Tech Brief: Gateway Service für HDX Proxy

Der Citrix Gateway Service für HDX Proxy bietet Benutzern sicheren Remotezugriff auf Citrix DaaS, ohne dass sie eine NetScaler Gateway-Appliance in der on-premises DMZ bereitstellen oder Firewalls neu konfigurieren müssen. Citrix Cloud Services hostet eine Reihe von Diensten, die von Citrix DaaS, Citrix Gateway Service usw. bereitgestellt werden. Alle diese Services werden mithilfe von Workspace Experience in einem einzigen Bereich bereitgestellt.

On-Premises vs. Cloud

On-Premises

Citrix Gateway ist eine gehärtete Appliance (physisch oder virtuell), die den gesamten Citrix DaaS-Verkehr mit standardbasierter SSL/TLS-Verschlüsselung weiterleitet und sichert. Die gebräuchlichste Bereitstellungskonfiguration besteht darin, das NetScaler Gateway-Gerät in der DMZ zu platzieren. Damit wird das NetScaler Gateway zwischen dem sicheren internen Netzwerk einer Organisation und dem Internet (oder einem externen Netzwerk) platziert.

Die NetScaler Gateway-Appliance hat Unternehmen jahrzehntelang gute Dienste geleistet, aber sie haben zusätzliche Anforderungen, um den Fernzugriff zu ermöglichen, wie zum Beispiel:

  • Implementierung und Wartung on-premises NetScaler Gateway-Appliances.
  • Implementierung und Wartung mehrerer Standorte aus Redundanzgründen.
  • Implementierung und Pflege öffentlicher IP-Adressen.
  • Implementierung und Wartung von Netzwerkgeräten.
  • Implementierung und Pflege von Firewallregeln.

On-Premises

Cloud

Der Citrix Gateway Service für HDX Proxy bietet Benutzern sicheren Remotezugriff auf Citrix DaaS, ohne dass die NetScaler Gateway-Appliance in der on-premises DMZ bereitgestellt oder Firewalls neu konfiguriert werden müssen. Citrix hostet den gesamten Infrastruktur-Overhead für die Verwaltung des Remotezugriffs in der Cloud. Mit Citrix Cloud und Citrix Gateway Service können Unternehmen jetzt den Fernzugriff auf Citrix DaaS ohne diese zusätzlichen Anforderungen sowie andere Vorteile bereitstellen:

  • Mehrere Standorte werden weltweit von Citrix implementiert und verwaltet.
  • Öffentliche IP-Adressen werden von Citrix implementiert und verwaltet.
  • Erweiterte Sicherheit in Citrix Cloud mit Citrix Analytics.
  • Predictive DNS bietet eine bessere Benutzererfahrung.
  • Es sind keine Änderungen an der Virtual Apps and Desktops-Umgebung erforderlich.
  • Zertifikate werden von Citrix implementiert und verwaltet.
  • Elastische Skalierbarkeit und Hochverfügbarkeit werden von Citrix bereitgestellt und verwaltet.
  • Unternehmen zahlen, wenn sie wachsen, und senken die Betriebskosten.
  • Schnelleres Onboarding für Neukunden.

Cloud

Citrix Cloud Services

Citrix Workspace

Citrix Workspace aggregiert und integriert Citrix Cloud-Dienste und ermöglicht so den einheitlichen Zugriff auf alle Ressourcen, die Ihren Endbenutzern entweder über den Browser mit der Workspace-URL oder über die Citrix Workspace-App, die Citrix Receiver ersetzt, zur Verfügung stehen. Weitere Informationen darüber, wie Benutzer auf ihren Citrix Workspace zugreifen, finden Sie unter Workspace-Zugriff.

Citrix Cloud Connector

Der Citrix Cloud Connector ist ein Softwarepaket, das mehrere Services bereitstellt, die auf Microsoft Windows-Servern ausgeführt werden. Die Maschine, die den Cloud Connector hostet, ist im gleichen Netzwerk wie die Ressourcen, die Sie mit Citrix Cloud verwenden. Der Cloud Connector authentifiziert und verschlüsselt die gesamte Kommunikation zwischen Citrix Cloud und Ihren Ressourcenstandorten. Nach der Installation initiiert der Cloud Connector die Kommunikation mit Citrix Cloud über eine ausgehende Verbindung. Alle Verbindungen werden vom Cloud Connector zur Cloud unter Verwendung des Standard-HTTPS-Ports (443) und des TCP-Protokolls hergestellt. Es werden keine eingehenden Verbindungen akzeptiert.

