HDX Direct (Technical Preview)
Lors de l’accès aux ressources mises à disposition par Citrix, HDX Direct autoris les machines clientes internes et externes à établir une connexion directe sécurisée avec l’hôte de la session si une communication directe est possible.
Important :
HDX Direct est actuellement disponible en version Technical Preview. Cette fonctionnalité est fournie sans support technique et n’est pas encore recommandée pour une utilisation dans les environnements de production. Pour envoyer des commentaires ou signaler des problèmes, utilisez ce formulaire.
Configuration système requise
La configuration système requise pour utiliser HDX Direct est la suivante :
-
Plan de contrôle
- Citrix DaaS
- Citrix Virtual Apps and Desktops version 2311 ou ultérieure
-
Virtual Delivery Agent (VDA)
- Windows : version 2311 ou ultérieure
-
Application Workspace
- Windows : version 2311 ou ultérieure
-
Niveau d’accès
- Citrix Workspace avec Citrix Gateway Service
- Citrix Workspace avec NetScaler Gateway
-
Autre
- Le transport adaptatif doit être activé pour les connexions directes externes
Configuration réseau requise
La configuration réseau requise pour utiliser HDX Direct est la suivante :
Hôtes de session
Si les hôtes de session disposent d’un pare-feu tel que Windows Defender Firewall, vous devez autoriser le trafic entrant suivant pour les connexions internes.
| Description | Source | Protocole | Port |
|---|---|---|---|
| Connexion interne directe | Client | TCP | 443 |
| Connexion interne directe | Client | UDP | 443 |
Remarque :
Le programme d’installation du VDA ajoute les règles de trafic entrant appropriées au pare-feu Windows Defender Firewall. Si vous utilisez un autre pare-feu, vous devez ajouter les règles ci-dessus.
Réseau client
Le tableau suivant décrit le réseau client pour les utilisateurs internes et externes.
Utilisateurs internes
| Description | Protocole | Source | Port source | Destination | Port de destination |
|---|---|---|---|---|---|
| Connexion interne directe | TCP | Réseau client | 1024–65535 | Réseau VDA | 443 |
| Connexion interne directe | UDP | Réseau client | 1024–65535 | Réseau VDA | 443 |
Utilisateurs externes
| Description | Protocole | Source | Port source | Destination | Port de destination |
|---|---|---|---|---|---|
| STUN (utilisateurs externes uniquement) | UDP | Réseau client | 1024–65535 | Internet (voir remarque ci-dessous) | 3478, 19302 |
| Connexion utilisateur externe | UDP | Réseau client | 1024–65535 | Adresse IP publique du centre de données | 1024–65535 |
Réseau du centre de données
Le tableau suivant décrit le réseau du centre de données pour les utilisateurs internes et externes.
Utilisateurs internes
| Description | Protocole | Source | Port source | Destination | Port de destination |
|---|---|---|---|---|---|
| Connexion interne directe | TCP | Réseau client | 1024–65535 | Réseau VDA | 443 |
| Connexion interne directe | UDP | Réseau client | 1024–65535 | Réseau VDA | 443 |
Utilisateurs externes
| Description | Protocole | Source | Port source | Destination | Port de destination |
|---|---|---|---|---|---|
| STUN (utilisateurs externes uniquement) | UDP | Réseau VDA | 1024–65535 | Internet (voir remarque ci-dessous) | 3478, 19302 |
| Connexion utilisateur externe | UDP | DMZ/Réseau interne | 1024–65535 | Réseau VDA | 55000–55250 |
| Connexion utilisateur externe | UDP | Réseau VDA | 55000–55250 | Adresse IP publique du client | 1024–65535 |
Remarque :
Le VDA et l’application Workspace tentent d’envoyer des requêtes STUN aux serveurs suivants dans le même ordre :
- stunserver.stunprotocol.org:3478
- employees.org:3478
- stun.l.google.com:19302
Si vous modifiez la plage de ports par défaut pour les connexions utilisateur externes à l’aide du paramètre de stratégie Plage de ports HDX Direct, les règles de pare-feu doivent correspondre à la plage de ports personnalisée.
Configuration
HDX Direct est désactivé par défaut. Vous pouvez configurer cette fonctionnalité à l’aide du paramètre HDX Direct dans la stratégie Citrix.
- HDX Direct : pour activer ou désactiver une fonctionnalité.
- Mode HDX Direct : détermine si HDX Direct est disponible pour les clients internes seulement ou pour les clients internes et externes.
- Plage de ports HDX Direct : définit la plage de ports que le VDA utilise pour les connexions provenant de clients externes.
Considérations
Les points suivants sont à prendre en compte lors de l’utilisation de HDX Direct :
- Pour les utilisateurs externes, HDX Direct n’est disponible qu’avec EDT (UDP) comme protocole de transport. Par conséquent, le transport adaptatif doit être activé.
- Si vous utilisez HDX Insight, l’utilisation de HDX Direct empêche la collecte de données HDX Insight parce que la session n’est plus transmise par proxy via NetScaler Gateway.
