Produktdokumentation
Citrix Tech Zone
PDF anzeigen

Tech Brief: Gateway Service für HDX Proxy

June 8, 2023
Author:  Matthew Brooks, Daniel Feller
Special thanks:  Vijaya Raghavan, Kenneth Bell, Jeff Kann, Hrushikesh Paralikar, Simon Jackson, Pradeep Vasu

Der Citrix Gateway Service für HDX Proxy bietet Benutzern sicheren Remotezugriff auf Citrix Virtual Apps and Desktops, ohne Citrix Gateway in der lokalen DMZ bereitstellen oder Firewalls neu konfigurieren zu müssen. Citrix hostet den gesamten Infrastruktur-Overhead für die Verwaltung des Remotezugriffs in der Cloud.

On-Premises vs. Cloud

On-Premises

Citrix Virtual Apps and Desktops bedienen Unternehmen seit Jahrzehnten gut, haben jedoch zusätzliche Anforderungen für den Remotezugriff wie:

  • Implementierung und Wartung mehrerer Standorte aus Redundanzgründen
  • Implementierung und Pflege öffentlicher IP-Adressen
  • Implementierung und Wartung von Netzwerkgeräten
  • Implementierung und Wartung von Firewallregeln

On-Premises

Cloud

Mit Citrix Cloud und Citrix Gateway Service können Unternehmen jetzt Remotezugriff auf Citrix Virtual Apps and Desktops ohne diese zusätzlichen Anforderungen sowie weitere Vorteile bereitstellen:

  • Mehrere Standorte werden weltweit von Citrix implementiert und verwaltet
  • Öffentliche IP-Adressen werden von Citrix implementiert und verwaltet
  • Erweiterte Sicherheit in Citrix Cloud mit Citrix Analytics
  • Predictive DNS bietet ein besseres Benutzererlebnis
  • Es sind keine Änderungen an der Virtual Apps and Desktops-Umgebung erforderlich
  • Zertifikate werden von Citrix implementiert und verwaltet
  • Elastische Skalierbarkeit und Hochverfügbarkeit werden von Citrix bereitgestellt und verwaltet
  • Unternehmen zahlen, wenn sie wachsen, und reduzieren die Betriebskosten
  • Schnelleres Onboarding für neue Kunden

Cloud

Citrix Cloud Services

Citrix Workspace

Der Citrix Workspace fasst alle Benutzerressourcen mithilfe einer lokal installierten Workspace-App (Desktop und Handy) oder eines lokalen Browsers zu einer einzigen, personalisierten Oberfläche zusammen. Der Citrix Workspace kommuniziert über einen Citrix Cloud Connector mit dem Citrix Virtual Apps and Desktops Controller.

Citrix Cloud Connector

Citrix Cloud Connector wird auf Windows-Server-Instanzen ausgeführt, die in Ressourcenstandorten gehostet werden, und erstellt einen Reverse-Proxy, um den Datenverkehr zwischen der Site/en und Citrix Cloud Es bietet Konnektivität von Citrix Cloud zu Ressourcenstandorten. Es umfasst auch den Zugriff auf Active Directory und die Bereitstellung von Kontrollkanaldatenverkehr zwischen den Controllern Citrix Workspace und Citrix Virtual Apps and Desktops. Cloud Connector stellt außerdem eine Verbindung vom Ressourcenstandort zum nächstgelegenen Citrix POP her, um einen ersten Datenkanal einzurichten.

Citrix Gateway Service

Der Citrix Gateway Service ist Teil der Citrix Cloud Services zur Bereitstellung eines sicheren Fernzugriffs. Es wurde seit mehr als einem Jahrzehnt entwickelt und wird von den größten Unternehmen der Welt genutzt. Es stützt sich auf das Citrix Optimal Gateway Routing, um Clients zum nächsten globalen Citrix Gateway Service POP zu leiten. Von dort aus koordiniert es die sichere Konnektivität zwischen Citrix Workspace-Clients und Virtualisierungsressourcen, um Sitzungen mit der niedrigsten Latenz und der bestmöglichen Benutzererfahrung bereitzustellen.

Rendezvousprotokoll

Jeder Cloud Connector unterstützt ein Limit von 1.000 gleichzeitigen Sitzungen, und während das Hinzufügen weiterer Konnektoren die Kapazität erhöht, bietet Citrix eine effizientere Lösung für die Skalierung. Mit demRendezvous-Protokoll können HDX-Sitzungen über sicheren TLS-Transport direkt vom Virtual Delivery Agent (VDA) zum Citrix Gateway Service eingerichtet werden, ohne zuerst den Cloud Connector zu durchlaufen. Es ist in Citrix Virtual Apps and Desktops Release 1912+ verfügbar und kann über eine Citrix Richtlinieneinstellung aktiviert werden. Wenn das Rendezvous-Protokoll aktiviert ist und den Gateway Service aus irgendeinem Grund nicht erreichen kann, greift es auf die Unterstützung des Datenverkehrs über den Cloud Connector zurück.

