HDX™ ダイレクト (プレビュー)
Citrixが提供するリソースにアクセスする場合、HDX Directにより、直接通信が可能な場合、内部および外部のクライアントデバイスの両方がセッションホストとの安全な直接接続を確立できます。
重要:
HDX Directは現在プレビュー版です。この機能はサポートなしで提供されており、本番環境での使用はまだ推奨されていません。フィードバックを送信したり、問題を報告したりするには、こちらのフォームを使用してください。
システム要件
HDX Directを使用するためのシステム要件は以下のとおりです。
-
コントロールプレーン
- シトリックス DaaS™
- シトリックス バーチャル アプリケーションズ アンド デスクトップス™ 2402以降
-
バーチャル デリバリー エージェント (VDA)
- Windows: バージョン2402以降
-
ワークスペースアプリ
- Windows: バージョン2402以降
-
アクセスティア
- シトリックス ワークスペース™ と シトリックス ゲートウェイ サービス
- シトリックス ワークスペース と NetScaler® ゲートウェイ
-
その他
- 外部からの直接接続には、Adaptive Transport を有効にする必要があります
ネットワーク要件
HDX Direct を使用するためのネットワーク要件は以下のとおりです。
セッションホスト
セッションホストに Windows Defender ファイアウォールなどのファイアウォールがある場合は、内部接続のために以下の受信トラフィックを許可する必要があります。
| 説明文 | ソース | プロトコル | ポート |
|---|---|---|---|
| 内部への直接接続 | クライアント | TCP | 443 |
| 直接的な内部接続 | クライアント | UDP | 443 |
注:
VDAインストーラーは、Windows Defender ファイアウォールに適切な受信規則を追加します。別のファイアウォールを使用する場合は、上記の規則を追加する必要があります。
クライアントネットワーク
次の表は、内部ユーザーと外部ユーザーのクライアントネットワークについて説明しています。
内部ユーザー
| 説明内容 | プロトコル | ソース | 送信元ポート | 接続先 | 宛先ポート |
|---|---|---|---|---|---|
| 直接的な内部接続 | TCP | クライアントネットワーク | 1024–65535 | VDAネットワーク | 443 |
| 直接的な内部接続 | UDP | クライアントネットワーク | 1024–65535 | VDAネットワーク | 443 |
外部ユーザー
| 説明内容 | プロトコル | 送信元 | 送信元ポート | 接続先 | 宛先ポート |
|---|---|---|---|---|---|
| STUN (外部ユーザーのみ) | UDP | クライアントネットワーク | 1024–65535 | インターネット (下記の注記を参照) | 3478, 19302 |
| 外部ユーザー接続 | UDP | クライアントネットワーク | 1024–65535 | データセンターのパブリックIPアドレス | 1024–65535 |
データセンターネットワーク
以下の表は、内部ユーザーと外部ユーザー向けのデータセンターネットワークについて説明しています。
内部ユーザー
| 項目説明 | プロトコル | ソース | 送信元ポート | 接続先 | 宛先ポート |
|---|---|---|---|---|---|
| 直接的な内部接続 | TCP | クライアントネットワーク | 1024–65535 | VDAネットワーク | 443 |
| 内部への直接接続 | UDP | クライアントネットワーク | 1024–65535 | VDAネットワーク | 443 |
外部ユーザー
| 説明内容 | プロトコル | ソース | ソースポート | 接続先 | 宛先ポート |
|---|---|---|---|---|---|
| STUN(外部ユーザーのみ) | UDP | VDAネットワーク | 1024–65535 | インターネット (下記の注記を参照) | 3478, 19302 |
| 外部ユーザー接続 | UDP | DMZ / 内部ネットワーク | 1024–65535 | VDAネットワーク | 55000–55250 |
| 外部ユーザー接続 | UDP | VDAネットワーク | 55000–55250 | クライアントのパブリックIP | 1024–65535 |
注:
VDAとWorkspaceアプリの両方が、以下のサーバーに同じ順序でSTUNリクエストを送信しようとします。
- スタントサーバー.スタントプロトコル.org:3478
- エンプロイーズ.org:3478
- stun.l.google.com:19302
HDX Direct port rangeポリシー設定を使用して外部ユーザー接続のデフォルトポート範囲を変更する場合、対応するファイアウォールルールはカスタムポート範囲と一致する必要があります。
構成設定
HDX Directはデフォルトで無効になっています。この機能は、CitrixポリシーのHDX Direct設定を使用して構成できます。
- HDX Direct: 機能を有効または無効にするため。
- HDX Direct mode: HDX Directが内部クライアントのみで利用可能か、内部クライアントと外部クライアントの両方で利用可能かを決定します。
- HDX Direct port range: VDAが外部クライアントからの接続に使用するポート範囲を定義します。
考慮事項
HDX Directを使用する際の考慮事項は以下のとおりです。
- 外部ユーザー向けのHDX Directは、トランスポートプロトコルとしてEDT (UDP) を使用する場合にのみ利用可能です。したがって、Adaptive Transport を有効にする必要があります。
- HDX Insight を使用している場合、HDX Direct を使用するとHDX Insightのデータ収集が妨げられることに注意してください。セッションがNetScaler Gatewayを介してプロキシされなくなるためです。
