フレームホーク
重要:
Citrix Virtual Apps and Desktops 7 1903以降、Framehawkはサポートされなくなりました。代わりに、Thinwireをアダプティブトランスポートを有効にして使用してください。
Framehawkは、高いパケット損失が発生しやすいブロードバンドワイヤレス接続(Wi-Fiおよび4G/LTEセルラーネットワーク)を使用するモバイルワーカー向けの特殊なディスプレイリモートテクノロジーです。Framehawkは、スペクトル干渉とマルチパス伝播の課題を克服します。Framehawkは、WindowsおよびiOSモバイルデバイス(ラップトップやタブレットなど)で仮想アプリおよびデスクトップを使用するユーザーに、流動的でインタラクティブなユーザーエクスペリエンスを提供します。サーバーのスケーラビリティを最大化し、ネットワーク帯域幅の消費を最小限に抑えるため、Framehawkは上記の特定のユースケースでのみ使用することをお勧めします。その他のすべてのユースケースでは、データスループットを最大化するために多くのFramehawkコンセプトを組み込んだアダプティブトランスポートをお勧めします。
Citrix®ポリシーテンプレートを使用して、組織に適した方法で、特定のユーザーセットとアクセスシナリオに対してFramehawkを実装できます。Framehawkは、ラップトップやタブレットなどの単一画面のモバイルユースケースを対象としています。リアルタイムのインタラクティブパフォーマンスのビジネス価値が、サーバーリソースの追加コストとブロードバンド接続の要件を正当化する場合にFramehawkを使用してください。
Framehawkがスムーズなユーザーエクスペリエンスを維持する方法
Framehawkは、フレームバッファの内容を見て、画面上のさまざまな種類のコンテンツを識別する、人間の目のソフトウェア実装と考えてください。ユーザーにとって何が重要でしょうか?ビデオや動くグラフィックのように画面の領域が急速に変化する場合、一部のピクセルが失われても人間の目には問題ありません。それらの領域は新しいデータで迅速に上書きされます。
しかし、画面の静的な領域に関しては、人間の目は非常に敏感です。たとえば、通知領域やツールバーのアイコン、またはユーザーが読み始めたい場所にスクロールした後のテキストなどです。ユーザーは、これらの領域がピクセルパーフェクトであることを期待します。ゼロとイチの観点から技術的に正確であることを目指すプロトコルとは異なり、Framehawkはテクノロジーを使用する人間にとって関連性があることを目指しています。
Framehawkには、次世代のQuality of Service信号増幅器と、よりきめ細かく効率的なワークロード識別のための時間ベースのヒートマップが含まれています。データ圧縮に加えて自律的な自己修復変換を使用し、データの再送信を回避して、クリック応答、線形性、および一貫したケイデンスを維持します。損失の多いネットワーク接続では、Framehawkは補間によって損失を隠すことができ、ユーザーはより流動的なエクスペリエンスを楽しみながら、良好な画質を認識し続けます。さらに、Framehawkアルゴリズムは、異なる種類のパケット損失をインテリジェントに区別します。たとえば、ランダムな損失(補償のためにより多くのデータを送信する)と輻輳による損失(チャネルがすでに詰まっているため、より多くのデータを送信しない)などです。
Citrix Workspace™ appのFramehawk Intent Engineは、上下スクロール、ズーム、左右移動、読み取り、入力、その他の一般的なアクションを区別します。このエンジンは、共有辞書を使用してVirtual Delivery Agent (VDA)への通信も管理します。ユーザーが読もうとしている場合、テキストの視覚的品質は優れている必要があります。ユーザーがスクロールしている場合、それは迅速かつスムーズでなければなりません。そして、中断可能である必要があり、ユーザーが常にアプリケーションまたはデスクトップとの対話を制御できるようにします。
ネットワーク接続上のケイデンス(自転車のチェーンの張力に例えられるギアリング)を測定することで、Framehawkロジックはより迅速に反応し、高遅延接続でも優れたエクスペリエンスを提供します。このユニークで特許取得済みのギアリングシステムは、ネットワーク状態に関する常に最新のフィードバックを提供し、Framehawkが帯域幅、遅延、損失の変化に即座に反応できるようにします。
ThinwireとFramehawkを使用する際の設計上の考慮事項
Framehawkは、(User Datagram Protocol (UDP)の上に構築されたデータ転送層を使用します。Framehawkのパフォーマンスを他のUDPベースのプロトコルと比較するとわかるように、UDPはFramehawkが損失を克服する方法の小さな部分です。UDPは、Framehawkを際立たせる人間中心の技術にとって重要な基盤を提供します。
Framehawkにはどのくらいの帯域幅が必要ですか?
