Citrix Gateway Service für HDX Proxy

Der Citrix Gateway Service für HDX Proxy bietet Benutzern sicheren Remotezugriff auf Citrix Virtual Apps and Desktops, ohne Citrix Gateway in der lokalen DMZ bereitstellen oder Firewalls neu konfigurieren zu müssen. Citrix hostet den gesamten Infrastruktur-Overhead für die Verwaltung des Remotezugriffs in der Cloud.

On-Premises vs. Cloud

On-Premises

Citrix Virtual Apps and Desktops bedienen Unternehmen seit Jahrzehnten gut, haben jedoch zusätzliche Anforderungen für den Remotezugriff wie:

  • Implementieren und Verwalten mehrerer Standorte für Redundanz
  • Implementierung und Pflege öffentlicher IP-Adressen
  • Implementieren und Verwalten von Netzwerkgeräten
  • Implementieren und Verwalten von Firewallregeln

On-Premises

Cloud

Mit Citrix Cloud und Citrix Gateway Service können Unternehmen jetzt Remotezugriff auf Citrix Virtual Apps and Desktops ohne diese zusätzlichen Anforderungen sowie weitere Vorteile bereitstellen:

  • Mehrere Standorte werden weltweit von Citrix implementiert und verwaltet
  • Öffentliche IP-Adressen werden von Citrix implementiert und verwaltet
  • Erweiterte Sicherheit von Citrix Cloud mit Citrix Analytics
  • Predictive DNS bietet eine bessere Benutzererfahrung
  • Es sind keine Änderungen an der Umgebung Virtual Apps und Desktops erforderlich.
  • Zertifikate werden von Citrix implementiert und verwaltet
  • Elastische Skalierbarkeit und hohe Verfügbarkeit wird von Citrix bereitgestellt und verwaltet
  • Unternehmen zahlen, wenn sie wachsen und Betriebskosten senken
  • Schnelleres Onboarding für neue Kunden

Cloud

Citrix Cloud Services

Citrix Workspace

Der Citrix Workspace fasst alle Benutzerressourcen über einen lokal installiertenWorkspace-App(Desktop und Mobile) oder einen lokalen Browser in einer einzigen, personalisierten Oberfläche zusammen. Der Citrix Workspace kommuniziert über einen Citrix Cloud Connector mit dem Citrix Virtual Apps and Desktops Controller.

Citrix Cloud Connector

Citrix Cloud Connector wird auf Windows-Server-Instanzen ausgeführt, die in Ressourcenstandorten gehostet werden, und erstellt einen Reverse-Proxy, um den Datenverkehr zwischen der Site/en und Citrix Cloud Es bietet Konnektivität von Citrix Cloud zu Ressourcenstandorten. Es umfasst auch den Zugriff auf Active Directory und die Bereitstellung von Kontrollkanaldatenverkehr zwischen den Controllern Citrix Workspace und Citrix Virtual Apps and Desktops. Cloud Connector erstellt außerdem eine Verbindung vom Ressourcenstandort zum nächstgelegenen Citrix POP, um einen anfänglichen Datenkanal herzustellen.

Citrix Gateway-Service

Der Citrix Gateway Service ist Teil der Citrix Cloud Services zur Bereitstellung eines sicheren Fernzugriffs. Es wurde seit mehr als einem Jahrzehnt entwickelt und wird von den größten Unternehmen der Welt genutzt. Es stützt sich auf das Citrix Optimal Gateway Routing, um Clients zum nächsten globalen Citrix Gateway Service POP zu leiten. Von dort aus koordiniert es die sichere Konnektivität zwischen Citrix Workspace-Clients und Virtualisierungsressourcen, um Sitzungen mit der niedrigsten Latenz und der bestmöglichen Benutzererfahrung bereitzustellen.

Rendezvousprotokoll

Jeder Cloud Connector unterstützt ein Limit von 1.000 gleichzeitigen Sitzungen, und während das Hinzufügen weiterer Konnektoren die Kapazität erhöht, bietet Citrix eine effizientere Lösung für die Skalierung. Rendezvousprotokoll ermöglicht die Einrichtung von HDX-Sitzungen über einen sicheren TLS-Transport direkt vom Virtual Delivery Agent (VDA) zum Citrix Gateway Service, ohne zuerst den Cloud Connector zu durchlaufen. Es ist in Citrix Virtual Apps and Desktops Release 1912+ verfügbar und kann über eine Citrix Richtlinieneinstellung aktiviert werden. Wenn das Rendezvous-Protokoll aktiviert ist und den Gateway Service aus irgendeinem Grund nicht erreichen kann, greift es auf die Unterstützung des Datenverkehrs über den Cloud Connector zurück.

