Citrix DaaS

HDX Direct(预览版)

访问 Citrix 提供的资源时,如果可以进行直接通信,HDX Direct 将允许内部和外部客户端设备与会话主机建立安全的直接连接。

重要:

HDX Direct 当前处于预览阶段。此功能不提供任何支持,尚不建议在生产环境中使用。要提交反馈或报告问题,请使用此表单

系统要求

下面是使用 HDX Direct 的系统要求:

  • 控制平面

    • Citrix DaaS
    • Citrix Virtual Apps and Desktops 2402 或更高版本
  • Virtual Delivery Agent (VDA)

    • Windows:版本 2402 或更高版本
  • Workspace 应用程序

    • Windows:版本 2402 或更高版本
  • 访问层

    • 使用 Citrix Gateway Service 的 Citrix Workspace
    • 带有 NetScaler Gateway 的 Citrix Workspace
  • 其他

    • 必须为外部直接连接启用自适应传输

网络要求

下面是使用 HDX Direct 的网络要求。

会话主机

如果您的会话主机具有防火墙(例如 Windows Defender 防火墙),则必须允许传输内部连接的以下入站流量。

说明 协议 端口
直接内部连接 客户端 TCP 443
直接内部连接 客户端 UDP 443

注意:

VDA 安装程序将相应的入站规则添加到 Windows Defender 防火墙中。如果您使用其他防火墙,则必须添加上述规则。

客户端网络

下表描述了内部和外部用户的客户端网络。

内部用户

说明 协议 源端口 目标 目标端口
直接内部连接 TCP 客户端网络 1024–65535 VDA 网络 443
直接内部连接 UDP 客户端网络 1024–65535 VDA 网络 443

外部用户

说明 协议 源端口 目标 目标端口
STUN(仅限外部用户) UDP 客户端网络 1024–65535 Internet(请参阅下面的备注) 3478, 19302
外部用户连接 UDP 客户端网络 1024–65535 数据中心的公用 IP 地址 1024–65535

数据中心网络

下表描述了内部和外部用户的数据中心网络。

内部用户

说明 协议 源端口 目标 目标端口
直接内部连接 TCP 客户端网络 1024–65535 VDA 网络 443
直接内部连接 UDP 客户端网络 1024–65535 VDA 网络 443

外部用户

说明 协议 源端口 目标 目标端口
STUN(仅限外部用户) UDP VDA 网络 1024–65535 Internet(请参阅下面的备注) 3478, 19302
外部用户连接 UDP DMZ/内部网络 1024–65535 VDA 网络 55000–55250
外部用户连接 UDP VDA 网络 55000–55250 客户的公用 IP 1024–65535

注意:

VDA 和 Workspace 应用程序都尝试以相同的顺序向以下服务器发送 STUN 请求:

  • stunserver.stunprotocol.org:3478
  • employees.org:3478
  • stun.l.google.com:19302

如果您使用 HDX Direct 端口范围策略设置更改外部用户连接的默认端口范围,相应的防火墙规则必须与您的自定义端口范围相匹配。

配置

默认情况下,HDX Direct 处于禁用状态。可以使用 Citrix 策略中的 HDX Direct 设置来配置此功能。

  • HDX Direct:启用或禁用某项功能。
  • HDX Direct 模式:确定 HDX Direct 是仅适用于内部客户端还是同时适用于内部和外部客户端。
  • HDX Direct 端口范围:定义 VDA 用于外部客户端连接的端口范围。

注意事项

下面是使用 HDX Direct 的注意事项:

  • 面向外部用户的 HDX Direct 仅在 EDT (UDP) 作为传输协议时才可用。因此,必须启用自适应传输
  • 如果您使用的是 HDX Insight,则请注意,使用 HDX Direct 会阻止 HDX Insight 数据收集,因为会话将不再通过 NetScaler Gateway 进行代理。
  • 为虚拟应用程序和桌面使用非永久计算机时,Citrix 建议在会话主机上启用 HDX Direct,而非在主映像/模板映像中启用,以便每台计算机都生成自己的证书。
  • 当前不支持在 HDX Direct 中使用自己的证书。

