Servicio Citrix Gateway para proxy HDX

El servicio Citrix Gateway para HDX Proxy proporciona a los usuarios acceso remoto seguro a Citrix Virtual Apps and Desktops sin tener que implementar Citrix Gateway en la DMZ local ni reconfigurar firewalls. Citrix aloja toda la sobrecarga de infraestructura de administrar el acceso remoto en la nube.

En las instalaciones frente a Nube

En las instalaciones

Citrix Virtual Apps and Desktops ha servido bien a las empresas durante décadas, pero tienen requisitos adicionales para proporcionar acceso remoto, como:

  • Implementación y mantenimiento de varios sitios para redundancia
  • Implementación y mantenimiento de direcciones IP públicas
  • Implementación y mantenimiento de dispositivos de red
  • Implementación y mantenimiento de reglas de firewall

En las instalaciones

Nube

Con Citrix Cloud y el servicio Citrix Gateway, las empresas ahora pueden proporcionar acceso remoto a Citrix Virtual Apps and Desktops sin estos requisitos adicionales, junto con otras ventajas:

  • Citrix implementa y mantiene varios sitios de forma global
  • Citrix implementa y mantiene las direcciones IP públicas
  • Seguridad avanzada de Citrix Cloud con Citrix Analytics
  • El DNS predictivo proporciona una mejor experiencia de usuario
  • No se requieren cambios en el entorno de Virtual Apps y escritorios
  • Citrix implementa y mantiene los certificados
  • Citrix proporciona y administra la escalabilidad elástica y la alta disponibilidad elástica
  • Las empresas pagan a medida que crecen y reducen los gastos operativos
  • Incorporación más rápida para nuevos clientes

Nube

Servicios de Citrix Cloud

Citrix Workspace

Citrix Workspace agrega todos los recursos de usuario en una única interfaz personalizada mediante un explorador local instalado Aplicación Workspace(de escritorio y móvil) o local. Citrix Workspace se comunica con el controlador Citrix Virtual Apps and Desktops a través de un Citrix Cloud Connector.

Citrix Cloud Connector

Citrix Cloud Connector se ejecuta en instancias de Windows Server alojadas en ubicaciones de recursos y crea un proxy inverso para enrutar el tráfico entre el sitio/s y Citrix Cloud. Proporciona conectividad desde Citrix Cloud a ubicaciones de recursos. También incluye acceso a Active Directory y entrega de tráfico de canal de control entre los controladores Citrix Workspace y Citrix Virtual Apps and Desktops. Cloud Connector también crea una conexión desde la ubicación de recursos al POP de Citrix más cercano para establecer un canal de datos inicial.

Citrix Gateway Service

El servicio Citrix Gateway forma parte de Citrix Cloud Services para proporcionar acceso remoto seguro. Se ha desarrollado durante más de una década, al tiempo que es utilizado por las empresas más grandes del mundo. Se basa en el enrutamiento óptimo de Citrix Gateway para dirigir a los clientes al servicio POP global más cercano de Citrix Gateway. A partir de ahí, coordina la conectividad segura entre los clientes de Citrix Workspace y los recursos de virtualización para ofrecer sesiones con la menor latencia y la mejor experiencia de usuario posible.

Protocolo Rendezvous

Cada Cloud Connector admite un límite de 1000 sesiones simultáneas, y al agregar más conectores aumenta la capacidad, Citrix proporciona una solución más eficiente para escalar. Protocolo Rendezvous permite configurar sesiones HDX, a través del transporte TLS seguro, directamente desde Virtual Delivery Agent (VDA) al servicio Citrix Gateway sin pasar primero por Cloud Connector. Está disponible en Citrix Virtual Apps and Desktops versión 1912+ y se puede habilitar mediante una configuración de directiva de Citrix. Si el protocolo Rendezvous está habilitado y no puede llegar al servicio Gateway por cualquier motivo, recurre al proxy de tráfico a través del Cloud Connector.

Resiliencia

El servicio Citrix Gateway funciona en varios POP. Si por alguna razón un POP cae o la conectividad se degrada más allá de los umbrales, Citrix Optimal Gateway Routing responde a las consultas DNS posteriores con la dirección IP pública del siguiente POP más cercano. La aplicación Workspace y el controlador Citrix Virtual Apps and Desktops iniciarán reintentos y tiempos de espera basados en la configuración de la conexión y del Temporizador de la sesión.

  • Cada POP está configurado para alta disponibilidad
  • Cuatro 9 s de fiabilidad
  • 20 COP mundiales

Puntos de presencia globales de Citrix

Implementación

Configuración inicial

La transición del acceso desde el dispositivo local Gateway al servicio Citrix Gateway comienza con la creación de su su entorno Citrix Cloud. Después, inicie sesión en su entorno desde instancias de Windows Server, con acceso de red a los controladores Citrix Virtual Apps and Desktops. A continuación, puede instalará Citrix Cloud Connectors proporcionar conectividad a Citrix Cloud. Cloud Connector

