Citrix DaaS

HDX diretto

Quando si accede alle risorse fornite da Citrix, HDX Direct consente ai dispositivi client interni ed esterni di stabilire una connessione diretta sicura con l’host della sessione, se è possibile una comunicazione diretta.

Importante:

HDX Direct per utenti esterni è attualmente in anteprima. Questa funzionalità è fornita senza supporto e non è ancora consigliata per l’uso in ambienti di produzione. Per inviare feedback o segnalare problemi, utilizza Questo modulo.

Requisiti di sistema

Di seguito sono riportati i requisiti di sistema per l’utilizzo di HDX Direct:

  • Piano di controllo

    • Citrix DaaS
    • Citrix Virtual Apps and Desktops 2411 o versioni successive
  • Agente di consegna virtuale (VDA)

    • Windows: versione 2411 o successiva
  • App per l’area di lavoro

    • Windows: versione 2409 o successiva
    • Linux: versione 2411 o successiva
    • Mac: versione 2411 o successiva
  • Livello di accesso

    • Citrix Workspace con il servizio Citrix Gateway
    • Citrix Workspace con NetScaler Gateway
  • Altro

    • Il trasporto adattivo deve essere abilitato per le connessioni dirette esterne

Requisiti di rete

Di seguito sono riportati i requisiti di rete per l’utilizzo di HDX Direct.

Host di sessione

Se gli host di sessione dispongono di un firewall, ad esempio Windows Defender Firewall, è necessario consentire il traffico in ingresso seguente per le connessioni interne. | Descrizione | Fonte | Protocollo | Porto | | — | — | — | — | | Collegamento interno diretto | Cliente | TCP | 443 | | Collegamento interno diretto | Cliente | UDP | 443 |

Nota:

Il programma di installazione VDA aggiunge le regole in entrata appropriate a Windows Defender Firewall. Se si utilizza un firewall diverso, è necessario aggiungere le regole di cui sopra.

Rete clienti

Nella tabella seguente viene descritta la rete client per gli utenti interni ed esterni.

Utenti interni

Descrizione Protocollo Fonte Porta di origine Destinazione Porto di destinazione     Collegamento interno diretto TCP Rete clienti 1024–65535 Rete VDA 443   Collegamento interno diretto UDP Rete clienti 1024–65535 Rete VDA 443

Utenti esterni

Descrizione Protocollo Fonte Porta di origine Destinazione Porto di destinazione     STORDIMENTO (solo utenti esterni) UDP Rete clienti 1024–65535 Internet (vedi nota sotto) 3478, 19302   Connessione utente esterno UDP Rete clienti 1024–65535 Indirizzo IP pubblico del data center 1024–65535

Rete di data center

Nella tabella seguente viene descritta la rete del data center per gli utenti interni ed esterni.

Utenti interni

Descrizione Protocollo Fonte Porta di origine Destinazione Porto di destinazione     Collegamento interno diretto TCP Rete clienti 1024–65535 Rete VDA 443   Collegamento interno diretto UDP Rete clienti 1024–65535 Rete VDA 443

Utenti esterni

Descrizione Protocollo Fonte Porta di origine Destinazione Porto di destinazione     STORDIMENTO (solo utenti esterni) UDP Rete VDA 1024–65535 Internet (vedi nota sotto) 3478, 19302   Connessione utente esterno UDP DMZ / Rete interna 1024–65535 Rete VDA 55000–55250   Connessione utente esterno UDP Rete VDA 55000–55250 IP pubblico del cliente 1024–65535

Nota:

Sia il VDA che l’app Workspace tentano di inviare richieste STUN ai seguenti server nello stesso ordine:

  • stun.cloud.com:3478
  • stun.cloudflare.com:3478
  • stun.l.google.com:19302

Se si modifica l’intervallo di porte predefinito per le connessioni utente esterne utilizzando il pulsante Gamma di porte HDX Direct , le regole del firewall corrispondenti devono corrispondere all’intervallo di porte personalizzato.

Configurazione

HDX Direct è disabilitato per impostazione predefinita. È possibile configurare questa funzione utilizzando il pulsante HDX diretto nella policy Citrix.

  • HDX diretto: per abilitare o disabilitare una funzione.
  • Modalità diretta HDX: Determina se HDX diretto è disponibile solo per i clienti interni o per i clienti interni ed esterni.
  • Gamma di porte HDX Direct: definisce l’intervallo di porte utilizzato dal VDA per le connessioni da client esterni.

Considerazioni

Di seguito sono riportate alcune considerazioni per l’utilizzo di HDX Direct:

  • HDX Direct per utenti esterni è disponibile solo con EDT (UDP) come protocollo di trasporto. Pertanto Trasporto adattivo deve essere abilitato.
  • Se stai utilizzando Approfondimenti HDX, si noti che utilizzando HDX diretto impedisce la raccolta dei dati di HDX Insight, in quanto la sessione non verrebbe più inoltrata tramite NetScaler Gateway.
  • Quando si utilizzano macchine non persistenti per le app e i desktop virtuali, Citrix consiglia di abilitare HDX diretto sugli host di sessione anziché nell’immagine master/modello in modo che ogni macchina generi i propri certificati.
  • L’utilizzo dei propri certificati con HDX Direct non è attualmente supportato.