ブロードバンドワイヤレスの意味は、接続を共有するユーザー数、接続の品質、使用されているアプリなど、いくつかの要因によって異なります。最適なパフォーマンスを得るために、Citrixは、ベースとして4 Mbpsまたは5 Mbpsに加えて、同時ユーザーあたり約150 Kbpsを推奨しています。
Thinwire の帯域幅の推奨事項は、通常、ベースとして 1.5 Mbps に加えてユーザーあたり 150 Kbps です。詳細については、Citrix Virtual Apps and Desktops 帯域幅ブログを参照してください)。パケット損失が 3% の場合、TCP 経由の Thinwire は、良好なユーザーエクスペリエンスを維持するために Framehawk よりもはるかに多くの帯域幅を必要とすることがわかります。
Thinwire は、ICA® プロトコルにおける主要なディスプレイリモートチャネルであり続けています。Framehawk はデフォルトで無効になっています。Citrix は、組織内のブロードバンドワイヤレスアクセスシナリオに対処するために、選択的に有効にすることを推奨しています。Framehawk は Thinwire よりもかなり多くのサーバーリソース (CPU とメモリ) を必要とすることに注意してください。
要件および考慮事項
Framehawk には、VDA 7.6.300 以降のバージョンと Group Policy Management 7.6.300 以降のバージョンが最低限必要となります。
エンドポイントには、ワークスペースアプリ for Windows 1808 以降、シトリックスレシーバー for Windows 4.3.100 以降、ワークスペースアプリ for iOS 1808 以降、またはシトリックスレシーバー for iOS 6.0.1 以降が必要です。
デフォルトでは、Framehawk は双方向のユーザーデータグラムプロトコル (UDP) ポート範囲 (3224 から 3324) を使用して、Framehawk ディスプレイチャネルデータを Citrix Workspace アプリと交換します。この範囲は、Framehawk display channel port range と呼ばれるポリシー設定でカスタマイズできます。クライアントと仮想デスクトップ間の同時接続ごとに一意のポートが必要です。Citrix Virtual Apps™ サーバーなどのマルチユーザー OS 環境では、同時ユーザーセッションの最大数をサポートするのに十分なポートを定義してください。VDI デスクトップなどのシングルユーザー OS の場合、単一の UDP ポートを定義するだけで十分です。Framehawk は、最初に定義されたポートから、範囲で指定された最終ポートまで使用しようとします。これは、Citrix Gateway を経由する場合と、StoreFront サーバーへの直接内部接続の両方に適用されます。
リモートアクセスには、Citrix Gateway を展開する必要があります。デフォルトでは、Citrix Gateway はクライアントの Citrix Workspace アプリと Gateway 間の暗号化された通信に UDP ポート 443 を使用します。このポートは、双方向の安全な通信を許可するために、すべての外部ファイアウォールで開いている必要があります。この機能は Datagram Transport Security (DTLS) と呼ばれます。
注:
Framehawk/DTLS 接続は FIPS アプライアンスではサポートされていません。
暗号化された Framehawk 接続は、NetScaler Gateway バージョン 11.0.62 および NetScaler Unified Gateway バージョン 11.0.64.34 以降でサポートされています。
NetScaler ハイアベイラビリティは、XenApp および XenDesktop 7.12 以降でサポートされています。
Framehawk を実装する前に、以下の推奨事項を考慮してください。
- セキュリティ管理者にご連絡いただき、Framehawk 用に定義された UDP ポートがファイアウォールで開いていることを確認してください。インストールプロセスでは、ファイアウォールは自動的に構成されません。
- 多くの場合、Citrix Gateway は DMZ にインストールされ、外部と内部の両側にファイアウォールが配置されていることがあります。外部ファイアウォールで UDP ポート 443 が開いていることを確認してください。環境がデフォルトのポート範囲を使用している場合は、内部ファイアウォールで UDP ポート 3224 から 3324 が開いていることを確認してください。
構成について
注意:
Citrixは、パケット損失が多いと予想されるユーザーに対してのみFramehawkを有効にすることを推奨します。また、サイト内のすべてのオブジェクトに対してFramehawkをユニバーサルポリシーとして有効にしないことを推奨します。
Framehawkはデフォルトで無効になっています。有効にすると、サーバーはユーザーのグラフィックと入力にFramehawkを使用しようとします。何らかの理由で前提条件が満たされない場合、接続はデフォルトモード(Thinwire)を使用して確立されます。
以下のポリシー設定がFramehawkに影響します。
- Framehawkディスプレイチャネル: この機能を有効または無効にします。
