从12年12月Citrix 收购Zenprise到现在,Citrix推出移动设备管理解决方案也已经过去了2年半的时间了,在这两年半的时间中Citrix现有推出了XenMobile 8.6,XenMobile9.0,以及最新的XenMobile10.0 这不仅标志着Citrix对其自身打造WorkSpace移动办公空间的全方位解决方案交付,也标志着人们对移动端越来越依赖的BYOD趋势。
在此次系列博文中,我以XenMobile9.0为蓝本进行XenMobile的功能介绍与安装、部署,10.0虽然将DeviceManager与AppController的两个组件进行了合并,但是大概的架构都是相通的。
Citrix XenMobile是一个完整的集MDM移动设备管理、MAM移动应用管理、MCM移动内容管理于一体的综合性移动化安全集成交付方案,除了对以上三个方面的管控外,其还可以与包括Cisco、ForceScout等厂家的网络方案进行集成来实现移动设备的安全准入,比如某些移动设备未连接特定WIFI、未安装特定软件、未使用特定版本的操作系统、或者手机进行越狱等情况下禁止接入公司无线网络。除此之外,与VMware AirWatch以及其他MDM产品相比的另一个优势在于,Citrix当前已经将MDM与自家的XenDesktop虚拟桌面、XenApp虚拟应用、NetScaler网络与安全网关设备进行了深度整合,整合后可以为企业打造公司内部的私有的应用商店,像苹果AppStore一样,企业可以将自己公司的虚拟桌面、虚拟应用、原生应用在一个集中的界面进行交付,通过MDM交付到用户的设备主屏幕中。企业内部开发原生应用的使用也无需像传统方式一样需要提交到苹果AppStore、或者安卓各大应用商店进行审核,而可以直接在自己公司内部的应用商店中进行推送,用户可以在第一时间收到公司推送的应用程序,大大的缩短了业务系统的上线时间与部署费用。
在本系列的博文中,我将会参照完整的企业生产环境部署进行相应的介绍与配置,包含各个组件的高可用,与XenApp、XenDesktop、NetScaler的结合,同时如果本系列博客阅读人数较多取得成功的话,会立即进行XenMobile 10与Citrix 最新的StoreFront3.0以及相应产品的编写发布,谢谢。
本系列环境的架构图如下所示:
本系列环境所部署的服务器组件如下表所示:
|
计算机名 |
IP |
描述/OS |
|
MDM-01 |
192.168.8.26 |
移动设备管理服务器 XenMobile 9.0 on Windows Server 2008 R2 |
|
MDM-02 |
192.168.8.27 |
移动设备管理服务器 |
|
AC-01 |
192.168.8.28 |
应用发布、管理服务器 AppController 9.0 |
|
AC-01 |
192.168.8.29 |
应用发布、管理服务器 AppController 9.0 |
|
MDMSQL-01 |
192.168.8.30 |
MDM数据库服务器 SQL Server 2008 R2 on Windwos Server 2008 R2 |
|
mam.demo.com |
192.168.8.31 |
MDM负载均衡虚拟IP(NetScaler端配置) |
|
appcontroller.demo.com |
192.168.8.32 |
AppController高可用集群虚拟IP(自身集群机制) |
|
ac.demo.com |
192.168.8.40 |
AppController提供外网访问网关地址(NetScaler端配置) |
本环境所关联的其他服务的组件如下表所示:
|
服务器名称 |
IP 地址 |
描述/ OS |
|
AD01 AD02 |
192.30.1.1 192.30.1.2 |
Windows Server 2008 R2. Demo.com域控制器、DNS服务器 |
|
DHCP-01 |
192.168.8.9 |
Windows Server 2008 R2.DHCP服务器、Windows CA证书颁发服务器 |
|
DDC-01 DDC-02 |
192.168.8.11 192.168.8.12 |
Windows Server 2008 R2.XenDesktop 7.6桌面交付控制器 |
|
ZDC-01 ZDC-02 |
192.168.8.20 192.168.8.21 |
Windows Server 2008 R2.XenApp 7.6 虚拟应用交付控制器 |
|
SF-01 SF-02 |
192.168.8.13 192.168.8.14 |
Windows Server 2008 R2.StoreFront 2.6虚拟桌面、虚拟应用平台访问前端 |
|
Sf.demo.com |
192.168.8.39 |
StofeFront 负载均衡虚拟IP.配置在NetScaler端 |
|
NetScaler-01 NetScaler-02 |
