HDX™ Direct
Al acceder a los recursos proporcionados por Citrix, HDX Direct permite que los dispositivos cliente internos y externos establezcan una conexión directa segura con el host de sesión si la comunicación directa es posible.
Importante:
HDX Direct para usuarios externos se encuentra actualmente en versión preliminar. Esta función se proporciona sin soporte y aún no se recomienda para su uso en entornos de producción. Para enviar comentarios o informar de problemas, utilice este formulario.
Requisitos del sistema
Los siguientes son los requisitos del sistema para usar HDX Direct:
-
Plano de control
- Citrix DaaS™
- Citrix Virtual Apps and Desktops™ 2411 o posterior
-
Virtual Delivery Agent (VDA)
- Windows: versión 2411 o posterior
-
Aplicación Workspace
- Windows: versión 2409 o posterior
- Linux: versión 2411 o posterior
- Mac: versión 2411 o posterior
-
Nivel de acceso
- Citrix Workspace™ con Citrix Gateway Service
- Citrix Workspace con NetScaler® Gateway
-
Otro
- El transporte adaptativo debe estar habilitado para las conexiones directas externas
Requisitos de red
Los siguientes son los requisitos de red para usar HDX Direct.
Hosts de sesión
Si sus hosts de sesión tienen un firewall como Windows Defender Firewall, debe permitir el siguiente tráfico entrante para las conexiones internas.
| Descripción | Origen | Protocolo | Puerto |
|---|---|---|---|
| Conexión interna directa | Cliente | TCP | 443 |
| Conexión interna directa | Cliente | UDP | 443 |
Nota:
El instalador de VDA añade las reglas de entrada adecuadas al Firewall de Windows Defender. Si utiliza un firewall diferente, debe añadir las reglas anteriores.
Red del cliente
La siguiente tabla describe la red del cliente para usuarios internos y externos.
Usuarios internos
| Descripción | Protocolo | Origen | Puerto de origen | Destino | Puerto de destino |
|---|---|---|---|---|---|
| Conexión interna directa | TCP | Red del cliente | 1024–65535 | Red VDA | 443 |
| Conexión interna directa | UDP | Red del cliente | 1024–65535 | Red VDA | 443 |
Usuarios externos
| Descripción | Protocolo | Origen | Puerto de origen | Destino | Puerto de destino |
|---|---|---|---|---|---|
| STUN (solo usuarios externos) | UDP | Red del cliente | 1024–65535 | Internet (véase la nota a continuación) | 3478, 19302 |
| Conexión de usuario externo | UDP | Red del cliente | 1024–65535 | Dirección IP pública del centro de datos | 1024–65535 |
Red del centro de datos
La siguiente tabla describe la red del centro de datos para usuarios internos y externos.
Usuarios internos
| Descripción | Protocolo | Origen | Puerto de origen | Destino | Puerto de destino |
|---|---|---|---|---|---|
| Conexión interna directa | TCP | Red del cliente | 1024–65535 | Red VDA | 443 |
| Conexión interna directa | UDP | Red del cliente | 1024–65535 | Red VDA | 443 |
Usuarios externos
| Descripción | Protocolo | Origen | Puerto de origen | Destino | Puerto de destino |
|---|---|---|---|---|---|
| STUN (solo usuarios externos) | UDP | Red VDA | 1024–65535 | Internet (véase la nota a continuación) | 3478, 19302 |
| Conexión de usuario externo | UDP | DMZ / Red interna | 1024–65535 | Red VDA | 55000–55250 |
| Conexión de usuario externo | UDP | Red de VDA | 55000–55250 | IP pública del cliente | 1024–65535 |
Nota:
Tanto el VDA como la aplicación Workspace intentan enviar solicitudes STUN a los siguientes servidores en el mismo orden:
- stun.cloud.com:3478
- stun.cloudflare.com:3478
- stun.l.google.com:19302
Si cambia el rango de puertos predeterminado para las conexiones de usuarios externos mediante la configuración de directiva Rango de puertos de HDX Direct, las reglas de firewall correspondientes deben coincidir con su rango de puertos personalizado.
Configuración
HDX Direct está inhabilitado de forma predeterminada. Puede configurar esta función mediante la configuración HDX Direct en la directiva de Citrix.
- HDX Direct: Para habilitar o inhabilitar una función.
- Modo HDX Direct: Determina si HDX Direct está disponible solo para clientes internos o para clientes internos y externos.
- Rango de puertos de HDX Direct: Define el rango de puertos que el VDA utiliza para las conexiones de clientes externos.
Consideraciones
Las siguientes son consideraciones para usar HDX Direct:
- HDX Direct para usuarios externos solo está disponible con EDT (UDP) como protocolo de transporte. Por lo tanto, Transporte adaptativo debe estar habilitado.
- Si utiliza HDX Insight, tenga en cuenta que el uso de HDX Direct impide la recopilación de datos de HDX Insight, ya que la sesión ya no se enviaría a través de NetScaler Gateway.
