フレームホーク
重要:
Citrix Virtual Apps and Desktops 7 1903以降、Framehawkはサポートされなくなりました。代わりに、アダプティブトランスポートを有効にしたThinwireを使用してください。
Framehawkは、高いパケット損失が発生しやすいブロードバンドワイヤレス接続(Wi-Fiおよび4G/LTEセルラーネットワーク)を使用するモバイルワーカー向けの特殊なディスプレイリモートテクノロジーです。Framehawkは、スペクトル干渉とマルチパス伝播の課題を克服します。Framehawkは、ラップトップやタブレットなどのWindowsおよびiOSモバイルデバイスで仮想アプリやデスクトップを使用するユーザーに、スムーズでインタラクティブなユーザーエクスペリエンスを提供します。サーバーのスケーラビリティを最大化し、ネットワーク帯域幅の消費を最小限に抑えるため、Framehawkは上記の特定のユースケースでのみ使用することをお勧めします。その他のすべてのユースケースでは、データスループットを最大化するために多くのFramehawkの概念を取り入れたアダプティブトランスポートをお勧めします。
Citrix®ポリシーテンプレートを使用して、組織に適した方法で、特定のユーザーセットとアクセスシナリオに対してFramehawkを実装できます。Framehawkは、ラップトップやタブレットなどのシングルスクリーンモバイルユースケースを対象としています。リアルタイムのインタラクティブなパフォーマンスのビジネス価値が、サーバーリソースの追加コストとブロードバンド接続の要件を正当化する場合に、Framehawkを使用してください。
Framehawkがスムーズなユーザーエクスペリエンスを維持する方法
Framehawkは、フレームバッファの内容を見て、画面上のさまざまな種類のコンテンツを識別する、人間の目のソフトウェア実装と考えてください。ユーザーにとって何が重要でしょうか?ビデオや動くグラフィックのように画面の領域が急速に変化する場合、一部のピクセルが失われても人間の目には問題ありません。それらの領域は新しいデータで迅速に上書きされます。
しかし、画面の静的な領域に関しては、人間の目は非常に神経質です。たとえば、通知領域やツールバーのアイコン、またはユーザーが読み始めたい場所までスクロールした後のテキストなどです。ユーザーはそれらの領域がピクセルパーフェクトであることを期待します。1と0の観点から技術的に正確であることを目指すプロトコルとは異なり、Framehawkはテクノロジーを使用する人間にとって関連性があることを目指しています。
Framehawkには、次世代のサービス品質シグナルアンプと、よりきめ細かく効率的なワークロード識別のための時間ベースのヒートマップが含まれています。データ圧縮に加えて、自律的で自己修復的な変換を使用し、クリック応答、線形性、一貫したケイデンスを維持するためにデータの再送信を回避します。損失の多いネットワーク接続では、Framehawkは補間によって損失を隠すことができ、ユーザーはよりスムーズなエクスペリエンスを楽しみながらも良好な画質を認識します。さらに、Framehawkアルゴリズムは、さまざまな種類のパケット損失をインテリジェントに区別します。たとえば、ランダム損失(補償のためにより多くのデータを送信する)と輻輳損失(チャネルがすでに詰まっているため、より多くのデータを送信しない)などです。
Citrix Workspace™アプリのFramehawkインテントエンジンは、上下スクロール、ズーム、左右移動、読み取り、入力、その他の一般的なアクションを区別します。このエンジンは、共有辞書を使用してVirtual Delivery Agent (VDA)への通信も管理します。ユーザーが読もうとしている場合、テキストの視覚的な品質は優れている必要があります。ユーザーがスクロールしている場合、それは迅速かつスムーズでなければなりません。そして、ユーザーがアプリケーションまたはデスクトップとのインタラクションを常に制御できるように、中断可能でなければなりません。
ネットワーク接続上のケイデンス(自転車のチェーンの張力に例えられるギアリング)を測定することで、Framehawkロジックはより迅速に反応し、高遅延接続でも優れたエクスペリエンスを提供します。このユニークで特許取得済みのギアリングシステムは、ネットワークの状態に関する常に最新のフィードバックを提供し、Framehawkが帯域幅、遅延、損失の変化に即座に反応できるようにします。
ThinwireとFramehawkを使用する際の設計上の考慮事項
Framehawkは、(ユーザーデータグラムプロトコル (UDP)) の上に構築されたデータ転送層を使用します。Framehawkがどのように損失を克服するかにおいて、UDPは小さな部分に過ぎません。これは、Framehawkのパフォーマンスを他のUDPベースのプロトコルと比較するとわかります。UDPは、Framehawkを際立たせる人間中心の技術にとって重要な基盤を提供します。
Framehawkにはどのくらいの帯域幅が必要ですか?