Widerstandsfähigkeit

Der Citrix Gateway Service arbeitet in mehreren POPs. Wenn aus irgendeinem Grund ein POP ausfällt oder die Konnektivität nach Schwellenwerten beeinträchtigt wird, reagiert Citrix Optimal Gateway Routing auf nachfolgende DNS-Anfragen mit der öffentlichen IP-Adresse des nächstgelegenen POP. Die Workspace-App und der Citrix Virtual Apps and Desktops Controller initiieren Wiederholungen und Timeouts basierend auf Sitzung Verbindung und Zeitschaltuhr-Einstellungen.

  • Jeder POP ist für hohe Verfügbarkeit konfiguriert
  • Vier 9 s der Zuverlässigkeit
  • 20 Globale POPs

Globale Citrix Points of Presence

Bereitstellung

Erstinstallation

Der Übergang des Zugriffs vom lokalen Gateway auf den Citrix Gateway Dienst beginnt mit der ErstellungIhre Citrix Cloud-Umgebung. Anschließend melden Sie sich von Windows Server-Instanzen in Ihrer Umgebung mit Netzwerkzugriff auf Ihre Citrix Virtual Apps and Desktops Controller an. Dann können Installieren von Citrix Cloud Connectors Sie Konnektivität mit Citrix Cloud bereitstellen. Cloud Connector

Erstkonfiguration

Sobald die Citrix Cloud Connectors an Ihrem Ressourcenstandort installiert sind, kann der Citrix Workspace in Citrix Cloud konfiguriert werden. Nachdem Sie angegeben haben, ob die Authentifizierung mit Active Directory (AD) oder Azure Active Directory (AAD) erfolgt und die Implementierung aller gewünschten Anpassungen an die Workspace-App, Gateway und Citrix Virtual Apps and Desktops On-Premises Sites muss unter Service Integrationsaktiviert sein. Dann kann die Site hinzugefügt und konfiguriert werden. Die Sitekonfiguration umfasst: Angabe, ob der Controller vor oder nach Version 6.5 ist, Angabe des FQDN des Controllers, der in Ihrem Ressourcenstandort gehostet wird, die Überprüfung der durch die Citrix Cloud Connector-Installation identifizierten Domäne und die Angabe, dass der Gateway Service für die Konnektivität verwendet wird. Workspacekonfiguration

Erstbereitstellung

Nachdem der Citrix Workspace in Citrix Cloud konfiguriert wurde, kann der neue FQDN der Workspace-App hinzugefügt werden. Benutzer können sich mit denselben AD-Anmeldeinformationen anmelden, die sie mit dem lokalen Citrix Gateway verwenden würden, und dieselben Apps und Desktops aufzählen lassen. Workspace-App

Überlegungen zur Bereitstellung

Wenn ein Benutzer eine App in der Workspace-App startet, wird eine DNS-Abfrage für einen auf Citrix Gateways gehosteten FQDN an den lokalen DNS-Namenserver des Endpunkts weitergeleitet. Es leitet es normalerweise an einen DNS-Namenserver des ISP weiter, der eine rekursive Abfrage erstellt. Als autoritativer Nameserver gibt Citrix Gateway Service die öffentliche IP-Adresse des nächsten POP basierend auf dem Standort der IP-Adresse des ISPs-Namensservers zurück, der die rekursive Abfrage durchgeführt hat. Daher ist es wichtig, dass sich der Namenserver in unmittelbarer Nähe des Endpunkts befindet. Wenn nicht, können Sitzungen Leistungsprobleme verursachen.