Configuración inicial

Una vez instalados los Citrix Cloud Connectors en su ubicación de recursos, Citrix Workspace se puede configurar en Citrix Cloud. Después de especificar si la autenticación se produce mediante Active Directory (AD) o Azure Active Directory (AAD), y la implementación de las personalizaciones deseadas en la aplicación Workspace, Gateway y los sitios locales de Citrix Virtual Apps and Desktops deben estar habilitados en Integraciones de servicios. A continuación, el sitio se puede agregar y configurar. La configuración del sitio incluye: especificar si el controlador es anterior o posterior a la versión 6.5, especificar el FQDN del controlador alojado en la ubicación de recursos, verificar el dominio identificado mediante la instalación de Citrix Cloud Connector y especificar que el servicio Gateway se utiliza para la conectividad. Configuración de Workspace

Implementación inicial

Después de configurar Citrix Workspace en Citrix Cloud, el nuevo FQDN se puede agregar a la aplicación Workspace. Los usuarios pueden iniciar sesión con las mismas credenciales de AD que usarían con Citrix Gateway local y tener las mismas aplicaciones y escritorios enumerados. Aplicación Workspace

Consideraciones de implementación

Cuando un usuario inicia una aplicación dentro de la aplicación Workspace, se retransmite una consulta DNS para un FQDN alojado en Citrix Gateways al servidor de nombres DNS local del dispositivo de punto final. Normalmente lo retransmite a un servidor de nombres DNS ISP que realiza una consulta recursiva. Como servidor de nombres autorizado, Citrix Gateway Service devuelve la dirección IP pública del POP más cercano en función de la ubicación de la dirección IP del servidor de nombres ISPs que realizó la consulta recursiva. Por lo tanto, es esencial que el servidor de nombres esté muy cerca del extremo. Si no, las sesiones pueden incurrir en problemas de rendimiento.

Proxy web/SSL

Se recomienda excluir los FQDN del servicio de puerta de enlace de cualquier filtrado DNS e inspección de tráfico (*.nssvc.net / *.g.nssvc.net / *.c.nssvc.net)

Los proxies pueden causar los siguientes problemas:

  • Aleatorizar la IP de origen DNS, lo que lleva a que los usuarios sean dirigidos a un POP subóptimo
  • Agregar latencia a las conexiones que se dirigen al POP incorrecto (100ms+, con fluctuación excesiva)
  • La inspección TLS rompe el servicio de puerta de enlace ya que no admite la intercepción TLS

Para implementarlo con Zscaler:

  • Actualice su ZPA para evitar ciertas aplicaciones
  • En Edit Application Segment introducir entradas de aplicación para los FQDN del servicio de puerta de enlace (*.nssvc.net / *.g.nssvc.net / *.c.nssvc.net)

    Para obtener más información, consulte ZPA — Configuración de los ajustes de omisión

VPN

Se recomienda que las VPN implementen ruptura local para dominios de servicio de puerta de enlace (*.nssvc.net / *.g.nssvc.net / *.c.nssvc.net)

  • Habilitar túnel dividido, de modo que el cliente VPN envíe solo tráfico destinado a redes internas protegidas por el túnel VPN
  • El tráfico destinado a Citrix Gateway Service se enviaría directamente a través de su Internet local, en lugar de ser reconectado a través del túnel VPN y la red interna

Para implementarlo con Citrix Gateway VPN, realice los siguientes cambios:

  • Habilite el túnel de escupir en la ficha Experiencia de cliente de la directiva de sesión VPN estableciendo el campo “Dividir túnel” en “ON”
  • Configurar entradas transparentes de aplicaciones de intranet con los intervalos de direcciones IP de red interna
  • En la ficha Experiencia del cliente, configuración avanzada, asegúrese de que “Dividir DNS” esté configurado en Local. Configure también la Lista de sufijos DNS en Administración de tráfico > DNS > Sufijo DNS. Las consultas coincidentes se reenviarán a la puerta de enlace, mientras que otras se reenviarán al DNS local

    Para obtener más información, consulte configurar túneles divididos en una configuración VPN completa en Citrix Gateway

Capacidad de administración

El servicio Citrix Gateway simplifica los requisitos para acceder a Virtual Apps and Desktops locales y, por lo tanto, reduce la infraestructura necesaria y la sobrecarga operativa para mantenerla. Se elimina la necesidad de mantener puertas de enlace con certificados SSL e IP públicas en múltiples POP. Los administradores pueden centrarse más en la gestión de sus propias prioridades de servicio empresarial de TI.

  • Supervisión y mantenimiento 24x7x365 por parte de expertos de Citrix Cloud
  • Ofrezca un espacio de trabajo unificado más rápido con el personal de TI existente
  • Reduzca la necesidad de conocimientos especializados de TI

Citrix Cloud Operations

Conectividad de sesión

Un usuario selecciona una aplicación virtual o un escritorio, desde su espacio de trabajo, y su dispositivo de punto final recibe un tíquet de inicio. Se dirige a conectarse al servicio Citrix Gateway que, a su vez, se pone en contacto con el VDA. Si se configura para utilizar el protocolo Rendezvous, el VDA establece una conexión TLS directamente de vuelta al servicio POP de Citrix Gateway solicitante; de lo contrario, utiliza Cloud Connector. A continuación, el servicio Citrix Gateway establece la sesión entre el dispositivo de punto final y el VDA.

  • Las sesiones se vinculan a través del servicio Citrix Gateway en las WAN de los socios de nube
  • Los VDA y los extremos de Workspace se encuentran en el POP del servicio Citrix Gateway más cercano al usuario
  • Sesiones de alta calidad

Servicio Citrix Gateway y proxy HDX: flujo de tráfico

Servicio Citrix Gateway para proxy HDX