- Framehawkディスプレイチャネルポート範囲: VDAがユーザーデバイスとFramehawkディスプレイチャネルデータを交換するために使用するUDPポート番号の範囲(最小ポート番号から最大ポート番号まで)を指定します。VDAは、最小ポート番号から開始し、その後の試行ごとにインクリメントして、各ポートを使用しようとします。このポートは、インバウンドおよびアウトバウンドトラフィックを処理します。
Framehawkディスプレイチャネルのポートを開く
XenAppおよびXenDesktop 7.8以降では、VDAインストーラーの機能ステップでファイアウォールを再構成するオプションが利用できます。このチェックボックスを選択すると、WindowsファイアウォールでUDPポート3224から3324が開きます。特定の状況では、手動でのファイアウォール構成が必要です。
- ネットワークファイアウォールの場合。 または
- デフォルトのポート範囲がカスタマイズされている場合。
これらのUDPポートを開くには、Framehawkチェックボックスを選択します。
コマンドラインを使用して、/ENABLE_FRAMEHAWK_PORTでFramehawkのUDPポートを開くこともできます。
Framehawk UDPポート割り当ての確認
インストール中に、ファイアウォール画面でFramehawkに割り当てられたUDPポートを確認できます。
デフォルトのUDPポート(/ja-jp/citrix-virtual-apps-desktops/2311/media/firewall-default-udp-ports-fh.png)
概要画面は、Framehawk機能が有効になっているかどうかを示します。
概要画面(/ja-jp/citrix-virtual-apps-desktops/2311/media/summary-screen-fh-enabled.png)
フレームホークに対するシトリックス ゲートウェイのサポート
暗号化されたフレームホーク トラフィックは、シトリックス ゲートウェイ 1808以降およびネットスケーラー ゲートウェイ 11.0.62.10以降、ならびにシトリックス ユニファイド ゲートウェイ 1808およびネットスケーラー ユニファイド ゲートウェイ 11.0.64.34以降でサポートされています。
- Citrix Gatewayとは、Gateway VPN仮想サーバーがエンドユーザーデバイスから直接アクセスできる展開アーキテクチャを指します。つまり、VPN仮想サーバーにはパブリックIPアドレスが割り当てられており、ユーザーはこのIPアドレスに直接接続します。
- Unified Gatewayを使用したCitrix Gatewayとは、Gateway VPN仮想サーバーがコンテンツスイッチング仮想サーバー(CS)のターゲットとしてバインドされている展開を指します。この展開では、CS仮想サーバーがパブリックインターネットプロトコルアドレスを持ち、Gateway VPN仮想サーバーがダミーのインターネットプロトコルアドレスを持ちます。
Citrix GatewayでFramehawkサポートを有効にするには、Gateway VPN仮想サーバーレベルでDTLSパラメーターを有効にする必要があります。パラメーターが有効になり、Citrix Virtual AppsまたはCitrix Virtual Desktops™のコンポーネントが正しく更新されると、Framehawkのオーディオ、ビデオ、およびインタラクティブトラフィックはGateway VPN仮想サーバーとユーザーデバイス間で暗号化されます。
シトリックス ゲートウェイ、ユニファイド ゲートウェイ、およびシトリックス ゲートウェイ + グローバルサーバー負荷分散は、フレームホークでサポートされています。
次のシナリオはFramehawkではサポートされていません。
- HDX™ インサイト
- IPv6モードのシトリックス ゲートウェイ
- シトリックス ゲートウェイ ダブルホップ
- クラスター設定のシトリックス ゲートウェイ
| シナリオ | フレームホークのサポート |
|---|---|
| シトリックス ゲートウェイ | はい |
| Citrix Gateway + グローバルサーバー負荷分散 | はい |
| ユニファイド ゲートウェイ を使用したシトリックス ゲートウェイ | はい。注: Unified Gatewayバージョン11.0.64.34以降がサポートされています。 |
| HDX インサイト | いいえ |
| IPv6モードのシトリックス ゲートウェイ | いいえ |
| シトリックス ゲートウェイ ダブルホップ | いいえ |
| シトリックス ゲートウェイ上の複数のセキュア チケット オーソリティ | はい |
| シトリックス ゲートウェイと高可用性 | はい |
| シトリックス ゲートウェイとクラスター設定 | いいえ |
フレームホークサポートのためのシトリックスゲートウェイの構成
Citrix GatewayでFramehawkサポートを有効にするには、Gateway VPNの仮想サーバーレベルでDTLSパラメーターを有効にします。パラメーターが有効になり、Citrix Virtual Apps and Desktops™のコンポーネントが正しく更新されると、Framehawkのオーディオ、ビデオ、およびインタラクティブトラフィックはGateway VPN仮想サーバーとユーザーデバイス間で暗号化されます。
この構成は、リモートアクセス用にCitrix GatewayでUDP暗号化を有効にする場合に必要です。