Web/SSL Proxy

Es wird empfohlen, Gateway Service FQDNs von jeder DNS-Filterung und Verkehrsinspektion auszuschließen (*.nssvc.net / *.g.nssvc.net / *.c.nssvc.net)

Proxys können folgende Probleme verursachen:

  • Randomisierung der DNS-Quell-IP, was dazu führt, dass Benutzer zu einem suboptimalen POP geleitet werden
  • Fügen Sie Verbindungen, die auf den falschen POP gerichtet sind, eine Latenz hinzu (100 ms +, mit übermäßigem Jitter)
  • Die TLS-Inspektion unterbricht den Gateway Service, da sie kein TLS-Abfangen unterstützt

Um es mit Zscaler zu implementieren:

  • Aktualisieren Sie Ihre ZPA, um bestimmte Anwendungen zu Bypass
  • Unter Edit Application Segment Anwendungseinträge für Gateway Service FQDNs eingeben (*.nssvc.net / *.g.nssvc.net / *.c.nssvc.net)

    Für weitere Informationen siehe ZPA — Bypass-Einstellungen konfigurieren

VPN

Es wird empfohlen, dass VPNs lokale Breakout für Gateway Servicedomänen implementieren (*.nssvc.net / *.g.nssvc.net / *.c.nssvc.net)

  • Aktivieren Sie Split-Tunneling, damit der VPN-Client nur Datenverkehr sendet, der für interne Netzwerke bestimmt ist, die durch den VPN-Tunnel geschützt sind
  • Der für den Citrix Gateway Service bestimmte Datenverkehr würde direkt über das lokale Internet gesendet, anstatt über den VPN-Tunnel und das interne Netzwerk zurückgeführt zu werden

Um es mit Citrix Gateway VPN zu implementieren, nehmen Sie folgende Änderungen vor:

  • Aktivieren Sie das Split-Tunneling auf der Registerkarte Clienterfahrung der VPN-Sitzungsrichtlinie, indem Sie das Feld “Split Tunnel” auf “ON” setzen
  • Konfigurieren Sie transparente Intranet-Anwendungseinträge mit den IP-Adressbereichen des internen Netzwerks
  • Stellen Sie auf der Registerkarte Client Experience die erweiterten Einstellungen sicher, dass “Split DNS” auf Local eingestellt ist. Konfigurieren Sie die DNS-Suffix-Liste auch unter Traffic Management > DNS > DNS-Suffix. Übereinstimmungsabfragen werden an das Gateway weitergeleitet, während andere an das lokale DNS weitergeleitet werden

    Für weitere Informationen siehe Konfigurieren von Split-Tunneling in einem vollständigen VPN-Setup auf Citrix Gateway

Verwaltbarkeit

Der Citrix Gateway Service vereinfacht die Anforderungen für den Zugriff auf lokale Virtual Apps and Desktops und reduziert so die erforderliche Infrastruktur und den Betriebsaufwand für die Wartung. Die Notwendigkeit, Gateways mit SSL-Zertifikaten und öffentlichen IPs in mehreren POPs zu warten, entfällt. Administratoren können sich dann stärker auf die Verwaltung ihrer eigenen Prioritäten für IT-Unternehmensdienste konzentrieren.

  • Überwachung und Wartung rund um die Uhr durch Citrix Cloud-Experten
  • Schnellere Bereitstellung eines einheitlichen Workspace mit vorhandenen IT-Mitarbeitern
  • Reduzierung des Bedarfs an spezialisierten IT-Kenntnisse

Citrix Cloud Operations

Sitzungskonnektivität

Ein Benutzer wählt eine virtuelle App oder einen virtuellen Desktop in seinem Workspace aus, und sein Endpunkt erhält ein Startticket. Es wird angewiesen, eine Verbindung mit dem Citrix Gateway Service herzustellen, der wiederum den VDA kontaktiert. Wenn der VDA für die Verwendung des Rendezvous-Protokolls konfiguriert ist, baut er eine TLS-Verbindung direkt zurück zum anfordernden Citrix Gateway Service POP auf, andernfalls wird Cloud Connector verwendet. Dann richtet der Citrix Gateway Service die Sitzung zwischen dem Endpoint und dem VDA ein.

  • Sitzungen werden über den Citrix Gateway Service über die WANs von Cloud-Partnern verknüpft
  • VDAs und Workspace-Endpunkte treffen sich im Citrix Gateway Service POP, der dem Benutzer am nächsten ist
  • Sitzungen mit hoher Qualität

Citrix Gateway Service und HDX-Proxy: Traffic Flow

Citrix Gateway Service für HDX Proxy