ブロードバンドワイヤレスの意味は、接続を共有しているユーザー数、接続の品質、使用されているアプリなど、いくつかの要因によって異なります。最適なパフォーマンスを得るには、Citrixはベースとして4 Mbpsまたは5 Mbpsに加えて、同時ユーザーあたり約150 Kbpsを推奨しています。
Thinwireの帯域幅の推奨事項は、通常、1.5 Mbpsを基本とし、ユーザーあたり150 Kbpsを追加することです。詳細については、Citrix Virtual Apps and Desktops帯域幅ブログを参照してください。3%のパケット損失が発生した場合、TCP経由のThinwireは、良好なユーザーエクスペリエンスを維持するためにFramehawkよりもはるかに多くの帯域幅を必要とすることがわかります。
Thinwireは、ICA®プロトコルにおける主要なディスプレイリモートチャネルであり続けます。Framehawkはデフォルトで無効になっています。Citrixは、組織内のブロードバンドワイヤレスアクセスシナリオに対応するために、選択的に有効にすることを推奨しています。FramehawkはThinwireよりもはるかに多くのサーバーリソース(CPUとメモリ)を必要とすることに注意してください。
必要な要件と考慮すべき事項
Framehawkには、最低限VDA 7.6.300およびグループポリシー管理 7.6.300が必要です。
The endpoint must have a minimum of Workspace app for Windows 1808, or Citrix Receiver for Windows 4.3.100, Workspace app for iOS 1808, or Citrix Receiver for iOS 6.0.1.
デフォルトでは、Framehawkは双方向のUser Datagram Protocol (UDP) ポート範囲(3224~3324)を使用して、Citrix WorkspaceアプリとFramehawkディスプレイチャネルデータを交換します。この範囲は、Framehawk display channel port rangeというポリシー設定でカスタマイズできます。クライアントと仮想デスクトップ間の同時接続ごとに、一意のポートが必要です。Citrix Virtual Apps™サーバーなどのマルチユーザーOS環境では、同時ユーザーセッションの最大数をサポートするのに十分なポートを定義してください。VDIデスクトップなどのシングルユーザーOSの場合、単一のUDPポートを定義するだけで十分です。Framehawkは、最初に定義されたポートから、範囲で指定された最後のポートまでを使用しようとします。これは、Citrix Gatewayを介して接続する場合と、StoreFrontサーバーに直接内部接続する場合の両方に適用されます。
リモートアクセスの場合、Citrix Gatewayを展開する必要があります。デフォルトでは、Citrix GatewayはUDPポート443を使用して、クライアントのCitrix WorkspaceアプリとGateway間の暗号化された通信を行います。このポートは、双方向の安全な通信を許可するために、すべての外部ファイアウォールで開いている必要があります。この機能はDatagram Transport Security (DTLS)として知られています。
注:
Framehawk/DTLS接続はFIPSアプライアンスではサポートされていません。
暗号化されたFramehawk接続は、NetScaler Gatewayバージョン11.0.62およびNetScaler Unified Gatewayバージョン11.0.64.34以降でサポートされています。
NetScaler 高可用性は、XenAppおよびXenDesktop 7.12以降でサポートされています。
Framehawkを実装する前に、以下の推奨事項を考慮してください。
- Framehawk用に定義されたUDPポートがファイアウォールで開いていることをセキュリティ管理者に確認してください。インストールプロセスでは、ファイアウォールは自動的に構成されません。
- 多くの場合、Citrix GatewayはDMZにインストールされ、外部と内部の両側にファイアウォールが配置されていることがあります。外部ファイアウォールでUDPポート443が開いていることを確認してください。環境がデフォルトのポート範囲を使用している場合は、内部ファイアウォールでUDPポート3224~3324が開いていることを確認してください。
構成方法
注意:
Citrixでは、パケット損失が多い可能性のあるユーザーに対してのみFramehawkを有効にすることをお勧めします。また、サイト内のすべてのオブジェクトに対してFramehawkをユニバーサルポリシーとして有効にしないことをお勧めします。
Framehawkはデフォルトで無効になっています。有効にすると、サーバーはユーザーグラフィックと入力にFramehawkを使用しようとします。何らかの理由で前提条件が満たされない場合、接続はデフォルトモード(Thinwire)を使用して確立されます。
以下のポリシー設定がFramehawkに影響します。
- Framehawkディスプレイチャネル: この機能を有効または無効にします。