- Cuando utilice máquinas no persistentes para sus aplicaciones y escritorios virtuales, Citrix recomienda habilitar HDX Direct en los hosts de sesión en lugar de en la imagen maestra/de plantilla para que cada máquina genere sus propios certificados.
- Actualmente no se admite el uso de sus propios certificados con HDX Direct.
Cómo funciona
HDX Direct permite a los clientes establecer una conexión directa con el host de sesión cuando la comunicación directa está disponible. Cuando se establecen conexiones directas mediante HDX Direct, se utilizan certificados autofirmados para proteger la conexión directa con cifrado a nivel de red (TLS/DTLS).
Usuarios internos
El siguiente diagrama muestra la descripción general del proceso de conexión HDX Direct para usuarios internos.
- El cliente establece una sesión HDX a través del servicio Gateway.
- Tras una conexión exitosa, el VDA envía al cliente el FQDN de la máquina VDA, una lista de sus direcciones IP y el certificado de la máquina VDA a través de la conexión HDX.
- El cliente sondea las direcciones IP para ver si puede llegar al VDA directamente.
- Si el cliente puede llegar al VDA directamente con cualquiera de las direcciones IP compartidas, el cliente establece una conexión directa con el VDA, protegida con (D)TLS utilizando un certificado que coincide con el intercambiado en el paso (2).
- Una vez que la conexión directa se establece correctamente, la sesión se transfiere a la nueva conexión y la conexión al Servicio Gateway se termina.
Nota:
Después de establecer la conexión en el paso 2, la sesión está activa. Los pasos subsiguientes no retrasan ni interfieren con la capacidad del usuario para usar la aplicación o el escritorio virtual. Si alguno de los pasos subsiguientes falla, la conexión a través del Gateway se mantiene sin interrumpir la sesión del usuario.
Usuarios externos
El siguiente diagrama muestra la descripción general del proceso de conexión directa de HDX para usuarios externos:
- El cliente establece una sesión HDX a través del Servicio Gateway.
- Tras una conexión exitosa, tanto el cliente como el VDA envían una solicitud STUN para descubrir sus direcciones IP públicas y puertos.
- El servidor STUN responde al cliente y al VDA con sus direcciones IP públicas y puertos correspondientes.
- A través de la conexión HDX, el cliente y el VDA intercambian sus direcciones IP públicas y puertos UDP, y el VDA envía su certificado al cliente.
- El VDA envía paquetes UDP a la dirección IP pública y al puerto UDP del cliente. El cliente envía paquetes UDP a la dirección IP pública y al puerto UDP del VDA.
- Al recibir un mensaje del VDA, el cliente responde con una solicitud de conexión segura.
- Durante el protocolo de enlace DTLS, el cliente verifica que el certificado coincide con el certificado intercambiado en el paso (4). Después de la validación, el cliente envía su token de autorización. Ahora se establece una conexión directa segura.
- Una vez que la conexión directa se establece correctamente, la sesión se transfiere a la nueva conexión y la conexión al Servicio Gateway se termina.
Nota:
Una vez establecida la conexión en el paso 2, anterior, la sesión está activa. Los pasos siguientes no retrasan ni interfieren con la capacidad del usuario para usar la aplicación o el escritorio virtual. Si alguno de los pasos siguientes falla, la conexión a través de Gateway se mantiene sin interrumpir la sesión del usuario.
Administración de certificados
Host de sesión
Los dos servicios siguientes de la máquina VDA se encargan de la creación y administración de certificados, y ambos están configurados para ejecutarse automáticamente al iniciar la máquina:
- Servicio Citrix ClxMtp: Responsable de la generación y rotación de claves de certificados de CA.
- Servicio Citrix Certificate Manager: Responsable de generar y administrar el certificado de CA raíz autofirmado y los certificados de máquina.
Los siguientes pasos describen el proceso de administración de certificados:
- Los servicios se inician al arrancar la máquina.
-
Citrix ClxMtp Servicecrea claves si aún no se ha creado ninguna. - El servicio Citrix Certificate Manager comprueba si HDX Direct está habilitado. Si no lo está, el servicio se detiene.
- Si HDX Direct está habilitado, el servicio Citrix Certificate Manager comprueba si existe un certificado de CA raíz autofirmado. Si no es así, se crea un certificado raíz autofirmado.
- Una vez que un certificado de CA raíz está disponible, el servicio Citrix Certificate Manager comprueba si existe un certificado de máquina autofirmado. Si no es así, el servicio genera claves y crea un nuevo certificado utilizando el FQDN de la máquina.
- Si existe un certificado de máquina creado por el servicio Citrix Certificate Manager y el nombre del sujeto no coincide con el FQDN de la máquina, se genera un nuevo certificado.
Nota:
El servicio Citrix Certificate Manager genera certificados RSA que utilizan claves de 2048 bits.
Dispositivo cliente
Para establecer correctamente una conexión segura de HDX Direct, el cliente debe confiar en los certificados utilizados para proteger la sesión. Para facilitar esto, el cliente recibe el certificado de CA para la sesión a través del archivo ICA® (suministrado por Workspace), por lo que no es necesario distribuir certificados de CA a los almacenes de certificados de los dispositivos cliente.