Disponibilidad, seguridad y visibilidad en Citrix XenApp y XenDesktop con Citrix NetScaler

Hola soy José María Sastre, Ingeniero de pre-venta de Citrix y durante los próximas meses publicaremos en el blog de virtualización y cloudcomputing en español las soluciones de citrix en cuanto a disponibilidad, seguridad y visibilidad en Citrix XenAPP yXenDesktop con Citrix NetScaler.

Disponibilidad
Si buscamos “arquitectura Citrix” en Google podemos obtener miles de gráficos más o menos completos, con los muchos componentes de una arquitectura Citrix XenApp y XenDesktop.

Muchos de ellos deberían estar balanceados para mantener la disponibilidad de la granja Citrix, pero especialmente dos servicios se benefician de las capacidades adicionales de Citrix NetScaler a la hora del balanceo: el servicio StoreFront y los brokers.

Ambos servicios corren sobre Microsoft IIS, y lo habitual es encontrarlos en muchos clientes balanceados mediante NLB (cada vez menos) o con balanceadores de terceros fabricantes. La salud de los servicios se monitoriza comprobando que el puerto 80 del servidor responde, o a veces que IIS responde a peticiones.

Sin embargo estos servicios corren sobre IIS, pero no son IIS. Puede ocurrir que un fallo de IIS en el acceso al aplicativo que corre sobre él, o de permisos, o de corrupción de ficheros, o incluso que por tareas de mantenimiento se detenga el servicio pero no el IIS, haga que el balanceador considere que el servicio está vivo, cuando no es así; solo IIS lo está. Esto provocará que peticiones de usuarios lleguen a una página sin respuesta, provocando fallo de servicio, llamadas a soporte, incumplimiento de SLAs, etc.

Citrix NetScaler provee de los monitores específicos para chequear la salud real del servicio StoreFront y brokers, evitando estos problemas. Más aún, su configuración consiste en un simple clic y no en la creación de scripts de cientos de líneas, que con el tiempo y versiones quedan obsoletos poniendo en riesgo de nuevo la disponibilidad del servicio. Esto por sí solo ya justifica utilizar Citrix NetScaler para balancear componentes de un entorno Citrix, más aún cuanto más crítico sea el servicio ofrecido por las granjas.

Adicionalmente, en escenarios con varios CPDs, en los que se busca protección frente a desastres naturales (si están lo suficientemente separados entre sí) o simplemente ante fallos de líneas de comunicaciones o instalaciones físicas, NetScaler permite la distribución de las conexiones, de forma transparente a los usuarios, al CPD deseado en cada momento (por carga, por proximidad, por preferencia, por disponibilidad, etc.) mediante su funcionalidad de GSLB (Global Server Load Balancing), no requiriendo por tanto otro equipo más para llevar a cabo esa tarea.

Seguridad
Cuando tenemos escenarios de acceso a la granja desde redes no confiables (típicamente Internet, o algunas WANs), es necesario asimismo securizar ese acceso. Tradicionalmente (hace ya años) se venía haciendo con VPNs IPSec primero, y SSLVPN después, que en ambos casos requería la instalación de un software cliente VPN en el dispositivo desde el que se accedía; esto conlleva grandes costes de gestión de los mismos, upgrades, mantenimientos, versionado, problemas, y además mete al dispositivo de acceso en la red, lo que obliga a controlar la seguridad del mismo.

Hoy día es imposible controlar la seguridad de móviles y tablets, por ejemplo, en el popular modelo BYOD (Bring Your Own Device) que la mayoría de empresas están acometiendo por los beneficios que aporta; un móvil propiedad de un usuario podría estar infectado y no querremos nunca meterlo en nuestra red.

La solución es sencilla mediante Citrix NetScaler, colocado en la DMZ, terminando las conexiones SSL de los dispositivos de acceso (sin necesidad de cliente VPN), autenticando a esos usuarios (doble factor habitualmente), y permitiendo el paso únicamente del tráfico Citrix. Esto hace completamente irrelevante la seguridad del dispositivo de acceso, ya que nada en él se podrá introducir en la red, permitiendo desarrollar políticas BYOD y aliviando los costes de gestión de la solución.

Visibilidad
Finalmente, una de las necesidades fundamentales en un entorno crítico es conocer el estado de todas sus piezas, pero también la experiencia de usuario, para mantenerlo a pleno, corregir problemas, y adelantarse a problemas. Citrix Desktop Director es una herramienta completa para esto, pero que sin embargo no tiene visibilidad extremo a extremo en algunos escenarios de acceso remoto, ni consolida toda la información de sesiones distintas.

Citrix NetScaler, con la función HDX Insight, es capaz de obtener información extremo a extremo (recordemos que sería el punto de acceso de usuarios remotos), y consolidar la información en paneles útiles para el administrador, que podría detectar problemas tan complejos como retardos solo durante la apertura de determinada aplicación XenApp publicada en determinado servidor, sin necesidad de revisar servidores y equipamiento de red intermedio. Esto agiliza la resolución de incidencias, evitando en muchos casos escalar las llamadas a un nivel superior de soporte, incluso al propio fabricante.

En resumen, estas son tres de las ventajas esenciales (¡hay más!) de Citrix NetScaler que hacen más productivo y seguro un despliegue de virtualización de aplicaciones y desktops de Citrix.

Por supuesto, existen distintas versiones de NetScaler, tanto por funciones como por rendimiento necesario, en software y en hardware, que se acomodan a las necesidades de cada tamaño de granja y permitiendo escalar mediante licencia en caso de necesidades futuras. Y hay también una gran cantidad de funcionalidad adicional en NetScaler, de la que nos ocuparemos en un blog posterior.

No olvidemos que, además, una solución de este estilo está soportada por Citrix extremo a extremo, lo que facilita la resolución de incidencias al no haber productos de terceros que requieren soporte diferenciado (y a la vez con coste adicional), y con menor y limitada funcionalidad.

Gracias por leer nuestro blog, participar y compartir.