Resilienz

Der Citrix Gateway Service arbeitet in mehreren POPs. Wenn aus irgendeinem Grund ein POP ausfällt oder die Konnektivität nach Schwellenwerten beeinträchtigt wird, reagiert Citrix Optimal Gateway Routing auf nachfolgende DNS-Anfragen mit der öffentlichen IP-Adresse des nächstgelegenen POP. Die Workspace-App und der Citrix Virtual Apps and Desktops-Controller initiieren Wiederholungen und Timeouts basierend auf Sitzungsverbindungs - und Timereinstellungen .

  • Jeder POP ist für hohe Verfügbarkeit konfiguriert
  • Vier 9 s der Zuverlässigkeit
  • Die aktualisierte Liste der POPs finden Sie unter CTX270584

Globale Präsenzpunkte von Citrix

Bereitstellung

Ersteinrichtung

Die Umstellung des Zugriffs von Ihrem lokalen Gateway auf den Citrix Gateway Service beginnt mit der Erstellung Ihrer Citrix Cloud-Umgebung. Anschließend melden Sie sich von Windows Server-Instanzen in Ihrer Umgebung mit Netzwerkzugriff auf Ihre Citrix Virtual Apps and Desktops Controller an. Anschließend können Sie Citrix Cloud Connectors installieren, um Konnektivität zur Citrix Cloud bereitzustellen. Cloud Connector

Erstkonfiguration

Sobald die Citrix Cloud Connectors an Ihrem Ressourcenstandort installiert sind, kann der Citrix Workspace in Citrix Cloud konfiguriert werden. Nachdem Sie angegeben haben, ob die Authentifizierung mit Active Directory (AD) oder Azure Active Directory (AAD) erfolgt und die Implementierung aller gewünschten Anpassungen an die Workspace-App, Gateway und Citrix Virtual Apps and Desktops On-Premises Sites muss unter Service Integrationsaktiviert sein. Dann kann die Site hinzugefügt und konfiguriert werden. Die Sitekonfiguration umfasst: Angabe, ob der Controller vor oder nach Version 6.5 ist, Angabe des FQDN des Controllers, der in Ihrem Ressourcenstandort gehostet wird, die Überprüfung der durch die Citrix Cloud Connector-Installation identifizierten Domäne und die Angabe, dass der Gateway Service für die Konnektivität verwendet wird. Workspacekonfiguration

Erste Bereitstellung

Nachdem der Citrix Workspace in Citrix Cloud konfiguriert wurde, kann der neue FQDN der Workspace-App hinzugefügt werden. Benutzer können sich mit denselben AD-Anmeldeinformationen anmelden, die sie mit dem lokalen Citrix Gateway verwenden würden, und dieselben Apps und Desktops aufzählen lassen. Workspace-App

Überlegungen zur Bereitstellung

Wenn ein Benutzer eine App in der Workspace-App startet, wird eine DNS-Abfrage für einen auf Citrix Gateways gehosteten FQDN an den lokalen DNS-Namenserver des Endpunkts weitergeleitet. Es leitet es normalerweise an einen DNS-Namenserver des ISP weiter, der eine rekursive Abfrage erstellt. Als autoritativer Nameserver gibt Citrix Gateway Service die öffentliche IP-Adresse des nächsten POP basierend auf dem Standort der IP-Adresse des ISPs-Namensservers zurück, der die rekursive Abfrage durchgeführt hat. Daher ist es wichtig, dass sich der Namenserver in unmittelbarer Nähe des Endpunkts befindet. Wenn nicht, können Sitzungen Leistungsprobleme verursachen.

