Rendezvous V1
Cuando se utiliza Citrix Gateway Service, el protocolo Rendezvous permite que el tráfico omita los Citrix Cloud Connectors y se conecte de forma directa y segura con el plano de control de Citrix Cloud.
Hay dos tipos de tráfico que se deben tener en cuenta: 1) el tráfico de control para el registro de VDA y la intermediación de sesiones; 2) el tráfico de sesiones HDX.
Rendezvous V1 permite que el tráfico de sesiones HDX omita los Cloud Connectors, pero aun así requiere que los Cloud Connectors hagan de intermediario de todo el tráfico de control para el registro de VDA y la intermediación de sesiones.
Requisitos
- Acceda al entorno mediante Citrix Workspace y Citrix Gateway Service.
- Plano de control: Citrix DaaS (antes denominado Citrix Virtual Apps and Desktops Service).
- Linux VDA 2112 o una versión posterior
- 2112 es la versión la mínima necesaria para los proxies HTTP no transparentes.
- 2204 es la versión mínima necesaria para los proxies transparentes y SOCKS5.
- Habilite el protocolo Rendezvous en la directiva de Citrix. Para obtener más información, consulte Configuración de directiva del protocolo Rendezvous.
- Los agentes VDA deben tener acceso a
https://*.nssvc.net
, incluidos todos los subdominios. Si no puede incluir en la lista de permitidos todos los subdominios de esa manera, usehttps://*.c.nssvc.net
yhttps://*.g.nssvc.net
en su lugar. Para obtener más información, consulte la sección Requisitos de la conectividad a Internet de la documentación de Citrix Cloud (en Virtual Apps and Desktops Service) y el artículo CTX270584 de Knowledge Center. - Los Cloud Connectors deben obtener los FQDN de los VDA al hacer de intermediarios en una sesión. Para lograr este objetivo, habilite la resolución DNS para el sitio: En el SDK de PowerShell remoto de Citrix DaaS, ejecute el comando
Set-BrokerSite -DnsResolutionEnabled $true
. Para obtener más información sobre el SDK de PowerShell remoto de Citrix DaaS, consulte SDK y API.
Configuración de proxy
Se pueden establecer conexiones Rendezvous a través de proxies HTTP y SOCKS5 en el VDA.
Consideraciones sobre servidores proxy
Tenga en cuenta lo siguiente al usar servidores proxy con Rendezvous:
-
Se admiten proxies HTTP no transparentes y proxies SOCKS5.
-
No se admite el descifrado y la inspección de paquetes. Configure una excepción para que el tráfico ICA entre el VDA y Gateway Service no se intercepte, descifre o inspeccione. De lo contrario, la conexión se interrumpe.
-
Los proxies HTTP admiten la autenticación por máquina mediante protocolos de autenticación Negotiate y Kerberos. Cuando se conecta al servidor proxy, el esquema de autenticación Negotiate selecciona automáticamente el protocolo Kerberos. Kerberos es el único esquema que admite Linux VDA.
Nota:
Para utilizar Kerberos, debe crear el nombre principal de servicio (SPN) para el servidor proxy y asociarlo a la cuenta de Active Directory del proxy. El VDA genera el SPN en el formato
HTTP/<proxyURL>
al establecer una sesión, donde la URL del proxy se obtiene de la configuración de directiva de proxy Rendezvous. Si no crea un SPN, se produce un error en la autenticación. - Actualmente, no se admite la autenticación con un proxy SOCKS5. Si utiliza un proxy SOCKS5 , deberá configurar una excepción para que el tráfico destinado a las direcciones de Gateway Service (especificadas en los requisitos) pueda omitir la autenticación.
- Solo los proxies SOCKS5 admiten el transporte de datos a través de EDT. Para un proxy HTTP, utilice TCP como el protocolo de transporte para ICA.
Proxy transparente
Se admite un proxy HTTP transparente con Rendezvous. Si utiliza un proxy transparente en la red, no se requiere configuración adicional en el VDA.
Proxy no transparente
Al utilizar un proxy no transparente en la red, configure el parámetro Configuración del proxy Rendezvous. Cuando la configuración está habilitada, especifique la dirección de proxy HTTP o SOCKS5 para que el VDA sepa qué proxy usar. Por ejemplo:
- Dirección de proxy:
http://<URL or IP>:<port>
osocks5://<URL or IP>:<port>
Comprobación de Rendezvous
Si cumple todos los requisitos, siga estos pasos para comprobar si se utiliza Rendezvous:
- Inicie un terminal en el VDA.
- Ejecute
/opt/Citrix/VDA/bin/ctxquery -f iP
- Los PROTOCOLOS DE TRANSPORTE en uso indican el tipo de conexión:
- TCP Rendezvous: TCP - TLS - CGP - ICA
- EDT Rendezvous: UDP - DTLS - CGP - ICA
- Proxy a través de Cloud Connector: TCP - PROXY - SSL - CGP - ICA o UDP - PROXY - DTLS - CGP - ICA
Sugerencia:
Si el VDA no puede acceder directamente a Citrix Gateway Service con Rendezvous habilitado, el VDA recurre al Cloud Connector para hacer de intermediario con la sesión HDX.
Cómo funciona Rendezvous
Este diagrama es una descripción general del flujo de conexión de Rendezvous.
Siga los pasos para entender el flujo.
- Vaya a Citrix Workspace.
- Introduzca las credenciales en Citrix Workspace.
- Si utiliza Active Directory de manera local, Citrix DaaS autentica las credenciales con Active Directory mediante el canal del Cloud Connector.
- Citrix Workspace muestra los recursos enumerados de Citrix DaaS.
- Seleccione recursos de Citrix Workspace. Citrix DaaS envía un mensaje al VDA con el fin de prepararse para una sesión entrante.
- Citrix Workspace envía un archivo ICA al dispositivo de punto final que contiene un tíquet de STA generado por Citrix Cloud.
- El dispositivo de punto final se conecta a Citrix Gateway Service y proporciona el tíquet para conectarse al VDA, tras lo cual Citrix Cloud valida el tíquet.
- Citrix Gateway Service envía información de la conexión al Cloud Connector. El Cloud Connector determina si la conexión es una conexión con Rendezvous y envía la información al VDA.
- El VDA establece una conexión directa con Citrix Gateway Service.
- Si no es posible establecer una conexión directa entre el VDA y Citrix Gateway Service, el VDA emplea el Cloud Connector como intermediario.
- Citrix Gateway Servicio establece una conexión entre el dispositivo de punto final y el VDA.
- El VDA verifica su licencia con Citrix DaaS a través del Cloud Connector.
- Citrix DaaS envía directivas de sesión al VDA a través del Cloud Connector. Esas directivas se aplican.