空間的全方位解決方案傳遞,也标志着人們對移動端越來越依賴的BYOD趨勢。
在此次系列博文中,我以XenMobile9.0為藍本進行XenMobile的功能介紹與安裝、部署,10.0雖然将DeviceManager與AppController的兩個元件進行了合并,但是大概的架構都是相通的。
Citrix XenMobile是一個完整的集MDM移動裝置管理、MAM移動應用管理、MCM移動内容管理于一體的綜合性移動化安全內建傳遞方案,除了對以上三個方面的管控外,其還可以與包括Cisco、ForceScout等廠家的網絡方案進行內建來實作移動裝置的安全準入,比如某些移動裝置未連接配接特定WIFI、未安裝特定軟體、未使用特定版本的作業系統、或者手機進行越獄等情況下禁止接入公司無線網絡。除此之外,與VMware AirWatch以及其他MDM産品相比的另一個優勢在于,Citrix目前已經将MDM與自家的XenDesktop虛拟桌面、XenApp虛拟應用、NetScaler網絡與安全網關裝置進行了深度整合,整合後可以為企業打造公司内部的私有的應用商店,像蘋果AppStore一樣,企業可以将自己公司的虛拟桌面、虛拟應用、原生應用在一個集中的界面進行傳遞,通過MDM傳遞到使用者的裝置主螢幕中。企業内部開發原生應用的使用也無需像傳統方式一樣需要送出到蘋果AppStore、或者安卓各大應用商店進行稽核,而可以直接在自己公司内部的應用商店中進行推送,使用者可以在第一時間收到公司推送的應用程式,大大的縮短了業務系統的上線時間與部署費用。
在本系列的博文中,我将會參照完整的企業生産環境部署進行相應的介紹與配置,包含各個元件的高可用,與XenApp、XenDesktop、NetScaler的結合,同時如果本系列部落格閱讀人數較多取得成功的話,會立即進行XenMobile 10與Citrix 最新的StoreFront3.0以及相應産品的編寫釋出,謝謝。
本系列環境的架構圖如下所示:
本系列環境所部署的伺服器元件如下表所示:計算機名 | IP | 描述/OS |
MDM-01 | 192.168.8.26 | 移動裝置管理伺服器 XenMobile 9.0 on Windows Server 2008 R2 |
MDM-02 | 192.168.8.27 | |
AC-01 | 192.168.8.28 | 應用釋出、管理伺服器 AppController 9.0 |
192.168.8.29 | ||
MDMSQL-01 | 192.168.8.30 | MDM資料庫伺服器 SQL Server 2008 R2 on Windwos Server 2008 R2 |
mam.demo.com | 192.168.8.31 | MDM負載均衡虛拟IP(NetScaler端配置) |
appcontroller.demo.com | 192.168.8.32 | AppController高可用叢集虛拟IP(自身叢集機制) |
ac.demo.com | 192.168.8.40 | AppController提供外網通路網關位址(NetScaler端配置) |
本環境所關聯的其他服務的元件如下表所示:
伺服器名稱 | IP 位址 | 描述/ OS |
AD01 AD02 | 192.30.1.1 192.30.1.2 | Windows Server 2008 R2. Demo.com域控制器、DNS伺服器 |
DHCP-01 | 192.168.8.9 | Windows Server 2008 R2.DHCP伺服器、Windows CA憑證頒發伺服器 |
DDC-01 DDC-02 | 192.168.8.11 192.168.8.12 | Windows Server 2008 R2.XenDesktop 7.6桌面傳遞控制器 |
ZDC-01 ZDC-02 | 192.168.8.20 192.168.8.21 | Windows Server 2008 R2.XenApp 7.6 虛拟應用傳遞控制器 |
SF-01 SF-02 | 192.168.8.13 192.168.8.14 | Windows Server 2008 R2.StoreFront 2.6虛拟桌面、虛拟應用平台通路前端 |
Sf.demo.com | 192.168.8.39 | StofeFront 負載均衡虛拟IP.配置在NetScaler端 |
NetScaler-01 NetScaler-02 | XenNet01 MGIP :192.168.8.36 XenNet02 MGIP :192.168.8.37 SNIP :192.168.8.38 MAM-LB-VIP :192.168.8.31 MAM-AG-VIP :192.168.8.40 | NetScaler 2台做高可用叢集 |
XenMobile在部署過程中會涉及到3個證書,分别為管理蘋果裝置所需的蘋果公司簽名的APNS證書、AppController伺服器證書、MDM伺服器證書,其中APNS證書需要向蘋果公司申請,AppController證書可以由公司内部的CA伺服器頒發,在本環境中我們采用與虛拟桌面storefront采用同一個通配符域名證書,MDM伺服器證書為安裝MDM伺服器時生成,該證書預設為MDM伺服器自簽名證書,後期可以将其更改為使用公司内部CA頒發的證書。
本環境中所使用的證書如下表所示:
證書名稱 | 注冊名稱 | 頒發機構 | |
APNS證書 | 蘋果公司 | 由蘋果授權使用XenMobile管理IOS裝置 | |
StoreFront伺服器證書 AppController伺服器證書 公網通路虛拟桌面vdesktop.demo.com證書 | *.demo.com | 内部WindowsCA | 使用一個通用證書來為StoreFront、AppController以及使用者通路提供加密驗證 |
MDM伺服器證書 | MDM伺服器自簽名 | 由MDM伺服器安裝時自動生成,提供使用者通路mam.demo.com注冊裝置時以及管理者通路mam管理平台使用 |
XenMobile在部署過程中,需要在網際網路注冊2個域名,對應使用公司2個公網IP位址,2個域名分别為MDM伺服器注冊位址與MDM通路WorxStore通路應用程式商店所調用的位址。本環境中的網際網路映射位址如下所示:
DNS名稱 | 公網IP | 内網IP | 端口 | 備注 |
公司公網IP | MDM伺服器叢集 | 80、443、8443 | 移動裝置通路注冊位址 | |
443 | MDM調用Worx Store通路位址 |
同樣在本環境中所有使用到的端口如下所示,如果公司對安全管理較為嚴格的話,可按照如下的清單開放相應的端口
源位址 | 目的位址 | ||
用于從 Citrix Receiver 連接配接到StoreFront 或從 Receiver for Web 連接配接到 XenApp 和 XenDesktop | |||
MDM用戶端注冊、MDM用戶端與MDM伺服器之間的資料傳輸 | |||
MDM伺服器01 | ax.itunes.apple.com vpp.itunes.apple.com login.live.com *.notify.windows.com | 80、443 | MDM連接配接蘋果ituns與微軟Windows Phone推送伺服器 |
17.0.0.0/8 | 2195、2196 | MDM伺服器通路蘋果APNS服務feedback.push.apple.com,用于IOS裝置的資料及政策推送 | |
MDM伺服器02 | |||
如上就是整個部署環境的基礎介紹,在下一節中我們将介紹各個元件證書的申請。