Rendezvous V2
Cuando usas el servicio Citrix Gateway, el protocolo Rendezvous permite que el tráfico omita los Cloud Connectors de Citrix y se conecte de forma directa y segura con el plano de control de Citrix Cloud.
Hay dos tipos de tráfico a considerar: 1) tráfico de control para el registro de VDA y la intermediación de sesiones; 2) tráfico de sesión HDX™.
Rendezvous V1 permite que el tráfico de sesión HDX omita los Cloud Connectors, pero aún requiere que los Cloud Connectors actúen como proxy para todo el tráfico de control para el registro de VDA y la intermediación de sesiones.
- Las máquinas unidas a un dominio de AD estándar y las máquinas no unidas a un dominio son compatibles con el uso de Rendezvous V2 con VDA de Linux de sesión única y de varias sesiones. Con las máquinas no unidas a un dominio, Rendezvous V2 permite que tanto el tráfico HDX como el tráfico de control omitan los Cloud Connectors.
Requisitos
-
Estos son los requisitos para usar Rendezvous V2:
- Acceso al entorno mediante Citrix Workspace™ y el servicio Citrix Gateway.
- Plano de control: Citrix DaaS (anteriormente, servicio Citrix Virtual Apps and Desktops™).
- VDA versión 2201 o posterior.
- La versión 2204 es la mínima requerida para los proxies HTTP y SOCKS5.
- Habilita el protocolo Rendezvous en la directiva de Citrix. Para obtener más información, consulta Configuración de directiva del protocolo Rendezvous.
-
Los VDA deben tener acceso a:
-
https://*.xendesktop.netenTCP 443. Si no puedes permitir todos los subdominios de esa manera, puedes usarhttps://<customer_ID>.xendesktop.net, donde<customer_ID>es tu ID de cliente de Citrix Cloud, tal como se muestra en el portal de administración de Citrix Cloud. -
https://*.nssvc.net, incluidos todos los subdominios. Si no puedes incluir en la lista de permitidos todos los subdominios de esa manera, usahttps://*.c.nssvc.netyhttps://*.g.nssvc.neten su lugar. Para obtener más información, consulta la sección Requisitos de conectividad a Internet de la documentación de Citrix Cloud (en el servicio Virtual Apps and Desktop) y el artículo de Knowledge Center CTX270584.
-
- Los VDA deben poder conectarse a las direcciones mencionadas anteriormente:
- En TCP 443, para TCP Rendezvous.
- En UDP 443, para EDT Rendezvous.
-
Configuración de proxy
-
El VDA admite la conexión a través de proxies tanto para el tráfico de control como para el tráfico de sesión HDX al usar Rendezvous. Los requisitos y las consideraciones para ambos tipos de tráfico son diferentes, así que revísalos con atención.
-
Consideraciones sobre el proxy de tráfico de control
- Solo se admiten proxies HTTP.
- No se admiten el descifrado ni la inspección de paquetes. Configura una excepción para que el tráfico de control entre el VDA y el plano de control de Citrix Cloud no se intercepte, descifre ni inspeccione. De lo contrario, la conexión falla.
- No se admite la autenticación de proxy.
-
Para configurar un proxy para el tráfico de control, modifica el registro de la siguiente manera:
/opt/Citrix/VDA/bin/ctxreg create -k "HKLM\Software\Citrix\VirtualDesktopAgent" -t "REG_SZ" -v "ProxySettings" -d "http://<URL or IP>:<port>" --force <!--NeedCopy-->
Consideraciones sobre el proxy de tráfico HDX
- Se admiten los proxies HTTP y SOCKS5.
- EDT solo se puede usar con proxies SOCKS5.
- Para configurar un proxy para el tráfico HDX, usa la configuración de directiva Configuración de proxy de Rendezvous.
- No se admiten el descifrado ni la inspección de paquetes. Configura una excepción para que el tráfico HDX entre el VDA y el plano de control de Citrix Cloud no se intercepte, descifre ni inspeccione. De lo contrario, la conexión falla.
-
Los proxies HTTP admiten la autenticación basada en máquinas mediante los protocolos de autenticación Negotiate y Kerberos. Cuando te conectas al servidor proxy, el esquema de autenticación Negotiate selecciona automáticamente el protocolo Kerberos. Kerberos es el único esquema que admite el VDA de Linux.
