Optimizar la conectividad a los espacios de trabajo con la conexión directa de carga de trabajo

Nota:

Esta función se encuentra actualmente en la versión limitada. La función se puede utilizar en un entorno de producción, pero puede que no sea adecuada para todos los clientes. Para obtener más información, consulte Acerca de esta versión limitada en este artículo.

Con la conexión directa de carga de trabajo en Citrix Cloud, puede optimizar el tráfico interno dirigido a las aplicaciones y escritorios que pone a disposición de los espacios de trabajo de los suscriptores para agilizar las sesiones HDX. Normalmente, tanto los usuarios de redes internas como los de redes externas tienen que conectarse a VDA a través de una puerta de enlace externa. Aunque esto sea lo normal para usuarios externos, los usuarios internos tienen conexiones más lentas a recursos virtuales. La conexión directa de carga de trabajo permite a los usuarios internos omitir la puerta de enlace y conectarse directamente a los VDA, lo que reduce la latencia del tráfico de las redes internas.

Para configurar la conexión directa de carga de trabajo, defina las ubicaciones de red que correspondan a los agentes VDA de su entorno con el servicio de ubicación de red. Para configurar estas ubicaciones, utilice un Módulo de PowerShell que Citrix proporciona. Estas ubicaciones de red corresponden a los rangos IP públicos de las redes desde las que se conectarán los usuarios internos (por ejemplo, las ubicaciones de oficina o sucursal). Cuando los suscriptores inician sesiones de Virtual Apps and Desktops desde sus espacios de trabajo, Citrix Cloud detecta si los suscriptores son internos o externos a la red de la empresa en función de la dirección IP pública de la red desde la que se conectan. Si un suscriptor se conecta desde la red interna, Citrix Cloud redirige la conexión directamente al VDA sin pasar por Citrix Gateway. Si un suscriptor se conecta externamente, Citrix Cloud redirige al suscriptor a través de Citrix Gateway según lo previsto y, a continuación, lo reenvía a través del Citrix Cloud Connector al VDA de la red interna.

Acerca de esta versión limitada

El servicio de ubicación de red, que la conexión directa de carga de trabajo utiliza, está alojado actualmente en varias zonas de disponibilidad en la región este de EE.UU. de Amazon Web Services. Una llamada al servicio NLS se realiza en el momento del inicio del escritorio o de la aplicación en paralelo con muchas otras llamadas. NLS comprueba la dirección IP pública de la que proviene la llamada y responde si el usuario es interno o externo. En el caso poco frecuente de que no se reciba respuesta de NLS antes de que vuelvan las demás llamadas paralelas, el inicio se enruta a través de la puerta de enlace.

El NLS está alojado en un solo punto de presencia. Por lo tanto, si AWS tiene una interrupción en toda la región este de EE.UU. que afecte a todas las zonas de disponibilidad, el servicio NLS se desconecta. Hasta la fecha, AWS nunca ha sufrido una interrupción en toda la región y cuenta con una garantía de tiempo de actividad del 99,999%. Sin embargo, si se produce una interrupción, todos los inicios se enrutarán a través de la puerta de enlace, en lugar de ir directamente a los VDA. Los inicios se enrutarán a través de los VDA cuando la región este de EE.UU. funcione de nuevo. Aunque no se producirían errores o retrasos en el inicio, la latencia revertiría a los niveles existentes antes de habilitar la conexión directa de carga de trabajo. Citrix recomienda que considere si puede aceptar esta posibilidad antes de habilitar la conexión directa de carga de trabajo.

Productos compatibles

La conexión directa de carga de trabajo solo es compatible con Virtual Apps and Desktops Service. La compatibilidad con Citrix Managed Desktops y Citrix SD-WAN se encuentra en Limited Release.

Importante:

Si su entorno incluye Citrix Managed Desktops junto con VDA locales, la configuración de la conexión directa de carga de trabajo provoca un error en los inicios de Citrix Managed Desktops que tienen lugar en la red interna.

Los inicios de Secure Browser, Citrix Virtual Apps Essentials y Citrix Virtual Desktops Essentials siempre se redirigen a la puerta de enlace. Por lo tanto, estos inicios no mejoran el rendimiento de la configuración de la conexión directa de carga de trabajo.

