Citrix DaaS

HDX Direto

Ao acessar os recursos fornecidos pela Citrix, o HDX Direct permite que dispositivos clientes internos e externos estabeleçam uma conexão direta segura com o host da sessão, se a comunicação direta for possível.

Importante:

O HDX Direct para usuários externos está atualmente em versão prévia. Esse recurso é fornecido sem suporte e ainda não é recomendado para uso em ambientes de produção. Para enviar comentários ou relatar problemas, use Este formulário.

Requisitos do sistema

A seguir estão os requisitos do sistema para usar o HDX Direct:

  • Plano de controle

    • Citrix DaaS
    • Citrix Virtual Apps and Desktops 2411 ou posterior
  • Agente de entrega virtual (VDA)

    • Windows: versão 2411 ou posterior
  • Aplicativo Workspace

    • Windows: versão 2409 ou posterior
    • Linux: versão 2411 ou posterior
    • Mac: versão 2411 ou posterior
  • Camada de acesso

    • Citrix Workspace com Citrix Gateway Service
    • Citrix Workspace com NetScaler Gateway
  • Outro

    • O transporte adaptativo deve ser ativado para conexões diretas externas

Requisitos de rede

Veja a seguir os requisitos de rede para usar o HDX Direct.

Hosts da sessão

Se os hosts da sessão tiverem um firewall, como o Windows Defender Firewall, você deverá permitir o seguinte tráfego de entrada para conexões internas. | Descrição | Fonte | Protocolo | Porto | | — | — | — | — | | Conexão interna direta | Cliente | TCP | 443 | | Conexão interna direta | Cliente | UDP | 443 |

Observação:

O instalador do VDA adiciona as regras de entrada apropriadas ao Windows Defender Firewall. Se você usar um firewall diferente, deverá adicionar as regras acima.

Rede de clientes

A tabela a seguir descreve a rede do cliente para usuários internos e externos.

Usuários internos

Descrição Protocolo Fonte Porta de origem Destino Porto de destino     Conexão interna direta TCP Rede de clientes 1024–65535 Rede VDA 443   Conexão interna direta UDP Rede de clientes 1024–65535 Rede VDA 443

Usuários externos

Descrição Protocolo Fonte Porta de origem Destino Porto de destino     STUN (somente usuários externos) UDP Rede de clientes 1024–65535 Internet (ver nota abaixo) 3478, 19302   Conexão de usuário externo UDP Rede de clientes 1024–65535 Endereço IP público do data center 1024–65535

Rede de data center

A tabela a seguir descreve a rede do data center para usuários internos e externos.

Usuários internos

Descrição Protocolo Fonte Porta de origem Destino Porto de destino     Conexão interna direta TCP Rede de clientes 1024–65535 Rede VDA 443   Conexão interna direta UDP Rede de clientes 1024–65535 Rede VDA 443

Usuários externos

Descrição Protocolo Fonte Porta de origem Destino Porto de destino     STUN (somente usuários externos) UDP Rede VDA 1024–65535 Internet (ver nota abaixo) 3478, 19302   Conexão de usuário externo UDP DMZ / Rede interna 1024–65535 Rede VDA Rolamento 55000–55250   Conexão de usuário externo UDP Rede VDA Rolamento 55000–55250 IP público do cliente 1024–65535

Observação:

O VDA e o aplicativo Workspace tentam enviar solicitações STUN para os seguintes servidores na mesma ordem:

  • stun.cloud.com:3478
  • stun.cloudflare.com:3478
  • stun.l.google.com:19302

Se você alterar o intervalo de portas padrão para conexões de usuário externo usando o comando Faixa de portas HDX Direct configuração de política, as regras de firewall correspondentes devem corresponder ao seu intervalo de portas personalizado.

Configuração

O HDX Direct está desabilitado por padrão. Você pode configurar esse recurso usando o HDX Direto na política Citrix.

  • HDX Direto: Para ativar ou desativar um recurso.
  • Modo HDX Direct: Determina se HDX Direto está disponível apenas para clientes internos ou para clientes internos e externos.
  • Faixa de portas HDX Direct: Define o intervalo de portas que o VDA usa para conexões de clientes externos.

Considerações

Veja a seguir as considerações para usar o HDX Direct:

  • O HDX Direct para usuários externos só está disponível com EDT (UDP) como protocolo de transporte. Portanto Transporte adaptativo deve ser habilitado.
  • Se você estiver usando Visão HDX, observe que o uso de HDX Direto impede a coleta de dados do HDX Insight, pois a sessão não seria mais enviada por proxy por meio do NetScaler Gateway.
  • Ao usar máquinas não persistentes para seus aplicativos e desktops virtuais, a Citrix recomenda habilitar HDX Direto nos hosts da sessão em vez de na imagem mestre/modelo para que cada máquina gere seus próprios certificados.
  • No momento, não há suporte para o uso de seus próprios certificados com o HDX Direct.

