Linux Virtual Delivery Agent 2201

Rendezvous V1

在使用 Citrix Gateway 服务的环境中,Rendezvous 协议允许 HDX 会话绕过 Citrix Cloud Connector 直接安全地连接到 Citrix Gateway 服务。

要求

  • 使用 Citrix Workspace 和 Citrix Gateway 服务访问环境。
  • 控制平面:Citrix Virtual Apps and Desktops 服务 (Citrix Cloud)。
  • Linux VDA 版本 2112 或更高版本。
  • 在 Citrix 策略中启用 Rendezvous 协议。有关详细信息,请参阅 Rendezvous 协议策略设置
  • VDA 必须对 https://*.nssvc.net 具有访问权限,包括所有子域。如果您无法通过该方式将所有子域列入白名单,请改为使用 https://*.c.nssvc.nethttps://*.g.nssvc.net。有关详细信息,请参阅 Citrix Cloud 文档(在 Virtual Apps and Desktops 服务下方)的 Internet 连接要求部分和知识中心文章 CTX270584
  • 在代理会话时,Cloud Connector 必须获取 VDA 的 FQDN。要实现此目标,请为站点启用 DNS 解析:使用 Citrix Virtual Apps and Desktops 远程 PowerShell SDK,运行命令 Set-BrokerSite -DnsResolutionEnabled $true。有关 Citrix Virtual Apps and Desktops 远程 PowerShell SDK 的详细信息,请参阅 SDK 和 API

代理配置

VDA 支持通过 HTTP 代理建立 Rendezvous 连接。

代理注意事项

在 Rendezvous 中使用代理时,请注意以下事项:

  • 支持非透明 HTTP 代理。

  • 不支持数据包解密和检查。配置异常,以便 VDA 与网关服务之间的 ICA 流量不会被拦截、解密或检查。否则,连接会中断。

  • HTTP 代理通过使用协商和 Kerberos 身份验证协议支持基于计算机的身份验证。连接到代理服务器时,协商身份验证方案会自动选择 Kerberos 协议。Kerberos 是 Linux VDA 支持的唯一方案。

    注意:

    要使用 Kerberos,必须为代理服务器创建服务主体名称 (SPN),并将其与代理的 Active Directory 帐户关联。VDA 在建立会话时生成格式为 HTTP/<proxyURL> 的 SPN,其中代理 URL 是从 Rendezvous 代理策略设置中检索的。如果不创建 SPN,身份验证将失败。

  • 对于 HTTP 代理,请使用 TCP 作为 ICA 的传输协议。

非透明代理

在网络中使用非透明代理时,请配置 Rendezvous 代理配置设置。启用该设置后,为 VDA 指定 HTTP 代理地址,以了解要使用哪个代理。例如:

  • 代理地址:http://<URL or IP>:<port>

Rendezvous 验证

如果您满足所有要求,请按照下列步骤验证是否正在使用 Rendezvous:

  1. 在 VDA 上启动端点。
  2. 运行 /opt/Citrix/VDA/bin/ctxqurey -f iP
  3. 传输协议指明连接类型:
    • TCP Rendezvous:TCP - TLS - CGP - ICA
    • EDT Rendezvous:UDP - DTLS - CGP - ICA
    • 通过 Cloud Connector 代理:TCP - CGP - ICA

提示:

如果启用了 Rendezvous,并且 VDA 无法直接访问 Citrix Gateway 服务,则 VDA 将回退到通过 Cloud Connector 代理 HDX 会话。

Rendezvous 的工作原理

下图概述了 Rendezvous 连接流程。

Rendezvous 协议概述

请按照步骤了解流程。

  1. 导航到 Citrix Workspace。
  2. 在 Citrix Workspace 中输入凭据。
  3. 如果使用本地 Active Directory,Citrix Virtual Apps and Desktops 服务将使用 Cloud Connector 通道通过 Active Directory 对凭据进行验证。
  4. Citrix Workspace 显示 Citrix Virtual Apps and Desktops 服务中的枚举资源。
  5. 从 Citrix Workspace 中选择资源。Citrix Virtual Apps and Desktops 服务向 VDA 发送一条消息,以便为传入会话做好准备。
  6. Citrix Workspace 将 ICA 文件发送到包含 Citrix Cloud 生成的 STA 票证的端点。
  7. 端点连接到 Citrix Gateway 服务,提供连接到 VDA 的票证,Citrix Cloud 将验证该票证。
  8. Citrix Gateway 服务将连接信息发送到 Cloud Connector。Cloud Connector 确定连接是否应为 Rendezvous 连接,并将信息发送到 VDA。
  9. VDA 建立与 Citrix Gateway 服务的直接连接。
  10. 如果无法在 VDA 与 Citrix Gateway 服务之间建立直接连接,VDA 将通过 Cloud Connector 代理其连接。
  11. Citrix Gateway 服务在端点与 VDA 之间建立连接。
  12. VDA 通过 Cloud Connector 借助 Citrix Virtual Apps and Desktops 服务验证其许可证。
  13. Citrix Virtual Apps and Desktops 服务通过 Cloud Connector 向 VDA 发送会话策略。这些政策已应用。
Rendezvous V1