Come funziona

HDX Direct consente ai client di stabilire una connessione diretta all’host della sessione quando è disponibile la comunicazione diretta. Quando le connessioni dirette vengono effettuate utilizzando HDX Direct, vengono utilizzati certificati autofirmati per proteggere la connessione diretta con la crittografia a livello di rete (TLS/DTLS).

Utenti interni

Il diagramma seguente illustra la panoramica del processo di connessione HDX Direct degli utenti interni.

Panoramica di HDX Direct

  1. Il client stabilisce una sessione HDX tramite il servizio gateway.
  2. Una volta stabilita la connessione, il VDA invia al client l’FQDN della macchina VDA, un elenco dei suoi indirizzi IP e il certificato della macchina VDA tramite la connessione HDX.
  3. Il client sonda gli indirizzi IP per verificare se è possibile raggiungere direttamente il VDA.
  4. Se il client è in grado di raggiungere direttamente il VDA con uno qualsiasi degli indirizzi IP condivisi, il client stabilisce una connessione diretta con il VDA, protetta con (D)TLS utilizzando un certificato che corrisponde a quello scambiato nel passaggio (2).
  5. Una volta stabilita correttamente la connessione diretta, la sessione viene trasferita alla nuova connessione e la connessione al servizio gateway viene terminata.

Nota:

Dopo aver stabilito la connessione nel passaggio 2, la sessione è attiva. I passaggi successivi non ritardano o interferiscono con la capacità dell’utente di utilizzare l’applicazione virtuale o il desktop. Se uno dei passaggi successivi non riesce, la connessione tramite il gateway viene mantenuta senza interrompere la sessione dell’utente.

Utenti esterni

Il diagramma seguente illustra la panoramica del processo di connessione HDX Direct per gli utenti esterni:

Processo di connessione diretta HDX

  1. Il client stabilisce una sessione HDX tramite il servizio gateway.
  2. Una volta stabilita la connessione, sia il client che il VDA inviano una richiesta STUN per individuare gli indirizzi IP e le porte pubbliche.
  3. Il server STUN risponde al client e al VDA con gli indirizzi IP pubblici e le porte corrispondenti.
  4. Tramite la connessione HDX, il client e il VDA si scambiano i propri indirizzi IP pubblici e le porte UDP e il VDA invia il proprio certificato al client.
  5. Il VDA invia pacchetti UDP all’indirizzo IP pubblico e alla porta UDP del client. Il client invia pacchetti UDP all’indirizzo IP pubblico e alla porta UDP del VDA.
  6. Alla ricezione di un messaggio dal VDA, il client risponde con una richiesta di connessione sicura.
  7. Durante l’handshake DTLS, il client verifica che il certificato corrisponda al certificato scambiato nel passaggio (4). Dopo la convalida, il client invia il token di autorizzazione. A questo punto è stata stabilita una connessione diretta sicura.
  8. Una volta stabilita correttamente la connessione diretta, la sessione viene trasferita alla nuova connessione e la connessione al servizio gateway viene terminata.

Nota:

Dopo aver stabilito la connessione nel passaggio 2, la sessione è attiva. I passaggi successivi non ritardano o interferiscono con la capacità dell’utente di utilizzare l’applicazione virtuale o il desktop. Se uno dei passaggi successivi non riesce, la connessione tramite il gateway viene mantenuta senza interrompere la sessione dell’utente.

Gestione dei certificati

Host della sessione

I due servizi seguenti sulla macchina VDA gestiscono la creazione e la gestione dei certificati, entrambi impostati per l’esecuzione automatica all’avvio della macchina:

  • Citrix ClxMtp Service: responsabile della generazione e della rotazione delle chiavi dei certificati CA.
  • Servizio Citrix Certificate Manager: responsabile della generazione e della gestione del certificato CA radice autofirmato e dei certificati della macchina.

I passaggi seguenti illustrano il processo di gestione dei certificati:

  1. I servizi vengono avviati all’avvio della macchina.
  2. Servizio Citrix ClxMtp Crea chiavi se non ne sono già state create nessuna.
  3. Il servizio Citrix Certificate Manager verifica se HDX diretto è abilitato. In caso contrario, il servizio si arresta automaticamente.
  4. Se HDX diretto è abilitato, il servizio Citrix Certificate Manager verifica se esiste un certificato CA radice autofirmato. In caso contrario, viene creato un certificato radice autofirmato.
  5. Una volta che è disponibile un certificato CA radice, il servizio Citrix Certificate Manager verifica se esiste un certificato macchina autofirmato. In caso contrario, il servizio genera le chiavi e crea un nuovo certificato utilizzando il nome di dominio completo del computer.
  6. Se è presente un certificato del computer esistente creato dal servizio Citrix Certificate Manager e il nome del soggetto non corrisponde al nome di dominio completo del computer, viene generato un nuovo certificato.

Nota:

Il servizio Citrix Certificate Manager genera certificati RSA che sfruttano le chiavi a 2048 bit.

Dispositivo client

Per stabilire con successo un sistema di HDX diretto connessione, il client deve considerare attendibili i certificati utilizzati per proteggere la sessione. Per facilitare questa operazione, il client riceve il certificato CA per la sessione tramite il file ICA (fornito da Workspace), quindi non è necessario distribuire i certificati CA agli archivi certificati dei dispositivi client.

HDX diretto