Rendezvous V2
Cuando usas el servicio Citrix Gateway, el protocolo Rendezvous permite que el tráfico omita los Cloud Connectors de Citrix y se conecte de forma directa y segura con el plano de control de Citrix Cloud.
Hay dos tipos de tráfico que debes tener en cuenta: 1) el tráfico de control para el registro de VDA y la intermediación de sesiones; 2) el tráfico de sesión HDX™.
Rendezvous V1 permite que el tráfico de sesión HDX omita los Cloud Connectors, pero aun así requiere que los Cloud Connectors actúen como proxy para todo el tráfico de control para el registro de VDA y la intermediación de sesiones.
- Las máquinas unidas a un dominio de AD estándar y las máquinas no unidas a un dominio son compatibles con el uso de Rendezvous V2 con VDAs de Linux de sesión única y multisesión. Con las máquinas no unidas a un dominio, Rendezvous V2 permite que tanto el tráfico HDX como el tráfico de control omitan los Cloud Connectors.
Requisitos
-
Los requisitos para usar Rendezvous V2 son:
- Acceso al entorno mediante Citrix Workspace™ y el servicio Citrix Gateway.
- Plano de control: Citrix DaaS (anteriormente servicio Citrix Virtual Apps and Desktops™).
- Versión 2201 del VDA o posterior.
- La versión 2204 es la mínima necesaria para los proxies HTTP y SOCKS5.
- Habilita el protocolo Rendezvous en la directiva de Citrix. Para obtener más información, consulta Configuración de la directiva del protocolo Rendezvous.
- Los VDAs deben tener acceso a
https://*.nssvc.net, incluidos todos los subdominios. Si no puedes incluir todos los subdominios en la lista de permitidos de esa manera, usahttps://*.c.nssvc.netyhttps://*.g.nssvc.neten su lugar. Para obtener más información, consulta la sección Requisitos de conectividad a Internet de la documentación de Citrix Cloud (en el servicio Virtual Apps and Desktops) y el artículo del Knowledge Center CTX270584.
- Los VDAs deben poder conectarse a las direcciones mencionadas anteriormente:
- En TCP 443, para Rendezvous TCP.
- En UDP 443, para Rendezvous EDT.
Configuración del proxy
El VDA admite la conexión a través de proxies tanto para el tráfico de control como para el tráfico de sesión HDX cuando se usa Rendezvous. Los requisitos y las consideraciones para ambos tipos de tráfico son diferentes, así que revísalos con atención.
-
Consideraciones sobre el proxy de tráfico de control
- Solo se admiten proxies HTTP.
- No se admite el descifrado ni la inspección de paquetes. Configura una excepción para que el tráfico de control entre el VDA y el plano de control de Citrix Cloud no se intercepte, descifre ni inspeccione. De lo contrario, la conexión fallará.
- No se admite la autenticación de proxy.
-
Para configurar un proxy para el tráfico de control, modifica el registro de la siguiente manera:
- /opt/Citrix/VDA/bin/ctxreg create -k "HKLM\Software\Citrix\VirtualDesktopAgent" -t "REG_SZ" -v "ProxySettings" -d "http://<URL or IP>:<port>" --force <!--NeedCopy-->
Consideraciones sobre el proxy de tráfico HDX
- Se admiten proxies HTTP y SOCKS5.
- EDT solo se puede usar con proxies SOCKS5.
- Para configurar un proxy para el tráfico HDX, usa la configuración de directiva Configuración del proxy de Rendezvous.
- No se admite el descifrado ni la inspección de paquetes. Configura una excepción para que el tráfico HDX entre el VDA y el plano de control de Citrix Cloud no se intercepte, descifre ni inspeccione. De lo contrario, la conexión fallará.
- Los proxies HTTP admiten la autenticación basada en máquinas mediante los protocolos de autenticación Negotiate y Kerberos. Cuando te conectas al servidor proxy, el esquema de autenticación Negotiate selecciona automáticamente el protocolo Kerberos. Kerberos es el único esquema que admite el VDA de Linux.