Web/SSL Proxy

Es wird empfohlen, Gateway Service FQDNs von jeder DNS-Filterung und Verkehrsinspektion auszuschließen (*.nssvc.net / *.g.nssvc.net / *.c.nssvc.net)

Proxys können folgende Probleme verursachen:

  • Randomisierung der DNS-Quell-IP, was dazu führt, dass Benutzer zu einem suboptimalen POP geleitet werden
  • Fügen Sie Verbindungen, die auf den falschen POP gerichtet sind, eine Latenz hinzu (100 ms +, mit übermäßigem Jitter)
  • Die TLS-Inspektion unterbricht den Gateway Service, da sie kein TLS-Abfangen unterstützt

Um es mit Zscaler zu implementieren:

  • Aktualisieren Sie Ihre ZPA, um bestimmte Anwendungen zu Bypass

  • Unter Edit Application Segment Anwendungseinträge für Gateway Service FQDNs eingeben (*.nssvc.net / *.g.nssvc.net / *.c.nssvc.net)

    Weitere Informationen finden Sie unter ZPA — Bypass-Einstellungen konfigurieren

VPN

Es wird empfohlen, dass VPNs lokale Breakout für Gateway Servicedomänen implementieren (*.nssvc.net / *.g.nssvc.net / *.c.nssvc.net)

  • Aktivieren Sie Split-Tunneling, damit der VPN-Client nur Datenverkehr sendet, der für interne Netzwerke bestimmt ist, die durch den VPN-Tunnel geschützt sind
  • Der für den Citrix Gateway Service bestimmte Datenverkehr würde direkt über das lokale Internet gesendet, anstatt über den VPN-Tunnel und das interne Netzwerk zurückgeführt zu werden

Um es mit Citrix Gateway VPN zu implementieren, nehmen Sie folgende Änderungen vor:

  • Aktivieren Sie das Split-Tunneling auf der Registerkarte Clienterfahrung der VPN-Sitzungsrichtlinie, indem Sie das Feld “Split Tunnel” auf “ON” setzen
  • Konfigurieren Sie transparente Intranet-Anwendungseinträge mit den IP-Adressbereichen des internen Netzwerks

  • Stellen Sie auf der Registerkarte Client Experience die erweiterten Einstellungen sicher, dass “Split DNS” auf Local eingestellt ist. Konfigurieren Sie die DNS-Suffix-Liste auch unter Traffic Management > DNS > DNS-Suffix. Übereinstimmungsabfragen werden an das Gateway weitergeleitet, während andere an das lokale DNS weitergeleitet werden

    Weitere Informationen finden Sie unter Konfigurieren von Split-Tunneling in einem vollständigen VPN-Setup auf Citrix Gateway

Verwaltbarkeit

Der Citrix Gateway Service vereinfacht die Anforderungen für den Zugriff auf lokale Virtual Apps and Desktops und reduziert so die erforderliche Infrastruktur und den Betriebsaufwand für die Wartung. Die Notwendigkeit, Gateways mit SSL-Zertifikaten und öffentlichen IPs in mehreren POPs zu verwalten, entfällt. Administratoren können sich dann stärker auf die Verwaltung ihrer eigenen Prioritäten für IT-Unternehmensdienste konzentrieren.

  • Überwachung und Wartung rund um die Uhr durch Citrix Cloud-Experten
  • Schnellere Bereitstellung eines einheitlichen Workspace mit vorhandenem IT-Personal
  • Reduzierung des Bedarfs an spezialisierten IT-Kenntnisse

Citrix Cloud-Betrieb

Sitzungskonnektivität

Ein Benutzer wählt eine virtuelle App oder einen virtuellen Desktop in seinem Workspace aus, und sein Endpunkt erhält ein Startticket. Es wird angewiesen, eine Verbindung mit dem Citrix Gateway Service herzustellen, der wiederum den VDA kontaktiert. Wenn der VDA für die Verwendung des Rendezvous-Protokolls konfiguriert ist, baut er eine TLS-Verbindung direkt zurück zum anfordernden Citrix Gateway Service POP auf, andernfalls wird Cloud Connector verwendet. Dann richtet der Citrix Gateway Service die Sitzung zwischen dem Endpoint und dem VDA ein.

  • Sitzungen werden über den Citrix Gateway Service über die WANs von Cloud-Partnern verknüpft
  • VDAs und Workspace-Endpunkte treffen sich im Citrix Gateway Service POP, der dem Benutzer am nächsten ist
  • Sitzungen mit hoher Qualität

Citrix Gateway Service und HDX Proxy: Verkehrsfluss

Tech Brief: Gateway Service für HDX Proxy
June 8, 2023
Author:  Matthew Brooks, Daniel Feller
Special thanks:  Vijaya Raghavan, Kenneth Bell, Jeff Kann, Hrushikesh Paralikar, Simon Jackson, Pradeep Vasu
June 8, 2023
Author:  Matthew Brooks, Daniel Feller
Special thanks:  Vijaya Raghavan, Kenneth Bell, Jeff Kann, Hrushikesh Paralikar, Simon Jackson, Pradeep Vasu

In diesem Artikel

Feedback zur Site | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.