こんにちは、Citrixコンサルタントの滝澤です。

私自身リモートワークを開始して数年経過します。COVID-19の拡大によって自然と働き方がリモートに変化していった従業員です。リモートワークが比較的しやすい業種と自覚していますが、基本的にはオフィスに行きたい派!でした。リモートワークが浸透してきた昨今では、従業員が柔軟にワークプレイスの選択をできる環境を多くの業種の企業で取り入れるようになってきたように思います。

一言にリモートワークと言っても手法は様々ありますが、一定のネットワークセキュリティを確保しながら利用するリモートユーザーと企業ネットワークを快適に繋ぐこと、これが重要度の高い課題となってきます。本ブログは、例としてその企業ネットワークの入口となるCitrix ADCをAzureに配置し、社内のデジタルリソースへのセキュアなリモートアクセスを提供、そしてリモートユーザーの利用状況に合わせてCitrix ADCリソースを流動的に利用できる構成例のご紹介です。

Citrix ADCはロードバランサーの機能だけでなく様々な機能を提供しています。その一つであるCitrix Gateway(SSL-VPN機能)が、 HDX(ICA)通信のみSSL/TLSアクセスに変換するICA Proxyを提供します。ベースとなる通信イメージから見ていきます。

リモートユーザーはCitrix GatewayにSSL/TLS通信によってアクセスします。Citrix Gatewayはリモートユーザーの認証を行い、HDX(ICA)通信をプロキシします。リモートユーザーとCitrix Gatewayのやり取りはSSL/TLSを使用してセキュリティを確保します。

Citrix ADCは物理アプライアンスと仮想アプライアンスがあり、要件に応じて選択していただけます。今回の紹介はAzure環境での構成になりますので、Azureインスタンスでも提供可能な仮想アプライアンスである、Citrix ADC VPXが利用可能です。AzureインスタンスのVPXは、VPX10からVPX5000(2022年3月時点)が利用可能で、この数字がVPXのシステムスループットを表しています。例えば、VPX1000※であれば、1000Mbps相当のシステムスループットを有します。

※Citrix ADCは、Azure NICごとに500Mbpsに制限されています。

※VPX1000以上の場合はAzure上の高速ネットワークの有効化が必要です。

Citrix ADCの構成は、スタンドアロンとして独立したCitrix ADCを並べて導入するか、Citrix ADCの機能でプライマリ機、セカンダリ機の関係性を持ちサービス通信のIPアドレスを共有する高可用性ペアとして導入するか大きく分けられます。今回はスタンドアロンのCitrix ADCを並べて構成する方式を紹介します。

では、このVPXを使用した具体的な構成を見ていきましょう。

Citrix Gatewayは利用ICA接続数(リモートユーザー数)に伴って独立する形で並べます。N+1の考え方から必要スペックと台数を算出します。上図であれば3つのCitrix Gatewayがリモートユーザーからのアクセスを捌く状態です。それぞれのCitrix Gatewayにユーザートラフィックを分散させることと、ユーザーにとっての単一接続点として今回はAzureのサービスであるAzure Load BalancerをCitrix Gatewayの前段に配置します。このAzure LBの送信規則とパーシステンスによって振り分けるCitrix Gatewayを決定します。

振り分けられたCitrix Gatewayでユーザー認証を行います、Citrix Gatewayでの認証は様々(LDAP、SAML、OTP等)選択いただけるので、ユーザー様の環境に合った認証を実装します。その認証情報を持ってStoreFrontでのリソース列挙画面に遷移し、リモートユーザーはリソースを選択します。

選択したリソースへのICA通信を開始します。

一連の主要な通信の説明でした、Azure上の本Citrix ADC構成の特徴の一つにAzureインスタンスのスケールアップ/アウトが比較的簡単というポイントがあります、これを可能にするのがCitrix ADCのライセンス形態であるPooled licenseです。前半の説明でVPXのスペックはその帯域によって可変と説明しましたが、帯域ライセンスをプールさせて必要なCitrix ADCに必要な場面でスペックを増減させることが可能になります。実装例で説明します。

上図の様に、社内アクセスユーザーとリモートワークユーザーの従業員が働く企業環境があります。ユーザーのアクセス元は流動的です。

Pooled licenseでは柔軟性を提供します。上図ではリモートワークユーザーが増えたことからPublic Cloud上のCitrix ADCに割り当てる帯域を増やし短時間でのスケールアウトを可能にします。今後のクラウド移行を見据えている企業にもおすすめです。

ユーザーの利用状況に合わせて柔軟に対応できるCitrix ADCとPooled licenseにフォーカスしました。安全な導入に向けて、是非弊社コンサルティングサービスの活用もご検討いただければ幸いです。