HDX Direct (Technical Preview)
Lors de l’accès aux ressources fournies par Citrix, HDX Direct permet aux périphériques clients internes et externes d’établir une connexion directe sécurisée avec l’hôte de la session si une communication directe est possible.
Important :
HDX Direct est actuellement disponible en version Technical Preview. Cette fonctionnalité est fournie sans support et n’est pas encore recommandée pour une utilisation dans les environnements de production. Pour envoyer des commentaires ou signaler des problèmes, utilisez ce formulaire.
Configuration système requise
Configuration système requise pour utiliser HDX Direct :
-
Plan de contrôle
- Citrix DaaS
- Citrix Virtual Apps and Desktops version 2.3.1.1 ou ultérieure
-
Virtual Delivery Agent (VDA)
- Windows : version 2311 ou ultérieure
-
Application Workspace
- Windows : version 2311 ou ultérieure
-
Niveau d’accès
- Citrix Workspace avec Citrix Gateway Service
- Citrix Workspace avec NetScaler Gateway
-
Autre
- Le transport adaptatif doit être activé pour les connexions directes externes
Configuration réseau requise
La configuration réseau requise pour utiliser HDX Direct est la suivante :
Hôtes de sessions
Si vos hôtes de session disposent d’un pare-feu tel que le pare-feu Windows Defender, vous devez autoriser le trafic entrant suivant pour les connexions internes.
Description | Source | Protocole | Port |
---|---|---|---|
Connexion interne directe | Client | TCP | 443 |
Connexion interne directe | Client | UDP | 443 |
Remarque :
Le programme d’installation du VDA ajoute les règles entrantes appropriées au pare-feu Windows Defender. