Rendezvous V2
Cuando usas el servicio Citrix Gateway, el protocolo Rendezvous permite que el tráfico omita los Cloud Connectors de Citrix y se conecte de forma directa y segura con el plano de control de Citrix Cloud.
Hay dos tipos de tráfico a considerar: 1) tráfico de control para el registro de VDA y la intermediación de sesiones; 2) tráfico de sesión HDX.
Rendezvous V1 permite que el tráfico de sesión HDX omita los Cloud Connectors, pero aún requiere que los Cloud Connectors actúen como proxy para todo el tráfico de control para el registro de VDA y la intermediación de sesiones.
- Las máquinas unidas a un dominio de AD estándar y las máquinas no unidas a un dominio son compatibles para usar Rendezvous V2 con VDA de Linux de sesión única y multisesión. Con las máquinas no unidas a un dominio, Rendezvous V2 permite que tanto el tráfico HDX como el tráfico de control omitan los Cloud Connectors.
Requisitos
-
Los requisitos para usar Rendezvous V2 son:
- Acceso al entorno usando Citrix Workspace y el servicio Citrix Gateway.
- Plano de control: Citrix DaaS (anteriormente servicio Citrix Virtual Apps and Desktops).
- Versión de VDA 2201 o posterior.
- La versión 2204 es la mínima requerida para proxies HTTP y SOCKS5.
- Habilita el protocolo Rendezvous en la política de Citrix. Para obtener más información, consulta Configuración de la política del protocolo Rendezvous.
-
Los VDA deben tener acceso a:
-
https://*.xendesktop.netenTCP 443. Si no puedes permitir todos los subdominios de esa manera, puedes usarhttps://<customer_ID>.xendesktop.net, donde<customer_ID>es tu ID de cliente de Citrix Cloud, como se muestra en el portal de administrador de Citrix Cloud. -
https://*.nssvc.net, incluidos todos los subdominios. Si no puedes incluir en la lista blanca todos los subdominios de esa manera, usahttps://*.c.nssvc.netyhttps://*.g.nssvc.neten su lugar. Para obtener más información, consulta la sección Requisitos de conectividad a Internet de la documentación de Citrix Cloud (en el servicio Virtual Apps and Desktop) y el artículo de Knowledge Center CTX270584.
-
- Los VDA deben poder conectarse a las direcciones mencionadas anteriormente:
- En TCP 443, para TCP Rendezvous.
- En UDP 443, para EDT Rendezvous.
-
Configuración del proxy
-
El VDA admite la conexión a través de proxies tanto para el tráfico de control como para el tráfico de sesión HDX al usar Rendezvous. Los requisitos y las consideraciones para ambos tipos de tráfico son diferentes, así que revísalos con atención.
-
Consideraciones sobre el proxy de tráfico de control
- Solo se admiten proxies HTTP.
- No se admiten el descifrado ni la inspección de paquetes. Configura una excepción para que el tráfico de control entre el VDA y el plano de control de Citrix Cloud no se intercepte, descifre ni inspeccione. De lo contrario, la conexión fallará.
- No se admite la autenticación de proxy.
-
Para configurar un proxy para el tráfico de control, modifica el registro de la siguiente manera:
/opt/Citrix/VDA/bin/ctxreg create -k "HKLM\Software\Citrix\VirtualDesktopAgent" -t "REG_SZ" -v "ProxySettings" -d "http://<URL or IP>:<port>" --force <!--NeedCopy-->
Consideraciones sobre el proxy de tráfico HDX
- Se admiten proxies HTTP y SOCKS5.
- EDT solo se puede usar con proxies SOCKS5.
- Para configurar un proxy para el tráfico HDX, usa la configuración de la política Configuración del proxy de Rendezvous.
- No se admiten el descifrado ni la inspección de paquetes. Configura una excepción para que el tráfico HDX entre el VDA y el plano de control de Citrix Cloud no se intercepte, descifre ni inspeccione. De lo contrario, la conexión fallará.
-
Los proxies HTTP admiten la autenticación basada en máquinas mediante los protocolos de autenticación Negotiate y Kerberos. Cuando te conectas al servidor proxy, el esquema de autenticación Negotiate selecciona automáticamente el protocolo Kerberos. Kerberos es el único esquema que admite el VDA de Linux.