Requisitos

Requisitos de la red

  • Si tiene una red corporativa y una red Wi-Fi de invitados, dichas redes deben tener direcciones IP públicas independientes. Si sus redes corporativas y de invitados comparten la misma dirección IP pública, los usuarios de la red de invitados no podrán iniciar sesiones de Virtual Apps and Desktops.
  • Deberá utilizar los rangos de direcciones IP públicas de las redes desde las que se conectarán los usuarios internos. Los usuarios internos de estas redes deben tener una conexión directa con los VDA. De lo contrario, los recursos virtuales fallarán al iniciarse, ya que Workspace intentará redirigir a los usuarios internos directamente al VDA, lo que no será posible.

Requisitos de TLS

TLS 1.2 debe estar habilitado en PowerShell al configurar las ubicaciones de red. Para forzar a PowerShell para que utilice TLS 1.2, use el siguiente comando antes de usar el módulo de PowerShell:

[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

Requisitos del espacio de trabajo

  • Debe tener un espacio de trabajo configurado en Citrix Cloud.
  • El servicio Virtual Apps and Desktops Service debe estar habilitado en Configuración del espacio de trabajo > Integraciones de servicios.
  • Debe utilizar agentes VDA locales para entregar recursos virtuales a los suscriptores del espacio de trabajo.

Habilitar TLS para la aplicación Workspace para conexiones HTML5

Si sus suscriptores utilizan la aplicación Citrix Workspace para HTML5 para iniciar aplicaciones y escritorios, Citrix recomienda tener habilitado TLS en los VDA de su red interna para que las conexiones directas a dichos VDA funcionen. Si los VDA no tienen TLS habilitado, los inicios de aplicaciones y escritorios se enrutan a través de la puerta de enlace cuando los suscriptores utilizan la aplicación Workspace para HTML5. Los inicios que utilizan Desktop Viewer no se ven afectados. Para obtener más información acerca de cómo proteger las conexiones directas de VDA con TLS, consulte CTX134123 en Knowledge Center de Citrix Support.

Introducción a la configuración

Para configurar la conexión directa de carga de trabajo, realice las siguientes tareas:

  1. Determine los intervalos de direcciones IP públicas de cada ubicación de sucursal desde la que se conectarán los usuarios internos.
  2. Descargar el módulo de PowerShell.
  3. Crear un cliente de API seguro en Citrix Cloud y anote el ID de cliente y el secreto.
  4. Importar el módulo de PowerShell y conéctese al servicio de ubicación de red con los detalles del cliente API.
  5. Cree sitios NLS para cada una de sus ubicaciones de sucursal con los rangos de direcciones IP públicas que haya determinado previamente. La conexión directa de carga de trabajo se habilita automáticamente para cualquier inicio que provenga de las ubicaciones de red internas que haya especificado.
  6. Inicie una aplicación o escritorio desde un dispositivo de la red interna y compruebe que la conexión va directamente al VDA, sin pasar por la puerta de enlace.

Configuración y módulo de PowerShell

Descargar el módulo de PowerShell

Antes de configurar las ubicaciones de red, descargue el Módulo de PowerShell (nls.psm1) suministrado por Citrix desde el repositorio de GitHub para Citrix. Con este módulo, puede configurar tantas ubicaciones de red como sea necesario para los VDA.

  1. Desde un explorador web, vaya a https://github.com/citrix/sample-scripts/blob/master/workspace/nls.psm1.
  2. Presione ALT mientras hace clic en el botón Raw. Vista del archivo de GitHub con el botón Raw resaltado
  3. Seleccione una ubicación en la máquina y haga clic en Save.

Detalles de configuración requeridos

Para configurar las ubicaciones de red, necesita la siguiente información:

  • El ID de cliente seguro de Citrix Cloud, el ID de cliente y el secreto de cliente. Para obtener estos valores, consulte Crear un cliente seguro en este artículo.
  • Rangos de direcciones IP públicas de las redes desde las que se conectarán los usuarios internos. Para obtener más información acerca de estos rangos de direcciones IP públicas, consulte Requisitos en este artículo.