フレームホークサポートのためにシトリックスゲートウェイを構成する場合:
- 外部ファイアウォールでUDPポート443が開いていることを確認します
- 外部ファイアウォールでCGPポート(デフォルト2598)が開いていることを確認します
- VPN仮想サーバーの設定でDTLSを有効にします
- SSL証明書とキーのペアをアンバインドして再バインドします。この手順は、Citrix Gateway 1808以降またはNetScalerバージョン11.0.64.34以降を使用している場合は不要です。
フレームホークのサポートのためにシトリックス ゲートウェイを構成するには:
- シトリックス ゲートウェイを展開および構成して、StoreFront™と通信し、シトリックス バーチャル アプリケーションズ アンド デスクトップのユーザーを認証します。
- 「シトリックス ゲートウェイ設定」タブで、「シトリックス ゲートウェイ」を展開し、「Virtual Servers」を選択します。
- Editを選択してVPN仮想サーバーの基本設定を表示し、DTLS設定の状態を確認します。
- Moreを選択して、その他の構成オプションを表示します。
- Framehawkなどのデータグラムプロトコルに通信セキュリティを提供するには、DTLSを選択します。OKをクリックします。VPN仮想サーバーの基本設定領域に、DTLSフラグがTrueに設定されていることが表示されます。
- Server Certificate Binding画面を再度開き、+をクリックして証明書キーペアをバインドします。
- 以前の証明書キーペアを選択し、Selectをクリックします。
- サーバー証明書バインディングへの変更を保存します。
- 保存後、証明書キーペアが表示されます。Bindをクリックします。
- 「No usable ciphers configured on the SSL vserver/service」という警告メッセージが画面に表示された場合でも、無視して問題ありません。
以前のNetScaler® Gatewayバージョンでの手順
NetScaler Gatewayのバージョンが11.0.64.34より古い場合:
- Server Certificate Binding画面を再度開き、+をクリックして証明書キーペアをバインドします。
- 以前の証明書キーペアを選択し、Selectをクリックします。
- サーバー証明書バインディングへの変更を保存します。
- 保存後、証明書キーペアが表示されます。Bindをクリックします。
- 「SSL vserver/service で使用可能な暗号が構成されていません」という警告メッセージが表示された場合は、無視してください。
Framehawk をサポートするように Unified Gateway を構成するには:
- Unified Gateway がインストールされ、適切に構成されていることを確認してください。詳細については、Citrix 製品ドキュメントサイトの Unified Gateway を参照してください。
- ターゲット 仮想サーバー として CS 仮想サーバー にバインドされている VPN 仮想サーバー で DTLS パラメーターを有効にします。
制限事項
クライアントデバイスに Citrix Gateway 仮想サーバーの古い DNS エントリがある場合、アダプティブトランスポートと Framehawk は UDP トランスポートではなく TCP トランスポートにフォールバックする可能性があります。TCP トランスポートへのフォールバックが発生した場合は、クライアントの DNS キャッシュをフラッシュし、再接続して UDP トランスポートを使用してセッションを確立してください。
Framehawk は、PTC Creo などのアプリケーションに見られる 32 ビットのマウスポインターをサポートしていません。
Framehawk は、シングルモニターを使用するラップトップやタブレットなどのモバイルデバイス向けに設計されており、デュアル/マルチモニター構成では Thinwire に戻ります。
その他の VPN 製品のサポート
Citrix Gateway は、Framehawk で必要とされる UDP 暗号化をサポートする唯一の SSL VPN 製品です。別の SSL VPN または誤ったバージョンの Citrix Gateway が使用されている場合、Framehawk ポリシーが適用されない可能性があります。従来の IPsec VPN 製品は、変更なしで Framehawk をサポートします。
フレームホークの監視
Citrix Director から Framehawk の使用状況とパフォーマンスを監視できます。HDX 仮想チャネルの詳細ビューには、任意のセッションで Framehawk のトラブルシューティングと監視に役立つ情報が含まれています。Framehawk 関連のメトリックを表示するには、Graphics-Framehawk を選択します。
Framehawk 接続が確立されている場合、詳細ページに Provider = VD3D および Connected = True と表示されます。仮想チャネルの状態がアイドルであるのは正常です。これは、初期ハンドシェイク中にのみ使用されるシグナリングチャネルを監視するためです。このページには、接続に関するその他の有用な統計も表示されます。
問題が発生した場合は、Framehawk のトラブルシューティングブログ を参照してください。