- Framehawkディスプレイチャネルポート範囲: VDAがFramehawkディスプレイチャネルデータをユーザーデバイスと交換するために使用するUDPポート番号の範囲(最小ポート番号から最大ポート番号まで)を指定します。VDAは、最小ポート番号から開始し、その後の試行ごとにインクリメントして、各ポートを使用しようとします。このポートは、インバウンドおよびアウトバウンドトラフィックを処理します。
Framehawkディスプレイチャネルのポートを開く
XenAppおよびXenDesktop 7.8以降では、VDAインストーラーのFeaturesステップでファイアウォールを再構成するオプションが利用可能です。このチェックボックスを選択すると、WindowsファイアウォールでUDPポート3224から3324が開きます。特定の状況では、手動でのファイアウォール構成が必要です。
- ネットワークファイアウォールの場合。 または
- デフォルトのポート範囲がカスタマイズされている場合。
これらのUDPポートを開くには、Framehawkチェックボックスを選択します。
コマンドラインを使用して、/ENABLE_FRAMEHAWK_PORTでFramehawkのUDPポートを開くこともできます。
Framehawk UDPポート割り当ての確認
インストール中に、ファイアウォール画面でFramehawkに割り当てられているUDPポートを確認できます。
デフォルトのUDPポート(/ja-jp/citrix-virtual-apps-desktops/2407/media/firewall-default-udp-ports-fh.png)
概要画面には、Framehawk機能が有効になっているかどうかが表示されます。
概要画面(/ja-jp/citrix-virtual-apps-desktops/2407/media/summary-screen-fh-enabled.png)
フレームホークのシトリックス ゲートウェイ サポート
Encrypted Framehawk traffic is supported on Citrix Gateway 1808 or later and NetScaler Gateway 11.0.62.10 or later, and Citrix Unified Gateway 1808 and NetScaler Unified Gateway 11.0.64.34 or later.
- Citrix Gatewayとは、Gateway VPN仮想サーバーがエンドユーザーデバイスから直接アクセスできる展開アーキテクチャを指します。つまり、VPN仮想サーバーにはパブリックIPアドレスが割り当てられており、ユーザーはこのIPアドレスに直接接続します。
- Unified Gatewayを使用したCitrix Gatewayとは、Gateway VPN仮想サーバーがコンテンツスイッチング仮想サーバー(CS)のターゲットとしてバインドされている展開を指します。この展開では、CS仮想サーバーがパブリックインターネットプロトコルアドレスを持ち、Gateway VPN仮想サーバーがダミーのインターネットプロトコルアドレスを持ちます。
Citrix GatewayでFramehawkサポートを有効にするには、Gateway VPN仮想サーバーレベルでDTLSパラメーターを有効にする必要があります。パラメーターが有効になり、Citrix Virtual AppsまたはCitrix Virtual Desktops™のコンポーネントが正しく更新されると、Framehawkのオーディオ、ビデオ、およびインタラクティブトラフィックはGateway VPN仮想サーバーとユーザーデバイス間で暗号化されます。
シトリックス ゲートウェイ、ユニファイド ゲートウェイ、およびシトリックス ゲートウェイ + グローバルサーバー負荷分散は Framehawk に対応しています。
次のシナリオはFramehawkではサポートされていません。
- HDX™ インサイト
- IPv6モードのシトリックス ゲートウェイ
- シトリックス ゲートウェイ 二重ホップ
- シトリックス ゲートウェイ クラスター設定
| シナリオ | フレームホークのサポート |
|---|---|
| シトリックス ゲートウェイ | はい |
| Citrix Gateway + グローバルサーバー負荷分散 | はい |
| ユニファイド ゲートウェイ を使用した シトリックス ゲートウェイ | はい。注: Unified Gatewayバージョン11.0.64.34以降がサポートされています。 |
| HDX インサイト | いいえ |
| IPv6 モードの シトリックス ゲートウェイ | いいえ |
| シトリックス ゲートウェイ ダブルホップ | いいえ |
| Citrix Gateway 上の複数のセキュア チケット オーソリティ | はい |
| Citrix Gateway と高可用性について | はい |
| シトリックス ゲートウェイとクラスター設定 | いいえ |
フレームホークサポートのためのシトリックス ゲートウェイの構成
Citrix GatewayでFramehawkサポートを有効にするには、Gateway VPNの仮想サーバーレベルでDTLSパラメーターを有効にします。パラメーターが有効になり、Citrix Virtual Apps and Desktops™のコンポーネントが正しく更新されると、Framehawkのオーディオ、ビデオ、およびインタラクティブトラフィックは、Gateway VPN仮想サーバーとユーザーデバイス間で暗号化されます。
リモートアクセス用にCitrix GatewayでUDP暗号化を有効にする場合、この構成が必要です。