Crear un cliente seguro

  1. Inicie sesión en Citrix Cloud desde https://citrix.cloud.com.
  2. Desde el menú de Citrix Cloud, seleccione Administración de acceso e identidad y, luego, Acceso a API.
  3. En la ficha Clientes seguros, anote su ID de cliente. Consola de Secure Client con el ID de cliente resaltado
  4. Escriba un nombre para el cliente y, a continuación, seleccione Crear cliente.
  5. Copie el ID del cliente y el secreto del cliente. Cuadro de diálogo con el ID y el secreto de Secure Client

Configurar ubicaciones de red

  1. Abra una ventana de comandos de PowerShell y vaya hasta el mismo directorio donde guardó el módulo de PowerShell.
  2. Importe el módulo: Import-Module .\nls.psm1 -Force
  3. Establezca las variables requeridas con su información de cliente seguro desde Crear un cliente seguro:
    • $clientId = "YourSecureClientID"
    • $customer = "YourCustomerID"
    • $clientSecret = "YourSecureClientSecret"
  4. Conéctese al servicio de ubicación de red con sus credenciales de cliente seguro:

    Connect-NLS -clientId $clientId -clientSecret $clientSecret -customer $customer
    
  5. Cree una ubicación de red. Para ello, sustituya los valores de los parámetros por los valores que corresponden a la red interna desde la que los usuarios internos se conectarán directamente:

    New-NLSSite -name "YourSiteName" -tags @("YourTags") -ipv4Ranges @("PublicIpsOfYourNetworkSites") -longitude 12.3456 -latitude 12.3456
    

    Cuando la ubicación de red se crea correctamente, la ventana de comandos muestra los detalles de la ubicación de red.

  6. Repita el paso 5 para todas las ubicaciones de red desde las que se conectarán los usuarios.
  7. Ejecute el comando Get-NLSSite para ver una lista de todos los sitios que haya configurado con NLS y compruebe que los datos de esos sitios son correctos.

Verificar que los inicios internos se enrutan correctamente

Para comprobar que los inicios internos acceden directamente a los VDA, utilice uno de los métodos siguientes:

  • Consulte las conexiones de VDA en la consola de Citrix Virtual Apps and Desktops.
  • Utilice el registro de archivos ICA para verificar la dirección correcta de la conexión del cliente.

Consola de Virtual Apps and Desktops Service

Seleccione Administrar > Supervisar y, a continuación, busque un usuario con una sesión activa. En la sección “Detalles de la sesión” de la consola, las conexiones VDA directas se muestran como conexiones UDP, mientras que las conexiones de la puerta de enlace se muestran como conexiones TCP.

Registro de archivos ICA

Habilite el registro de archivos ICA en el equipo cliente tal y como se describe en Para habilitar la captura de registros del archivo launch.ica. Después de iniciar las sesiones, consulte las entradas Address y SSLProxyHost en el archivo de registro.

Para las conexiones directas de VDA, la propiedad Address contiene la dirección IP y el puerto del VDA, mientras que la propiedad SSLProxyHost contiene el FQDN y el puerto del VDA.

Para las conexiones de la puerta de enlace, la propiedad Address contiene el tíquet STA, mientras que la propiedad SSLProxyHost contiene el FQDN y el puerto de la puerta de enlace.

Modificar ubicaciones de red

Siga los pasos de esta sección si necesita realizar cambios en una ubicación de red existente.

  1. Desde una ventana de comandos de PowerShell, indique todas las ubicaciones de red existentes: Get-NLSSite
  2. Para modificar el intervalo de IP de una ubicación de red específica, escriba

    (Get-NLSSite)[N] -ipv4Ranges @("1.2.3.4/32","4.3.2.1/32") | Set-NLSSite

    donde [N] es el número correspondiente a la ubicación en la lista (a partir de cero) y "1.2.3.4/32","4.3.2.1/32" son los intervalos de IP, separados por comas, que quiere usar. Por ejemplo, para modificar la primera ubicación de la lista, escriba el siguiente comando:

    (Get-NLSSite)[0] -ipv4Ranges @("98.0.0.1/32","141.43.0.0/24") | Set-NLSSite

Eliminar ubicaciones de red

Siga los pasos de esta sección si necesita quitar ubicaciones de red que ya no quiere utilizar.