-
Nota:
Para usar Kerberos, debes crear el nombre principal de servicio (SPN) para el servidor proxy y asociarlo a la cuenta de Active Directory del proxy. El VDA genera el SPN en el formato
HTTP/<proxyURL>al establecer una sesión, donde la URL del proxy se recupera de la configuración de la política Proxy de Rendezvous. Si no creas un SPN, la autenticación fallará.
-
- La autenticación con un proxy SOCKS5 no es compatible actualmente. Si usas un proxy SOCKS5, debes configurar una excepción para que el tráfico destinado a las direcciones del servicio Gateway (especificadas en los requisitos) pueda omitir la autenticación.
- Solo los proxies SOCKS5 admiten el transporte de datos a través de EDT. Para un proxy HTTP, usa TCP como protocolo de transporte para ICA.
Proxy transparente
El proxy HTTP transparente es compatible con Rendezvous. Si usas un proxy transparente en tu red, no se requiere ninguna configuración adicional en el VDA.
Cómo configurar Rendezvous V2
A continuación, se indican los pasos para configurar Rendezvous en tu entorno:
- Asegúrate de que se cumplan todos los requisitos.
-
Después de instalar el VDA, ejecuta el siguiente comando para establecer la clave de registro requerida:
/opt/Citrix/VDA/bin/ctxreg create -k "HKLM\Software\Citrix\VirtualDesktopAgent" -t "REG_DWORD" -v "GctRegistration" -d "0x00000001" --force <!--NeedCopy--> - Reinicia la máquina VDA.
- Crea una política de Citrix o modifica una existente:
- Establece la configuración del protocolo Rendezvous en Permitido. El protocolo Rendezvous está inhabilitado de forma predeterminada. Cuando el protocolo Rendezvous está habilitado (Permitido), Rendezvous V2 surte efecto en lugar de V1.
- Asegúrate de que los filtros de la política de Citrix estén configurados correctamente. La política se aplica a las máquinas que necesitan tener Rendezvous habilitado.
- Asegúrate de que la política de Citrix tenga la prioridad correcta para que no sobrescriba otra.
Validación de Rendezvous
Para comprobar si una sesión está usando el protocolo Rendezvous, ejecuta el comando /opt/Citrix/VDA/bin/ctxquery -f iP en el terminal.
Los protocolos de transporte mostrados indican el tipo de conexión:
- TCP Rendezvous: TCP - TLS - CGP - ICA
- EDT Rendezvous: UDP - DTLS - CGP - ICA
- Proxy a través de Cloud Connector: TCP - PROXY - SSL - CGP - ICA o UDP - PROXY - DTLS - CGP - ICA
Si Rendezvous V2 está en uso, la versión del protocolo muestra 2.0.
Sugerencia:
Si el VDA no puede llegar al servicio Citrix Gateway directamente con Rendezvous habilitado, el VDA recurre a usar el Cloud Connector como proxy para la sesión HDX.
Flujo de tráfico de Rendezvous
El siguiente diagrama ilustra la secuencia de pasos sobre el flujo de tráfico de Rendezvous.
- El VDA establece una conexión WebSocket con Citrix Cloud y se registra.
- El VDA se registra en el servicio Citrix Gateway y obtiene un token dedicado.
- El VDA establece una conexión de control persistente con el servicio Gateway.
- El usuario navega a Citrix Workspace.
- Workspace evalúa la configuración de autenticación y redirige a los usuarios al IdP apropiado para la autenticación.
- El usuario introduce sus credenciales.
- Después de validar correctamente las credenciales del usuario, el usuario es redirigido a Workspace.
- Workspace cuenta los recursos para el usuario y los muestra.
- El usuario selecciona un escritorio o una aplicación de Workspace. Workspace envía la solicitud a Citrix DaaS, que intermedia la conexión e indica al VDA que se prepare para la sesión.
- El VDA responde con la capacidad de Rendezvous y su identidad.
- Citrix DaaS genera un ticket de inicio y lo envía al dispositivo del usuario a través de Workspace.
- El punto final del usuario se conecta al servicio Gateway y proporciona el ticket de inicio para autenticar e identificar el recurso al que conectarse.
- El servicio Gateway envía la información de conexión al VDA.
- El VDA establece una conexión directa para la sesión con el servicio Gateway.
- El servicio Gateway completa la conexión entre el punto final y el VDA.
- El VDA verifica las licencias para la sesión.
- Citrix DaaS envía las políticas aplicables al VDA.