工作原理

可以进行直接通信时,HDX Direct 允许客户端与会话主机建立直接连接。使用 HDX Direct 建立直接连接时,使用自签名证书通过网络级别的加密 (TLS/DTLS) 保护直接连接的安全。

内部用户

下图概述了内部用户的 HDX Direct 连接过程。

HDX Direct 概述

  1. 客户端通过 Gateway Service 建立 HDX 会话。
  2. 成功连接后,VDA 通过 HDX 连接向客户端发送 VDA 计算机的 FQDN、其 IP 地址列表以及 VDA 计算机的证书。
  3. 客户端探测 IP 地址以查看其是否可以直接到达 VDA。
  4. 如果客户端可以通过共享的任何 IP 地址直接访问 VDA,客户端将使用与步骤 (2) 中交换的证书匹配的证书与 VDA 建立直接连接,通过 (D)TLS 保护其安全。
  5. 成功建立直接连接后,会话将转移到新连接,与 Gateway Service 的连接将终止。

注意:

在上述步骤 2 中建立连接后,会话将处于活动状态。后续步骤不会延迟或干扰用户使用虚拟应用程序或桌面的能力。如果任何后续步骤失败,则会在不中断用户会话的情况下保持通过网关建立的连接。

外部用户

下图概述了外部用户的 HDX Direct 连接过程:

HDX Direct 连接过程

  1. 客户端通过 Gateway Service 建立 HDX 会话。
  2. 成功连接后,客户端和 VDA 都会发送 STUN 请求以发现其公用 IP 地址和端口。
  3. STUN 服务器使用其相应的公用 IP 地址和端口响应客户端和 VDA。
  4. 通过 HDX 连接,客户端和 VDA 交换其公用 IP 地址和 UDP 端口,VDA 将其证书发送给客户端。
  5. VDA 将 UDP 数据包发送到客户端的公用 IP 地址和 UDP 端口。客户端向 VDA 的公用 IP 地址和 UDP 端口发送 UDP 数据包。
  6. 收到来自 VDA 的消息后,客户端会使用安全连接请求进行响应。
  7. 在 DTLS 握手期间,客户端将验证证书是否与在步骤 (4) 中交换的证书相匹配。验证后,客户端将发送其授权令牌。现已建立安全的直接连接。
  8. 成功建立直接连接后,会话将转移到新连接,与 Gateway Service 的连接将终止。

注意:

在上述步骤 2 中建立连接后,会话将处于活动状态。后续步骤不会延迟或干扰用户使用虚拟应用程序或桌面的能力。如果任何后续步骤失败,则会在不中断用户会话的情况下保持通过网关建立的连接。

证书管理

会话主机

VDA 计算机上的以下两项服务处理证书创建和管理,这两项服务都设置为在计算机启动时自动运行:

  • Citrix ClxMtp Service:负责 CA 证书密钥的生成和轮换。
  • Citrix Certificate Manager Service:负责生成和管理自签名的根 CA 证书和计算机证书。

以下步骤描述了证书管理过程:

  1. 服务在计算机启动时启动。
  2. 如果尚未创建任何密钥,Citrix ClxMtp Service 将进行创建。
  3. Citrix Certificate Manager Service 检查 HDX Direct 是否已启用。否则,该服务会自行停止。
  4. 如果启用了 HDX Direct,Citrix Certificate Manager Service 会检查自签名的根 CA 证书是否存在。如果不存在,则创建自签名的根证书。
  5. 一旦根 CA 证书可用,Citrix Certificate Manager Service 就会检查自签名的计算机证书是否存在。否则,该服务会生成密钥并使用计算机的 FQDN 创建新证书。
  6. 如果存在由 Citrix Certificate Manager Service 创建的现有计算机证书,并且使用者名称与计算机的 FQDN 不匹配,则会生成新证书。

注意:

Citrix Certificate Manager Service 生成利用 2048 位密钥的 RSA 证书。

客户端设备

要成功建立安全的 HDX Direct 连接,客户端必须信任用于保护会话安全的证书。为方便起见,客户端将通过 ICA 文件(由 Workspace 提供)接收会话的 CA 证书,因此没有必要将 CA 证书分发到客户端设备的证书存储。

HDX Direct(预览版)