  1. Desde una ventana de comandos de PowerShell, indique todas las ubicaciones de red existentes: Get-NLSSite
  2. Para quitar todas las ubicaciones de red, escriba Get-NLSSite | Remove-NLSSite
  3. Para quitar ubicaciones de red específicas, escriba (Get-NLSSite)[N] | Remove-NLSSite, donde [N] es el número correspondiente a la ubicación de la lista. Por ejemplo, para quitar la primera ubicación de la lista, escriba (Get-NLSSite)[0] | Remove-NLSSite.

Ejemplo de script

El script de ejemplo incluye todos los comandos que puede necesitar para agregar, modificar y quitar los rangos de direcciones IP públicas de las ubicaciones de sucursal. Sin embargo, no es necesario ejecutar todos los comandos para realizar una sola función. Para que se ejecute el script, incluya siempre las primeras 10 líneas, desde Import-Module hasta Connect-NLS. Después, puede incluir solo los comandos de las funciones que desea realizar.

Import-Module .\nls.psm1 -Force
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

$clientId = "XXXX" #sustituya esto por su ID de cliente
$clientSecret = "YYY"    #sustituya esto por su secreto de cliente
$customer = "CCCCCC"  #sustituya esto por su ID de cliente

# Conectar con el servicio de ubicación de red
Connect-NLS -clientId $clientId -clientSecret $clientSecret -customer $customer

# Crear un sitio del servicio de ubicación de red (reemplace por los datos correspondientes a las ubicaciones de sus sucursales)
New-NLSSite -name "New York" -tags @("EastCoast") -ipv4Ranges @("1.2.3.0/24") -longitude 40.7128 -latitude -74.0060

# Obtener los sitios del servicio de ubicación de red existentes (opcional)
Get-NLSSite

# Actualizar los rangos de direcciones IP de su primer sitio de servicio de ubicación de red (opcional)
$s = (Get-NLSSite)[0]
$s.ipv4Ranges = @("1.2.3.4/32","4.3.2.1/32")
$s | Set-NLSSite

# Eliminar todos los sitios del servicio de ubicación de red (opcional)
Get-NLSSite | Remove-NLSSite

# Eliminar el tercer sitio (opcional)
(Get-NLSSite)[2] | Remove-NLSSite

Solucionar problemas

Connect-NLS devuelve un error

Si recibe un error al ejecutar el comando Connect-NLS (paso 2 en Configurar ubicaciones de red), es posible que tenga que obligar a PowerShell a usar TLS 1.2. Para ello, ejecute el siguiente comando:

[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

Fallos de inicio del VDA

Si no se inician sesiones de VDA, compruebe que está utilizando rangos de direcciones IP públicas de la red correcta. Al configurar las ubicaciones de red, debe utilizar los rangos de direcciones IP públicas de la red desde la que se conectan los usuarios internos. Para obtener más información, consulte Requisitos en este artículo.

Para verificar la dirección IP pública de un VDA, inicie sesión en cada máquina VDA, vaya a https://google.com e introduzca “what is my ip” (cuál es mi IP) en la barra de búsqueda.

Los inicios internos de VDA siguen enrutándose a través de la puerta de enlace

Si las sesiones de VDA iniciadas internamente siguen redirigiéndose a través de la puerta de enlace como si fueran sesiones externas, compruebe que está utilizando los rangos de direcciones IP correctos de las redes desde las que se conectan los usuarios internos. Estos son generalmente los rangos de direcciones IP públicas que corresponden a las redes en las que residen los VDA, aunque los usuarios puedan acceder a los VDA a través de una VPN. No utilice las direcciones IP locales de los VDA. Para obtener más información, consulte Requisitos en este artículo.

Para verificar la dirección IP pública de un VDA, inicie sesión en cada máquina VDA, vaya a https://google.com e introduzca “what is my ip” (cuál es mi IP) en la barra de búsqueda.

Asistencia y ayuda adicional

Si tiene dudas o necesita ayuda para solucionar problemas, contacte con su representante de ventas de Citrix o Citrix Support.