HDX™ ダイレクト

Citrixが提供するリソースにアクセスする際、直接通信が可能な場合、HDX Directは内部および外部のクライアントデバイスがセッションホストとの安全な直接接続を確立することを可能にします。

システム要件

HDX Directを使用するためのシステム要件は以下のとおりです。

• コントロールプレーン

  • シトリックス DaaS™
  • Citrix バーチャルアプリとデスクトップ™ 2503以降

• バーチャル デリバリー エージェント (VDA)

  • Windows: バージョン2503以降

• ワークスペース アプリ

  • Windows: バージョン2503以降
  • Linux: バージョン2411以降
  • Mac: バージョン2411以降

• アクセスティア

  • Citrix ワークスペース™
  • Citrix ストアフロント™ 2503 以降
  • Citrix ゲートウェイ サービス
  • シトリックス NetScaler® ゲートウェイ

ネットワーク要件

HDX Directを使用するためのネットワーク要件は以下のとおりです。

セッションホスト

セッションホストにWindows Defender ファイアウォールなどのファイアウォールがある場合、内部接続に対して以下の受信トラフィックを許可する必要があります。

注:

VDAインストーラーは、適切な受信規則をWindows Defender ファイアウォールに追加します。別のファイアウォールを使用する場合は、上記の規則を追加する必要があります。

クライアントネットワーク

次の表は、内部ユーザーと外部ユーザーのクライアントネットワークについて説明しています。

内部ユーザー

外部ユーザー

データセンターネットワーク

以下の表は、内部ユーザーと外部ユーザー向けのデータセンターネットワークについて説明しています。

内部ユーザー

外部ユーザー

注：

VDAとWorkspaceアプリの両方が、以下のサーバーに同じ順序でSTUNリクエストを送信しようとします。

• stun.cloud.com:3478
• stun.cloudflare.com:3478
• stun.l.google.com:19302

HDX Directポート範囲ポリシー設定を使用して外部ユーザー接続のデフォルトポート範囲を変更する場合、対応するファイアウォールルールはカスタムポート範囲と一致する必要があります。

構成方法

HDX Directはデフォルトで無効になっています。この機能は、CitrixポリシーのHDX Direct設定を使用して構成できます。

• HDX Direct: 機能を有効または無効にするため。
• HDX Directモード: HDX Directが内部クライアントのみに利用可能か、内部クライアントと外部クライアントの両方に利用可能かを決定します。
• HDX Directポート範囲: VDAが外部クライアントからの接続に使用するポート範囲を定義します。

必要に応じて、HDX Directが使用するSTUNサーバーのリストは、以下のレジストリ値を編集することで変更できます。

• Key: HKLM\SOFTWARE\Citrix\HDX-Direct
• Value type: REG_MULTI_SZ
• 値の名前: STUNサーバー
• Data: stun.cloud.com:3478 stun.cloudflare.com:3478 stun.l.google.com:19302

注記:

外部ユーザー向けのHDX Directは、トランスポートプロトコルとしてEDT (UDP) を使用する場合にのみ利用可能です。したがって、アダプティブトランスポートを有効にする必要があります。

考慮事項

HDX Directを使用する際の考慮事項は次のとおりです。

• 外部ユーザー向けのHDX Directは、トランスポートプロトコルとしてEDT (UDP) を使用する場合にのみ利用可能です。したがって、アダプティブトランスポートを有効にする必要があります。
• HDX Insightを使用している場合、HDX Directを使用すると、セッションがNetScaler Gatewayを介してプロキシされなくなるため、HDX Insightのデータ収集が妨げられることに注意してください。

仕組み

HDX Directを使用すると、直接通信が可能な場合にクライアントがセッションホストへの直接接続を確立できます。HDX Directを使用して直接接続が行われる場合、自己署名証明書が使用され、ネットワークレベルの暗号化 (TLS/DTLS) で直接接続を保護します。

内部ユーザー

次の図は、内部ユーザーのHDX Direct接続プロセスの概要を示しています。

HDXダイレクトの概要(/ja-jp/citrix-virtual-apps-desktops/2507-ltsr/media/hdx-direct-overview.png)

1. クライアントはGateway Serviceを介してHDXセッションを確立します。
2. 接続が成功すると、VDAはVDAマシンのFQDN、そのIPアドレスのリスト、およびVDAマシンの証明書をHDX接続を介してクライアントに送信します。
3. クライアントは、VDAに直接到達できるかどうかを確認するためにIPアドレスをプローブします。
4. クライアントが共有されたいずれかのIPアドレスでVDAに直接到達できる場合、クライアントはVDAとの直接接続を確立します。この接続は、ステップ(2)で交換された証明書と一致する証明書を使用して(D)TLSで保護されます。
5. 直接接続が正常に確立されると、セッションは新しい接続に転送され、Gateway Serviceへの接続は終了します。

注:

上記のステップ2で接続が確立された後、セッションはアクティブになります。その後の手順は、ユーザーが仮想アプリケーションまたはデスクトップを使用する能力を遅らせたり、妨げたりすることはありません。その後の手順のいずれかが失敗した場合でも、ユーザーのセッションを中断することなく、Gatewayを介した接続が維持されます。

従来の直接接続方式

Storefront、Direct Workload Connectionを備えたWorkspace、または内部接続専用に構成されたWorkspaceを使用する場合、クライアントとセッションホスト間の直接接続は、最初にGatewayを介してルーティングする必要なく確立されます。

これらの場合、接続は本質的に直接的であるため、HDX Directはトリガーされません。ただし、HDX Directが有効になっている場合、これらの接続はHDX Direct証明書を利用してセッションを保護します。

外部ユーザー

次の図は、外部ユーザー向けのHDX Direct接続プロセスの概要を示します。

1. クライアントはGateway Serviceを介してHDXセッションを確立します。
2. 接続が成功すると、クライアントとVDAの両方がSTUNリクエストを送信して、それぞれのパブリックIPアドレスとポートを検出します。
3. STUNサーバーは、クライアントとVDAにそれぞれのパブリックIPアドレスとポートで応答します。
4. HDX接続を介して、クライアントとVDAはそれぞれのパブリックIPアドレスとUDPポートを交換し、VDAはクライアントに証明書を送信します。
5. VDAはクライアントのパブリックIPアドレスとUDPポートにUDPパケットを送信します。クライアントはVDAのパブリックIPアドレスとUDPポートにUDPパケットを送信します。
6. VDAからメッセージを受信すると、クライアントはセキュアな接続要求で応答します。
7. DTLSハンドシェイク中に、クライアントは証明書がステップ(4)で交換された証明書と一致することを確認します。検証後、クライアントは認証トークンを送信します。これでセキュアな直接接続が確立されます。
8. 直接接続が正常に確立されると、セッションは新しい接続に転送され、Gateway Serviceへの接続は終了します。

注:

上記のステップ2で接続が確立された後、セッションはアクティブになります。その後のステップは、ユーザーが仮想アプリケーションまたはデスクトップを使用する能力を遅らせたり妨げたりすることはありません。その後のいずれかのステップが失敗した場合でも、ユーザーのセッションを中断することなく、Gatewayを介した接続は維持されます。