- Lorsque vous utilisez des machines non persistantes pour vos applications et bureaux virtuels, Citrix recommande d’activer HDX Direct sur les hôtes de session plutôt que dans l’image principale ou le modèle afin que chaque machine génère ses propres certificats.
- Actuellement, l’utilisation de vos propres certificats avec HDX Direct n’est pas prise en charge.
Fonctionnement
HDX Direct permet aux clients d’établir une connexion directe avec l’hôte de session lorsqu’une communication directe est disponible. Lorsque des connexions directes sont établies à l’aide de HDX Direct, des certificats auto-signés permettent de sécuriser la connexion directe à l’aide du cryptage au niveau du réseau (TLS/DTLS).
Utilisateurs internes
Le schéma suivant présente une vue d’ensemble du processus de connexion HDX Direct des utilisateurs internes.
- Le client ouvre une session HDX via Gateway Service.
- Une fois la connexion HDX établie, le VDA envoie au client le nom de domaine complet de la machine VDA, une liste de ses adresses IP et le certificat de la machine VDA.
- Le client analyse les adresses IP pour voir s’il peut accéder directement au VDA.
- Si le client peut accéder directement au VDA via l’une des adresses IP partagées, il établit avec ce dernier une connexion directe sécurisée par (D)TLS à l’aide d’un certificat correspondant à celui échangé à l’étape (2).
- Une fois la connexion directe établie, la session est transférée vers la nouvelle connexion, mettant fin à la connexion à Gateway Service.
Remarque :
Une fois la connexion établie à l’étape 2 ci-dessus, la session est active. Les étapes suivantes ne retardent ni n’empêchent l’utilisateur d’utiliser l’application ou le bureau virtuel. Si l’une des étapes suivantes échoue, la connexion via Gateway est maintenue sans interrompre la session de l’utilisateur.
Utilisateurs externes
Le schéma suivant présente une vue d’ensemble du processus de connexion HDX Direct pour les utilisateurs externes :
- Le client ouvre une session HDX via Gateway Service.
- Une fois la connexion établie, le client et le VDA envoient une requête STUN pour découvrir leurs adresses IP et ports publics.
- Le serveur STUN répond au client et au VDA en renvoyant leurs adresses IP et ports publics correspondants.
- Par le biais de la connexion HDX, le client et le VDA échangent leurs adresses IP publiques et leurs ports UDP, et le VDA envoie son certificat au client.
- Le VDA envoie des paquets UDP à l’adresse IP publique et au port UDP du client. Le client envoie des paquets UDP à l’adresse IP publique et au port UDP du VDA.
- À la réception d’un message du VDA, le client répond par une requête de connexion sécurisée.
- Lors de la négociation DTLS, le client vérifie que le certificat correspond au certificat échangé à l’étape (4). Après validation, le client envoie un jeton d’autorisation. Une connexion directe sécurisée est désormais établie.
- Une fois la connexion directe établie, la session est transférée vers la nouvelle connexion, mettant fin à la connexion à Gateway Service.
Remarque :
Une fois la connexion établie à l’étape 2 ci-dessus, la session est active. Les étapes suivantes ne retardent ni n’empêchent l’utilisateur d’utiliser l’application ou le bureau virtuel. Si l’une des étapes suivantes échoue, la connexion via Gateway est maintenue sans interrompre la session de l’utilisateur.
Gestion des certificats
Hôte de la session
Les deux services suivants, configurés pour s’exécuter automatiquement au démarrage de la machine VDA, créent et gèrent les certificats :
- Service Citrix ClxMtp : responsable de la génération et de la rotation des clés de certificats CA.
- Service Citrix Certificate Manager : responsable de la génération et de la gestion du certificat CA racine autosigné et des certificats de machine.
Les étapes suivantes décrivent le processus de gestion des certificats :
- Les services sont lancés au démarrage de la machine.
-
Citrix ClxMtp Servicecrée des clés si aucune n’a déjà été créée. - Le service Citrix Certificate Manager vérifie si HDX Direct est activé. Dans le cas contraire, le service s’arrête de lui-même.
- Si HDX Direct est activé, le service Citrix Certificate Manager vérifie si un certificat CA racine autosigné existe. Dans le cas contraire, un certificat racine autosigné est créé.
- Une fois qu’un certificat d’autorité de certification racine est disponible, le service Citrix Certificate Manager vérifie s’il existe un certificat de machine autosigné. Dans le cas contraire, le service génère des clés et crée un nouveau certificat à l’aide du nom de domaine complet de la machine.
- Si un certificat de machine existant a été créé par le service Citrix Certificate Manager et que le nom du sujet ne correspond pas au nom de domaine complet de la machine, un nouveau certificat est généré.
Remarque :
Le service Citrix Certificate Manager génère des certificats RSA qui exploitent des clés de 2 048 bits.
Machine cliente
Pour établir une connexion HDX Direct sécurisée, le client doit faire confiance aux certificats utilisés pour sécuriser la session. Pour faciliter cette tâche, le client reçoit le certificat CA de la session via le fichier ICA (fourni par Workspace). Il n’est donc pas nécessaire de distribuer des certificats CA aux magasins de certificats des machines clientes.