Como funciona

O HDX Direct permite que os clientes estabeleçam uma conexão direta com o host da sessão quando a comunicação direta estiver disponível. Quando conexões diretas são feitas usando HDX Direct, certificados autoassinados são usados para proteger a conexão direta com criptografia de nível de rede (TLS/DTLS).

Usuários internos

O diagrama a seguir descreve a visão geral do processo de conexão HDX Direct de usuários internos.

Visão geral do HDX Direct

  1. O cliente estabelece uma sessão HDX por meio do Serviço de Gateway.
  2. Após uma conexão bem-sucedida, o VDA envia ao cliente o FQDN da máquina VDA, uma lista de seus endereços IP e o certificado da máquina VDA por meio da conexão HDX.
  3. O cliente investiga os endereços IP para ver se ele pode acessar o VDA diretamente.
  4. Se o cliente puder acessar o VDA diretamente com qualquer um dos endereços IP compartilhados, o cliente estabelecerá uma conexão direta com o VDA, protegida com (D)TLS usando um certificado que corresponda ao trocado na etapa (2).
  5. Depois que a conexão direta for estabelecida com êxito, a sessão será transferida para a nova conexão e a conexão com o Serviço de Gateway será encerrada.

Observação:

Após estabelecer a conexão na etapa 2, acima, a sessão fica ativa. As etapas subsequentes não atrasam ou interferem na capacidade do usuário de usar o aplicativo virtual ou a área de trabalho. Se qualquer uma das etapas subsequentes falhar, a conexão por meio do Gateway será mantida sem interromper a sessão do usuário.

Usuários externos

O diagrama a seguir mostra a visão geral do processo de conexão HDX Direct para usuários externos:

Processo de conexão direta HDX

  1. O cliente estabelece uma sessão HDX por meio do Serviço de Gateway.
  2. Após uma conexão bem-sucedida, o cliente e o VDA enviam uma solicitação STUN para descobrir seus endereços IP e portas públicas.
  3. O servidor STUN responde ao cliente e ao VDA com seus endereços IP públicos e portas correspondentes.
  4. Por meio da conexão HDX, o cliente e o VDA trocam seus endereços IP públicos e portas UDP, e o VDA envia seu certificado ao cliente.
  5. O VDA envia pacotes UDP para o endereço IP público e a porta UDP do cliente. O cliente envia pacotes UDP para o endereço IP público e a porta UDP do VDA.
  6. Após o recebimento de uma mensagem do VDA, o cliente responde com uma solicitação de conexão segura.
  7. Durante o handshake DTLS, o cliente verifica se o certificado corresponde ao certificado trocado na etapa (4). Após a validação, o cliente envia seu token de autorização. Uma conexão direta segura agora está estabelecida.
  8. Depois que a conexão direta for estabelecida com êxito, a sessão será transferida para a nova conexão e a conexão com o Serviço de Gateway será encerrada.

Observação:

Após estabelecer a conexão na etapa 2, acima, a sessão fica ativa. As etapas subsequentes não atrasam ou interferem na capacidade do usuário de usar o aplicativo virtual ou a área de trabalho. Se qualquer uma das etapas subsequentes falhar, a conexão por meio do Gateway será mantida sem interromper a sessão do usuário.

Gerenciamento de certificados

Anfitrião da sessão

Os dois serviços a seguir na máquina VDA lidam com a criação e o gerenciamento de certificados, ambos configurados para serem executados automaticamente na inicialização da máquina:

  • Citrix ClxMtp Service: Responsável pela geração e rotação de chaves de certificado CA.
  • Citrix Certificate Manager Service: Responsável por gerar e gerenciar o certificado CA raiz autoassinado e os certificados da máquina.

As etapas a seguir descrevem o processo de gerenciamento de certificados:

  1. Os serviços começam na inicialização da máquina.
  2. Serviço Citrix ClxMtp cria chaves se nenhuma já tiver sido criada.
  3. O Citrix Certificate Manager Service verifica se HDX Direto está ativado. Caso contrário, o serviço será interrompido.
  4. Se HDX Direto estiver ativado, o Citrix Certificate Manager Service verificará se existe um certificado CA raiz autoassinado. Caso contrário, um certificado raiz autoassinado será criado.
  5. Quando um certificado CA raiz estiver disponível, o Citrix Certificate Manager Service verificará se existe um certificado de máquina autoassinado. Caso contrário, o serviço gera chaves e cria um novo certificado usando o FQDN do computador.
  6. Se houver um certificado de máquina existente criado pelo Citrix Certificate Manager Service e o nome da entidade não corresponder ao FQDN da máquina, um novo certificado será gerado.

Observação:

O Citrix Certificate Manager Service gera certificados RSA que aproveitam chaves de 2048 bits.

Dispositivo cliente

Para estabelecer com êxito um HDX Direto conexão, o cliente deve confiar nos certificados usados para proteger a sessão. Para facilitar isso, o cliente recebe o certificado CA para a sessão por meio do arquivo ICA (fornecido pelo Workspace), portanto, não é necessário distribuir certificados CA para os armazenamentos de certificados dos dispositivos clientes.

HDX Direto