XenNet01 MGIP :192.168.8.36 XenNet02 MGIP :192.168.8.37 SNIP :192.168.8.38 MAM-LB-VIP :192.168.8.31 MAM-AG-VIP :192.168.8.40 |
NetScaler 2台做高可用集群 |
XenMobile在部署过程中会涉及到3个证书,分别为管理苹果设备所需的苹果公司签名的APNS证书、AppController服务器证书、MDM服务器证书,其中APNS证书需要向苹果公司申请,AppController证书可以由公司内部的CA服务器颁发,在本环境中我们采用与虚拟桌面storefront采用同一个通配符域名证书,MDM服务器证书为安装MDM服务器时生成,该证书默认为MDM服务器自签名证书,后期可以将其更改为使用公司内部CA颁发的证书。
本环境中所使用的证书如下表所示:
|
证书名称 |
注册名称 |
颁发机构 |
描述/ OS |
|
APNS证书 |
mam.demo.com |
苹果公司 |
由苹果授权使用XenMobile管理IOS设备 |
|
StoreFront服务器证书 AppController服务器证书 公网访问虚拟桌面vdesktop.demo.com证书 |
*.demo.com |
内部WindowsCA |
使用一个通用证书来为StoreFront、AppController以及用户访问提供加密验证 |
|
MDM服务器证书 |
mam.demo.com |
MDM服务器自签名 |
由MDM服务器安装时自动生成,提供用户访问mam.demo.com注册设备时以及管理员访问mam管理平台使用 |
XenMobile在部署过程中,需要在互联网注册2个域名,对应使用公司2个公网IP地址,2个域名分别为MDM服务器注册地址与MDM访问WorxStore访问应用程序商店所调用的地址。本环境中的互联网映射地址如下所示:
|
DNS名称 |
公网IP |
内网IP |
端口 |
备注 |
|
mam.demo.com |
公司公网IP |
192.168.8.31 MDM服务器集群 |
80、443、8443 |
移动设备访问注册地址 |
|
ac.demo.com |
公司公网IP |
192.168.8.40 |
443 |
MDM调用Worx Store访问地址 |
同样在本环境中所有使用到的端口如下所示,如果公司对安全管理较为严格的话,可按照如下的列表开放相应的端口
|
源地址 |
目的地址 |
端口 |
备注 |
|
公司公网IP |
192.168.8.40 |
80、443、8443 |
用于从 Citrix Receiver 连接到StoreFront 或从 Receiver for Web 连接到 XenApp 和 XenDesktop |
|
公司公网IP |
192.168.8.31 |
80、443、8443 |
MDM客户端注册、MDM客户端与MDM服务器之间的数据传输 |
|
192.168.8.26 MDM服务器01 |
ax.itunes.apple.com vpp.itunes.apple.com login.live.com *.notify.windows.com |
80、443 |
MDM连接苹果ituns与微软Windows Phone推送服务器 |
|
192.168.8.27 MDM服务器01 |
ax.itunes.apple.com vpp.itunes.apple.com login.live.com *.notify.windows.com |
80、443 |
MDM连接苹果ituns与微软Windows Phone推送服务器 |
|
192.168.8.31 MDM服务器集群 |
ax.itunes.apple.com vpp.itunes.apple.com login.live.com *.notify.windows.com |
80、443 |
MDM连接苹果ituns与微软Windows Phone推送服务器 |
|
192.168.8.26 MDM服务器01 |
17.0.0.0/8 |
2195、2196 |
MDM服务器访问苹果APNS服务feedback.push.apple.com,用于IOS设备的数据及策略推送 |
|
192.168.8.27 MDM服务器02 |
17.0.0.0/8 |
2195、2196 |
MDM服务器访问苹果APNS服务feedback.push.apple.com,用于IOS设备的数据及策略推送 |
|
192.168.8.31 MDM服务器集群 |
17.0.0.0/8 |
2195、2196 |
MDM服务器访问苹果APNS服务feedback.push.apple.com,用于IOS设备的数据及策略推送 |
如上就是整个部署环境的基础介绍,在下一节中我们将介绍各个组件证书的申请。
Article By SuperDream——技术的价值在于分享!The Technology‘s Value is Share!