Rendezvous V1
Citrix Gatewayサービスを使用する場合、Rendezvousプロトコルにより、トラフィックがCitrix Cloud Connectorをバイパスして、Citrix Cloudコントロールプレーンに直接かつ安全に接続できます。
考慮すべきトラフィックには2つのタイプがあります:1)VDA登録とセッション仲介のための制御用トラフィック、2)HDXセッショントラフィック。
Rendezvous V1では、HDXセッショントラフィックがCloud Connectorをバイパスできますが、それでも、Cloud ConnectorがVDA登録とセッション仲介のためのすべての制御用トラフィックにプロキシを使用する必要があります。
要件
- Citrix WorkspaceとCitrix Gatewayサービスを使用して環境にアクセスします。
- コントロールプレーン:Citrix DaaS(旧称Citrix Virtual Apps and Desktopsサービス)。
- Linux VDAバージョン2112以降。
- 非透過HTTPプロキシには、バージョン2112以降が必要です。
- 透過プロキシおよびSOCKS5プロキシには、バージョン2204以降が必要です。
- CitrixポリシーでRendezvousプロトコルを有効にします。詳しくは、「Rendezvousプロトコルポリシー設定」を参照してください。
- VDAは、すべてのサブドメインを含む
https://*.nssvc.net
にアクセスできる必要があります。この方法ですべてのサブドメインをホワイトリストに登録できない場合、代わりにhttps://*.c.nssvc.net
およびhttps://*.g.nssvc.net
を使用します。詳しくは、Citrix Cloudのドキュメント(Virtual Apps and Desktopsサービス内)の「インターネット接続の要件」セクションおよびKnowledge Centerの記事CTX270584を参照してください。 - Cloud Connectorは、セッションを仲介する場合、VDAのFQDNを取得する必要があります。この目標を達成するには、サイトのDNS解決を有効にします。Citrix DaaS Remote PowerShell SDKを使用して、コマンド
Set-BrokerSite -DnsResolutionEnabled $true
を実行します。Citrix DaaS Remote PowerShell SDKについて詳しくは、「SDKおよびAPI」を参照してください。
プロキシ構成
VDAでは、HTTPプロキシおよびSOCKS5プロキシを介したRendezvous接続の確立がサポートされています。
プロキシに関する考慮事項
Rendezvousでプロキシを使用する場合は、次の点を考慮してください:
-
非透過HTTPプロキシおよびSOCKS5プロキシがサポートされています。
-
パケットの復号化と検査はサポートされていません。VDAとGatewayサービスの間のICAトラフィックが傍受、復号化、または検査されないように、例外を構成します。例外を構成しないと、接続が切断されます。
-
HTTPプロキシでは、NegotiateおよびKerberos認証プロトコルを使用して、マシンベースの認証がサポートされています。プロキシサーバーに接続するとき、Negotiate認証スキームによってKerberosプロトコルが自動的に選択されます。Kerberosは、Linux VDAでサポートされている唯一のスキームです。
注:
Kerberosを使用するには、プロキシサーバーのサービスプリンシパル名(SPN)を作成し、それをプロキシのActive Directoryアカウントに関連付ける必要があります。VDAは、セッションの確立時に
HTTP/<proxyURL>
形式のSPNを生成します。この場合、プロキシURLはRendezvousプロキシのポリシー設定から取得されます。SPNを作成しない場合、認証は失敗します。 - SOCKS5プロキシによる認証は、現在サポートされていません。SOCKS5プロキシを使用する場合、要件で指定されているGatewayサービスアドレス宛てのトラフィックが認証をバイパスできるように、例外を構成する必要があります。
- EDTを介したデータ転送をサポートしているのは、SOCKS5プロキシのみです。HTTPプロキシの場合、ICAのトランスポートプロトコルとしてTCPを使用します。
透過プロキシ
透過HTTPプロキシはRendezvousでサポートされています。ネットワークで透過プロキシを使用している場合、VDAで追加の構成は必要ありません。
非透過プロキシ
ネットワークで非透過プロキシを使用している場合は、Rendezvousプロキシの構成の設定を行います。この設定が有効になっている場合、VDAが使用するプロキシを認識できるように、HTTPまたはSOCKS5プロキシアドレスを指定します。例:
- プロキシアドレス:
http://<URL or IP>:<port>
またはsocks5://<URL or IP>:<port>
Rendezvousの検証
すべての要件を満たしている場合は、次の手順に従って、Rendezvousが使用されているかを検証します:
- VDAでターミナルを起動します。
-
/opt/Citrix/VDA/bin/ctxquery -f iP
を実行します。 - [トランスポートプロトコル]は接続の種類を示します:
- TCP Rendezvous:TCP - TLS - CGP - ICA
- EDT Rendezvous:UDP - DTLS - CGP - ICA
- Cloud Connectorを介したプロキシ:TCP - PROXY - SSL - CGP - ICAまたはUDP - PROXY - DTLS - CGP - ICA
ヒント:
Rendezvousが有効でVDAがCitrix Gatewayサービスに直接到達できない場合、VDAはフォールバックしCloud Connectorを介してHDXセッションにプロキシ接続します。
Rendezvousのしくみ
この図は、Rendezvous接続フローの概要です。
フローを理解するためには、この手順を実行してください。
- Citrix Workspaceに移動します。
- Citrix Workspaceで資格情報を入力します。
- オンプレミスActive Directoryを使用する場合、Citrix DaaSはCloud Connectorチャネルを使用してActive Directoryで資格情報を認証します。
- Citrix Workspaceに、Citrix DaaSから列挙されたリソースが表示されます。
- Citrix Workspaceでリソースを選択します。Citrix DaaSは、VDAにメッセージを送信して、受信セッションの準備をします。
- Citrix Workspaceは、Citrix Cloudによって生成されたSTAチケットを含むICAファイルをエンドポイントに送信します。
- エンドポイントはCitrix Gatewayサービスに接続し、VDAに接続するためにこのチケットを提供し、Citrix Cloudはチケットを検証します。
- Citrix Gatewayサービスは、接続情報をCloud Connectorに送信します。Cloud Connectorは、接続がRendezvous接続であるかどうかを判断し、その情報をVDAに送信します。
- VDAは、Citrix Gatewayサービスへの直接接続を確立します。
- VDAとCitrix Gatewayサービス間の直接接続が不可能な場合、VDAはCloud Connector経由で接続にプロキシを設定します。
- Citrix Gatewayサービスは、エンドポイントデバイスとVDA間の接続を確立します。
- VDAは、Cloud Connectorを介してCitrix DaaSでライセンスを検証します。
- Citrix DaaSは、Cloud Connector経由でセッションポリシーをVDAに送信します。これらのポリシーが適用されます。