Citrix Gateway Service

Der NetScaler Gateway Service ist Teil der Citrix Cloud Services zur Bereitstellung eines sicheren Fernzugriffs. Der NetScaler Gateway Service ist ein global verteilter Multitenant-Service. Endbenutzer verwenden den nächstgelegenen Point-of-Presence (PoP), an dem die jeweilige Funktion verfügbar ist, die sie benötigen, unabhängig von der Geoauswahl der Citrix Cloud Control-Ebene oder dem Standort der Anwendungen, auf die zugegriffen wird. Konfigurationen, z. B. Autorisierungsmetadaten werden auf alle PoPs repliziert.

Der Citrix Gateway-Dienst bietet die folgenden Funktionen:

  • HDX-Konnektivität: Die Virtual Delivery Agents (VDAs), die die Apps und Desktops hosten, bleiben unter der Kontrolle des Kunden im Rechenzentrum seiner Wahl, entweder in der Cloud oder on-premises.
  • Unterstützung des DTLS 1.2-Protokolls: Der Citrix Gateway Service unterstützt Datagram Transport Layer Security (DTLS) 1.2 für HDX-Sitzungen über EDT (UDP-basiertes Transportprotokoll):
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS-Protokollunterstützung: Der Citrix Gateway-Dienst unterstützt die folgenden TLS-Verschlüsselungssammlungen:
    • TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
    • TLS1.2-ECDHE-RSA-AES-256-SHA384
    • TLS1-ECDHE-RSA-AES128-SHA
    • TLS1.2-AES256-GCM-SHA384
    • TLS1-AES-256-CBC-SHA
  • Endpoint Management-Integration: Bei Integration mit Citrix Endpoint Management plus Citrix Workspace bietet NetScaler Gateway Service sicheren Remote-Gerätezugriff auf Ihr internes Netzwerk und Ihre Ressourcen. Das Onboarding von NetScaler Gateway Service mit Endpoint Management ist schnell und einfach. NetScaler Gateway Service umfasst die vollständige Unterstützung von Citrix SSO für Apps wie Secure Mail und Secure Web.

Datenfluss

Der Citrix Gateway-Dienst ist ein global verteilter Mehrmandantendienst. Endbenutzer verwenden den nächstgelegenen Point-of-Presence (PoP), an dem die jeweilige Funktion verfügbar ist, die sie benötigen, unabhängig von der Geoauswahl der Citrix Cloud Control-Ebene oder dem Standort der Anwendungen, auf die zugegriffen wird. Konfigurationen, z. B. Autorisierungsmetadaten werden auf alle PoPs repliziert.

  • Protokolle, die von Citrix für Diagnose-, Überwachungs-, Geschäfts- und Kapazitätsplanung verwendet werden, werden an einem zentralen Ort gesichert und gespeichert.
  • Die Kundenkonfiguration wird an einem zentralen Ort gespeichert und global an alle PoPs verteilt.
  • Die Übertragung von Daten zwischen Cloud und Kundenstandort erfolgt über eine sichere TLS-Verbindung über Port 443.
  • Verschlüsselungsschlüssel, die für die Benutzerauthentifizierung und das einmalige Anmelden verwendet werden, werden in Hardware-Sicherheitsmodulen

Rendezvousprotokoll

Bei Verwendung des Citrix Gateway-Dienstes ermöglicht das Rendezvous-Protokoll, dass der Datenverkehr die Citrix Cloud Connectors umgeht und eine direkte und sichere Verbindung mit der Citrix Cloud-Steuerungsebene herstellt. Es gibt zwei Arten von Datenverkehr, die berücksichtigt werden müssen:

  1. Steuerungsverkehr für die VDA-Registrierung und die Sitzungsvermittlung.
  2. HDX-Sitzungsverkehr.

Rendezvous V1 — Bei Verwendung des Citrix Gateway Service ermöglicht die Rendezvous-Protokollversion V1 den VDAs, die Citrix Cloud Connectors zu umgehen, um eine direkte Verbindung zum Gateway-PoP für den Datenpfadverkehr herzustellen. Die Anforderungen für die Implementierung des Rendezvous V1-Protokolls finden Sie unter Rendezvous V1.