Nota:
-
-
Para usar Kerberos, debes crear el nombre principal de servicio (SPN) para el servidor proxy y asociarlo a la cuenta de Active Directory del proxy. El VDA genera el SPN en el formato
HTTP/<proxyURL>al establecer una sesión, donde la URL del proxy se recupera de la configuración de directiva Proxy de Rendezvous. Si no creas un SPN, la autenticación fallará.
- Actualmente, no se admite la autenticación con un proxy SOCKS5. Si usas un proxy SOCKS5, debes configurar una excepción para que el tráfico destinado a las direcciones del servicio Gateway (especificadas en los requisitos) pueda omitir la autenticación.
-
Solo los proxies SOCKS5 admiten el transporte de datos a través de EDT. Para un proxy HTTP, usa TCP como protocolo de transporte para ICA.
-
Proxy transparente
- Se admite el proxy HTTP transparente para Rendezvous. Si usas un proxy transparente en tu red, no se requiere ninguna configuración adicional en el VDA.
Cómo configurar Rendezvous V2
Estos son los pasos para configurar Rendezvous en tu entorno:
- Asegúrate de que se cumplan todos los requisitos.
-
Después de instalar el VDA, ejecuta el siguiente comando para establecer la clave de registro necesaria:
/opt/Citrix/VDA/bin/ctxreg create -k "HKLM\Software\Citrix\VirtualDesktopAgent" -t "REG_DWORD" -v "GctRegistration" -d "0x00000001" --force <!--NeedCopy--> - Reinicia la máquina VDA.
- Crea una directiva de Citrix o modifica una existente:
- Establece la configuración del protocolo Rendezvous en Permitido.
- Asegúrate de que los filtros de la directiva de Citrix estén configurados correctamente. La directiva se aplica a las máquinas que necesitan tener Rendezvous habilitado.
- Asegúrate de que la directiva de Citrix tenga la prioridad correcta para que no sobrescriba otra.
Validación de Rendezvous
Para comprobar si una sesión usa el protocolo Rendezvous, ejecuta el comando /opt/Citrix/VDA/bin/ctxquery -f iP en el terminal.
Los protocolos de transporte que se muestran indican el tipo de conexión:
- Rendezvous TCP: TCP - TLS - CGP - ICA
- Rendezvous EDT: UDP - DTLS - CGP - ICA
- Proxy a través de Cloud Connector: TCP - PROXY - SSL - CGP - ICA o UDP - PROXY - DTLS - CGP - ICA
Si se usa Rendezvous V2, la versión del protocolo muestra 2.0.
Consejo:
Si el VDA no puede llegar directamente al servicio Citrix Gateway con Rendezvous habilitado, el VDA recurre a usar el Cloud Connector como proxy para la sesión HDX.
Flujo de tráfico de Rendezvous
El siguiente diagrama ilustra la secuencia de pasos sobre el flujo de tráfico de Rendezvous.
- El VDA establece una conexión WebSocket con Citrix Cloud y se registra.
- El VDA se registra en el servicio Citrix Gateway y obtiene un token dedicado.
- El VDA establece una conexión de control persistente con el servicio Gateway.
- El usuario navega a Citrix Workspace.
- Workspace evalúa la configuración de autenticación y redirige a los usuarios al IdP adecuado para la autenticación.
- El usuario introduce sus credenciales.
- Después de validar correctamente las credenciales del usuario, este es redirigido a Workspace.
- Workspace cuenta los recursos del usuario y los muestra.
- El usuario selecciona un escritorio o una aplicación de Workspace. Workspace envía la solicitud a Citrix DaaS™, que intermedia la conexión e indica al VDA que se prepare para la sesión.
- El VDA responde con la capacidad de Rendezvous y su identidad.
- Citrix DaaS genera un ticket de inicio y lo envía al dispositivo del usuario a través de Workspace.
- El punto final del usuario se conecta al servicio Gateway y proporciona el ticket de inicio para autenticar e identificar el recurso al que conectarse.
- El servicio Gateway envía la información de conexión al VDA.
- El VDA establece una conexión directa para la sesión con el servicio Gateway.
- El servicio Gateway completa la conexión entre el punto final y el VDA.
- El VDA verifica la licencia de la sesión.
- Citrix DaaS envía las directivas aplicables al VDA.