Framehawkサポートを有効にするためにCitrix Gatewayを構成する際:
- 外部ファイアウォールでUDPポート443が開いていることを確認します
- 外部ファイアウォールでCGPポート(デフォルト2598)が開いていることを確認します
- VPN仮想サーバーの設定でDTLSを有効にします
- SSL証明書とキーのペアをアンバインドして再バインドします。Citrix Gateway 1808以降またはNetScalerバージョン11.0.64.34以降を使用している場合、この手順は不要です。
Framehawkサポートを有効にするためにCitrix Gatewayを構成するには:
- シトリックス ゲートウェイ を展開および構成して、ストアフロント™ と通信し、シトリックス バーチャル アプリケーションズ アンド デスクトップス のユーザーを認証できるようにします。
- 「Citrix Gateway 構成」タブで、シトリックス ゲートウェイ を展開し、Virtual Servers を選択します。
- 「Edit」を選択してVPN仮想サーバーの基本設定を表示し、DTLS設定の状態を確認します。
- 「More」を選択して、その他の構成オプションを表示します。
- 「DTLS」を選択して、Framehawkなどのデータグラムプロトコルに通信セキュリティを提供します。「OK」をクリックします。VPN仮想サーバーの基本設定領域に、DTLSフラグが「True」に設定されていることが表示されます。
- サーバー証明書バインディング画面を再度開き、「+」をクリックして証明書キーペアをバインドします。
- 以前の証明書キーペアを選択し、「Select」をクリックします。
- サーバー証明書バインディングへの変更を保存します。
- 保存後、証明書キーペアが表示されます。「Bind」をクリックします。
- SSL vserver/serviceに利用可能な暗号が設定されていませんという警告メッセージが表示された場合は、無視してください。
以前のNetScaler® Gatewayバージョンに対する手順
NetScaler Gatewayのバージョンが11.0.64.34より古い場合:
- サーバー証明書バインディング画面を再度開き、「+」をクリックして証明書キーペアをバインドします。
- 以前の証明書キーペアを選択し、「Select」をクリックします。
- サーバー証明書バインディングへの変更を保存します。
- 保存後、証明書キーペアが表示されます。「Bind」をクリックします。
- 「SSL vserver/service に設定された使用可能な暗号がありません」という警告メッセージが表示された場合は、無視してください。
Framehawk をサポートするように Unified Gateway を構成するには:
- Unified Gateway がインストールされ、適切に構成されていることを確認してください。詳細については、Citrix 製品ドキュメントサイトの Unified Gateway の情報をご覧ください。
- CS 仮想サーバーにターゲット 仮想サーバーとしてバインドされている VPN 仮想サーバーで DTLS パラメーターを有効にします。
制限事項
クライアントデバイスに Citrix Gateway 仮想サーバーの古い DNS エントリがある場合、アダプティブトランスポートと Framehawk は UDP トランスポートではなく TCP トランスポートにフォールバックする可能性があります。TCP トランスポートへのフォールバックが発生した場合は、クライアントの DNS キャッシュをフラッシュし、再接続して UDP トランスポートを使用してセッションを確立してください。
Framehawk は、PTC Creo などのアプリケーションに見られる 32 ビットのマウスカーソルをサポートしていません。
Framehawk は、シングルモニターを使用するラップトップやタブレットなどのモバイルデバイス向けに設計されており、デュアル/マルチモニター構成では Thinwire に戻ります。
その他の VPN 製品のサポート
Citrix Gateway は、Framehawk で必要とされる UDP 暗号化をサポートする唯一の SSL VPN 製品です。別の SSL VPN または誤ったバージョンの Citrix Gateway が使用された場合、Framehawk ポリシーが適用されない可能性があります。従来の IPsec VPN 製品は、変更なしで Framehawk をサポートします。
フレームホークの監視
Citrix Director から Framehawk の使用状況とパフォーマンスを監視できます。HDX 仮想チャネルの詳細ビューには、任意のセッションで Framehawk のトラブルシューティングと監視に役立つ情報が含まれています。Framehawk 関連のメトリックを表示するには、Graphics-Framehawk を選択します。
Framehawk 接続が確立されると、詳細ページに Provider = VD3D および Connected = True と表示されます。仮想チャネルの状態がアイドルであるのは正常です。これは、初期ハンドシェイク中にのみ使用されるシグナリングチャネルを監視するためです。このページには、接続に関するその他の有用な統計も表示されます。
問題が発生した場合は、Framehawk のトラブルシューティングブログ を参照してください。