-
Nota:
Para usar Kerberos, debes crear el nombre principal de servicio (SPN) para el servidor proxy y asociarlo a la cuenta de Active Directory del proxy. El VDA genera el SPN en el formato
HTTP/<proxyURL>al establecer una sesión, donde la URL del proxy se recupera de la configuración de directiva Proxy de Rendezvous. Si no creas un SPN, la autenticación falla.
-
- La autenticación con un proxy SOCKS5 no se admite actualmente. Si usas un proxy SOCKS5, debes configurar una excepción para que el tráfico destinado a las direcciones del servicio Gateway (especificadas en los requisitos) pueda omitir la autenticación.
- Solo los proxies SOCKS5 admiten el transporte de datos a través de EDT. Para un proxy HTTP, usa TCP como protocolo de transporte para ICA.
Proxy transparente
El proxy HTTP transparente es compatible con Rendezvous. Si usas un proxy transparente en tu red, no se requiere ninguna configuración adicional en el VDA.
Cómo configurar Rendezvous V2
Estos son los pasos para configurar Rendezvous en tu entorno:
- Asegúrate de que se cumplan todos los requisitos.
-
Después de instalar el VDA, ejecuta el siguiente comando para establecer la clave de registro requerida:
/opt/Citrix/VDA/bin/ctxreg create -k "HKLM\Software\Citrix\VirtualDesktopAgent" -t "REG_DWORD" -v "GctRegistration" -d "0x00000001" --force <!--NeedCopy--> - Reinicia la máquina VDA.
- Crea una directiva de Citrix o modifica una existente:
- Establece la configuración del protocolo Rendezvous en Permitido. El protocolo Rendezvous está inhabilitado de forma predeterminada. Cuando el protocolo Rendezvous está habilitado (Permitido), Rendezvous V2 surte efecto en lugar de V1.
- Asegúrate de que los filtros de la directiva de Citrix estén configurados correctamente. La directiva se aplica a las máquinas que necesitan tener Rendezvous habilitado.
- Asegúrate de que la directiva de Citrix tenga la prioridad correcta para que no sobrescriba otra.
Validación de Rendezvous
Para comprobar si una sesión usa el protocolo Rendezvous, ejecuta el comando /opt/Citrix/VDA/bin/ctxquery -f iP en el terminal.
Los protocolos de transporte que se muestran indican el tipo de conexión:
- TCP Rendezvous: TCP - TLS - CGP - ICA
- EDT Rendezvous: UDP - DTLS - CGP - ICA
- Proxy a través de Cloud Connector: TCP - PROXY - SSL - CGP - ICA o UDP - PROXY - DTLS - CGP - ICA
Si Rendezvous V2 está en uso, la versión del protocolo muestra 2.0.
Consejo:
Si el VDA no puede llegar directamente al servicio Citrix Gateway con Rendezvous habilitado, el VDA recurre a actuar como proxy para la sesión HDX a través del Cloud Connector.
Flujo de tráfico de Rendezvous
El siguiente diagrama ilustra la secuencia de pasos sobre el flujo de tráfico de Rendezvous.
- El VDA establece una conexión WebSocket con Citrix Cloud y se registra.
- El VDA se registra en el servicio Citrix Gateway y obtiene un token dedicado.
- El VDA establece una conexión de control persistente con el servicio Gateway.
- El usuario navega a Citrix Workspace.
- Workspace evalúa la configuración de autenticación y redirige a los usuarios al IdP adecuado para la autenticación.
- El usuario introduce sus credenciales.
- Después de validar correctamente las credenciales del usuario, el usuario es redirigido a Workspace.
- Workspace cuenta los recursos para el usuario y los muestra.
- El usuario selecciona un escritorio o una aplicación de Workspace. Workspace envía la solicitud a Citrix DaaS™, que intermedia la conexión e indica al VDA que se prepare para la sesión.
- El VDA responde con la capacidad de Rendezvous y su identidad.
- Citrix DaaS genera un tíquet de inicio y lo envía al dispositivo del usuario a través de Workspace.
- El punto final del usuario se conecta al servicio Gateway y proporciona el tíquet de inicio para autenticar e identificar el recurso al que conectarse.
- El servicio Gateway envía la información de conexión al VDA.
- El VDA establece una conexión directa para la sesión con el servicio Gateway.
- El servicio Gateway completa la conexión entre el punto final y el VDA.
- El VDA verifica las licencias para la sesión.
- Citrix DaaS envía las directivas aplicables al VDA.