Rendezvous V2 - Das Rendezvous-Protokoll Version V2 unterstützt das Umgehen der Citrix Cloud Connectors sowohl für den Steuerdatenverkehr als auch für den HDX-Sitzungsverkehr. Die Anforderungen zur Implementierung des Rendezvous-Protokolls finden Sie unter Rendezvous V2.

Rendezvous-Verkehrsfluss

Das folgende Diagramm zeigt die Abfolge der Schritte zum Rendezvous-Verkehrsfluss.

Rendezvous-Verkehrsfluss

  1. Der VDA stellt eine WebSocket-Verbindung mit Citrix Cloud her und registriert sich.
  2. Der VDA registriert sich beim Citrix Gateway Service und erhält ein dediziertes Token.
  3. Der VDA stellt eine persistente Steuerungsverbindung mit Gateway Service her.
  4. Der Benutzer navigiert zu Citrix Workspace.
  5. Workspace wertet die Authentifizierungskonfiguration aus und leitet Benutzer zur Authentifizierung an den entsprechenden IdP weiter.
  6. Der Benutzer gibt die Anmeldeinformationen ein.
  7. Nach erfolgreicher Überprüfung der Benutzeranmeldeinformationen wird der Benutzer zu Workspace umgeleitet.
  8. Workspace zählt Ressourcen für den Benutzer und zeigt sie an.
  9. Der Benutzer wählt einen Desktop oder eine Anwendung in Workspace aus. Workspace sendet die Anfrage an Citrix DaaS, das die Verbindung vermittelt und den VDA anweist, sich auf die Sitzung vorzubereiten.
  10. Der VDA reagiert mit der Rendezvous-Funktion und seiner Identität.
  11. Citrix DaaS generiert ein Startticket und sendet es über Workspace an das Benutzergerät.
  12. Der Endpunkt des Benutzers stellt eine Verbindung zum Citrix Gateway-Dienst her und stellt das Startticket zur Authentifizierung und Identifizierung der Ressource bereit, zu der eine Verbindung hergestellt werden soll.
  13. Gateway Service sendet die Verbindungsinformationen an den VDA.
  14. Der VDA stellt für die Sitzung eine direkte Verbindung mit Gateway Service her.
  15. Der Citrix Gateway Service stellt die Verbindung zwischen dem Endpunkt und dem VDA her.
  16. Der VDA überprüft die Lizenzierung für die Sitzung.
  17. Citrix DaaS sendet die entsprechenden Richtlinien an den VDA.

Resilienz

Der Citrix Gateway Service ist so konzipiert, dass er mit mehreren Instanzen des Dienstes hochverfügbar ist, die an mehreren Points of Presence (PoP) an verschiedenen Standorten der Welt bereitgestellt werden. Außerdem wird der Dienst auf verschiedenen Cloud-Anbietern gehostet. Die Liste der POPs für den Citrix Gateway Service finden Sie unter Citrix Gateway Service — Points of Presence (POPs). Innerhalb eines Citrix Gateway Service Gateway Services PoP werden die Micro-Services und Tenants in einem vollständig redundanten Aktiv-Aktiv-Modell bereitgestellt. Diese Funktion ermöglicht es jeder Komponente, bei einem Fehler in den Standby-Modus zu wechseln. Nur in seltenen Fällen, wenn alle Dienste einer Komponente innerhalb eines PoP ausfallen, markiert sich der Gateway Service als ausgefallen. Citrix verwendet den Intelligent Traffic Manager, um den PoP-Zustand zu überwachen, und verwendet automatisch DNS, um den Datenverkehr bei Bedarf auf einen alternativen PoP umzustellen.