- 仮想アプリおよびデスクトップに非永続マシンを使用する場合、Citrixは、マスター/テンプレートイメージではなくセッションホストでHDX Direct を有効にすることを推奨します。これにより、各マシンが独自の証明書を生成します。
- HDX Directで独自の証明書を使用することは現在サポートされていません。
仕組み
HDX Directを使用すると、直接通信が可能な場合にクライアントがセッションホストへの直接接続を確立できます。HDX Directを使用して直接接続が行われる場合、自己署名証明書が使用され、ネットワークレベルの暗号化 (TLS/DTLS) によって直接接続が保護されます。
内部ユーザー
次の図は、内部ユーザーのHDX Direct接続プロセスの概要を示しています。
HDXダイレクトの概要(/ja-jp/citrix-virtual-apps-desktops/2407/media/hdx-direct-overview.png)
- クライアントはGateway Serviceを介してHDXセッションを確立します。
- 接続が成功すると、VDAはHDX接続を介して、VDAマシンのFQDN、そのIPアドレスのリスト、およびVDAマシンの証明書をクライアントに送信します。
- クライアントはIPアドレスをプローブし、VDAに直接到達できるかどうかを確認します。
- クライアントが共有されたいずれかのIPアドレスでVDAに直接到達できる場合、クライアントはVDAとの直接接続を確立し、ステップ(2)で交換された証明書と一致する証明書を使用して(D)TLSで保護します。
- 直接接続が正常に確立されると、セッションは新しい接続に転送され、Gateway Serviceへの接続は終了します。
注:
上記のステップ2で接続を確立した後、セッションはアクティブになります。その後の手順は、ユーザーが仮想アプリケーションまたはデスクトップを使用する能力を遅らせたり、妨げたりすることはありません。その後の手順のいずれかが失敗した場合でも、Gateway を介した接続はユーザーのセッションを中断することなく維持されます。
外部ユーザー
次の図は、外部ユーザー向けの HDX Direct 接続プロセスの概要を示しています。
- クライアントは Gateway Service を介して HDX セッションを確立します。
- 接続が成功すると、クライアントと VDA の両方が STUN リクエストを送信して、それぞれのパブリック IP アドレスとポートを検出します。
- STUN サーバーは、クライアントと VDA にそれぞれのパブリック IP アドレスとポートで応答します。
- HDX 接続を介して、クライアントと VDA はそれぞれのパブリック IP アドレスと UDP ポートを交換し、VDA はその証明書をクライアントに送信します。
- VDA はクライアントのパブリック IP アドレスと UDP ポートに UDP パケットを送信します。クライアントは VDA のパブリック IP アドレスと UDP ポートに UDP パケットを送信します。
- VDA からのメッセージを受信すると、クライアントはセキュアな接続リクエストで応答します。
- DTLS ハンドシェイク中に、クライアントは証明書がステップ (4) で交換された証明書と一致することを確認します。検証後、クライアントは認証トークンを送信します。これでセキュアな直接接続が確立されます。
- 直接接続が正常に確立されると、セッションは新しい接続に転送され、Gateway Service への接続は終了します。
注:
上記のステップ2で接続を確立した後、セッションはアクティブになります。その後の手順は、ユーザーが仮想アプリケーションまたはデスクトップを使用する能力を遅らせたり、妨げたりすることはありません。その後の手順のいずれかが失敗した場合でも、Gateway を介した接続はユーザーのセッションを中断することなく維持されます。
証明書の管理
セッションホスト
VDAマシン上の次の2つのサービスは、証明書の作成と管理を処理します。どちらもマシンの起動時に自動的に実行されるように設定されています。
- Citrix ClxMtp Service: CA証明書キーの生成とローテーションを担当します。
- Citrix Certificate Manager Service: 自己署名ルートCA証明書とマシン証明書の生成および管理を担当します。
次の手順は、証明書管理プロセスを示しています。
- サービスはマシンの起動時に開始されます。
-
Citrix ClxMtp Serviceは、まだ作成されていない場合はキーを作成します。 - Citrix Certificate Manager Serviceは、HDX Directが有効になっているか確認します。有効になっていない場合、サービスは停止します。
- HDX Directが有効になっている場合、Citrix Certificate Manager Serviceは自己署名ルートCA証明書が存在するか確認します。存在しない場合、自己署名ルート証明書が作成されます。
- ルートCA証明書が利用可能になると、Citrix Certificate Manager Serviceは自己署名マシン証明書が存在するか確認します。存在しない場合、サービスはキーを生成し、マシンのFQDNを使用して新しい証明書を作成します。
- Citrix Certificate Manager Serviceによって作成された既存のマシン証明書があり、サブジェクト名がマシンのFQDNと一致しない場合、新しい証明書が生成されます。
注:
Citrix Certificate Managerサービスは、2048ビットキーを利用するRSA証明書を生成します。
クライアントデバイス
安全なHDX Direct接続を正常に確立するには、クライアントはセッションを保護するために使用される証明書を信頼する必要があります。これを容易にするため、クライアントはICA®ファイル(Workspaceによって提供される)を介してセッションのCA証明書を受け取ります。そのため、CA証明書をクライアントデバイスの証明書ストアに配布する必要はありません。