Globale Präsenzpunkte von Citrix

Unterstützung des Citrix Gateway-Dienstes auf der Google Cloud Platform (GCP)

Mit der Citrix Gateway Service-Unterstützung auf der Google Cloud Platform (GCP) können Kunden, die ihre Workloads in Google Cloud ausführen, mithilfe der optimalen Routing-Funktion von Citrix Gateway das leistungsstarke globale Netzwerk von Google Cloud nutzen. Die optimale Gateway-Routing-Funktion leitet Clients zum nächstgelegenen GCP Citrix Gateway Service PoP weiter. Darüber hinaus bietet der Citrix Gateway Service auf Google Cloud eine sichere Konnektivität zwischen Citrix Workspace-Clients und Virtualisierungsressourcen, um Sitzungen mit der niedrigsten Latenz und der bestmöglichen Benutzererfahrung bereitzustellen. Einzelheiten finden Sie im Citrix Gateway-Dienst auf der Google Cloud Platform

Bereitstellung

Aktivieren des NetScaler Gateway Services

Kunden, die Anspruch auf Citrix DaaS haben, erhalten den Citrix Gateway-Dienst standardmäßig aktiviert. Kunden müssen keine separate Testversion von NetScaler Gateway Service anfordern. Einzelheiten finden Sie unter Für den Dienst anmelden.

Im Folgenden finden Sie die Schritte zum Aktivieren des NetScaler Gateway Service für Citrix Workspace-Benutzer.

  1. Melden Sie sich bei Citrix Cloud Services als Administratorbenutzer an.
  2. Klicken Sie auf das Hamburger-Symbol und wählen Sie Workspace-Konfiguration.
  3. Suchen Sie auf der Registerkarte Zugriff im Abschnitt Externe Konnektivität die Ellipsen neben Mein Ressourcenstandort, der unter Citrix DaaS angezeigt wird. Klicken Sie auf die Ellipsen und dann auf Konnektivität konfigurieren. Citrix Gateway Service aktivieren
  4. Wählen Sie im Popup-Fenster den Citrix Gateway Service und klicken Sie auf Speichern. Citrix Gateway Service aktivieren

Web/SSL Proxy

Wenn die SSL-Entschlüsselung auf bestimmten Proxys aktiviert ist, können einige Dienste Probleme haben, eine Verbindung zu Citrix Cloud herzustellen. Diese Verbindungsschwierigkeiten können als zuverlässiger Verbindungsausfall, intermittierender Verbindungsausfall oder Timeout beobachtet werden. Proxys können folgende Probleme verursachen:

  • Randomisieren Sie die DNS-Quell-IP, was dazu führt, dass Benutzer zu einem suboptimalen PoP weitergeleitet werden.
  • Erhöhen Sie die Latenz von Verbindungen, die an den falschen PoP geleitet werden (über 100 ms, mit übermäßigem Jitter).
  • Die TLS-Inspektion unterbricht den Citrix Gateway-Dienst, da er das TLS-Abfangen nicht unterstützt.

Es wird empfohlen, FQDNs des Citrix Gateway Service von jeder DNS-Filterung und Verkehrsprüfung auszuschließen. In den System- und Konnektivitätsanforderungen finden Sie die erforderlichen kontaktierbaren Internetadressen und Überlegungen zum Herstellen der Konnektivität zwischen Ihren Ressourcen und Citrix Cloud.

Die Datei allowlist.json ist auf https://fqdnallowlistsa.blob.core.windows.net/fqdnallowlist-commercial/allowlist.json und enthält eine Liste der FQDNs, auf die der Cloud Connector zugreift. Die Liste ist nach Produkt unterteilt und enthält ein Änderungsprotokoll für jede FQDN-Kategorie.

Wenn Sie Zscaler Private Access (ZPA) verwenden, wird empfohlen, die Bypass-Einstellungen für den Citrix Gateway-Dienst zu konfigurieren, um eine erhöhte Latenz und die damit verbundenen Leistungseinbußen zu vermeiden. Dazu müssen Sie Anwendungssegmente für die in den Anforderungen angegebenen Citrix Gateway-Dienstadressen definieren und sie so einrichten, dass sie immer Bypass werden. Informationen zur Konfiguration von Anwendungssegmenten zur Bypass von ZPA finden Sie unter Secure Private Access (ZPA) — Bypass-Einstellungen konfigurieren.

VPN

Für VPNs wird empfohlen, einen lokalen Breakout für Citrix Gateway-Dienstdomänen zu implementieren - https://..nssvc.net, https://.g.nssvc.net und https://.c.nssvc.net

  • Aktivieren Sie Split-Tunnelling, sodass der VPN-Client nur Datenverkehr sendet, der für interne Netzwerke bestimmt ist, die durch den VPN-Tunnel geschützt sind.
  • Der für den Citrix Gateway-Dienst bestimmte Datenverkehr würde direkt über das lokale Internet gesendet, anstatt über den VPN-Tunnel und das interne Netzwerk zurückgeleitet zu werden.

Nehmen Sie die folgenden Änderungen vor, um es mit Citrix Gateway VPN zu implementieren:

  • Aktivieren Sie Spit-Tunneling auf der Registerkarte Client Experience der VPN-Sitzungsrichtlinie, indem Sie das Feld “Split Tunnel” auf “ON” setzen.
  • Konfigurieren Sie transparente Intranet-Anwendungseinträge mit den internen Netzwerk-IP-Adressbereichen.
  • Stellen Sie auf der Registerkarte Client Experience die erweiterten Einstellungen sicher, dass “Split DNS” auf Local eingestellt ist. Konfigurieren Sie die DNS-Suffix-Liste auch unter Traffic Management > DNS > DNS-Suffix. Passende Anfragen werden an das Gateway weitergeleitet, während andere an das lokale DNS weitergeleitet werden.

Weitere Informationen finden Sie unter Vollständiges VPN-Setup auf NetScaler Gateway — Split-Tunneling konfigurieren.

Verwaltbarkeit

Der Citrix Gateway-Service als cloudbasierte Fernzugriffslösung kann den betrieblichen Aufwand vereinfachen, indem er das Management zentralisiert, die Komplexität der Infrastruktur reduziert, automatische Updates bereitstellt und skalierbare und elastische Lösungen anbietet. Unternehmen können vom Komfort von Cloud-Diensten profitieren, sodass sich IT-Teams auf strategische Initiativen konzentrieren können, anstatt sich auf alltägliche Betriebsaufgaben zu konzentrieren.

  • Zentralisierte Verwaltung: Da der Citrix Gateway-Dienst Teil von Citrix Cloud ist, können Administratoren den Citrix Gateway-Dienst zentral über eine einheitliche Konsole verwalten. Macht die individuelle Verwaltung mehrerer on-premises NetScaler Gateways überflüssig, wodurch die Komplexität der Abläufe reduziert wird.
  • Reduziertes Infrastrukturmanagement: Der Citrix Gateway-Service macht es Unternehmen überflüssig, on-premises NetScaler Gateway-Appliances zu verwalten und zu warten. Reduzieren Sie den Betriebsaufwand, der mit der Wartung physischer Server, Netzwerkgeräte und verwandter Komponenten verbunden ist, erheblich.
  • Automatische Updates und Patches: Der Citrix Gateway-Service umfasst automatische Updates und Patch-Management. Stellt sicher, dass der Dienst die neuesten Sicherheitsverbesserungen und Funktionsupdates ausführt, ohne dass ein manuelles Eingreifen von Administratoren erforderlich ist.
  • Skalierbarkeit und Elastizität: Mit dem Citrix Gateway-Service können Unternehmen ihre Fernzugriffsinfrastruktur nach Bedarf problemlos nach oben oder unten skalieren, ohne die mit der herkömmlichen Infrastrukturskalierung verbundenen Komplexität.
  • Ausgelagerte Wartung und Support: Durch die Nutzung eines Cloud-basierten Dienstes können Unternehmen das Fachwissen und die Supportdienste von Citrix nutzen. Übertragung einiger Wartungs- und Fehlerbehebungsaufgaben auf das interne IT-Team des Unternehmens.

Die Serviceverpflichtung von Citrix besteht darin, eine monatliche Verfügbarkeit der Services von mindestens 99,9% aufrechtzuerhalten. Weitere Informationen finden Sie im Citrix Cloud Service Level Agreement. Das Citrix Cloud Health Dashboard bietet Statusaktualisierungen zu wichtigen Vorfällen oder geplanten Wartungsarbeiten unserer Cloud-Dienste für jede geografische Region. Weitere Informationen finden Sie in der Dokumentation zu Citrix Cloud Service Health. Citrix Cloud Health Dashboard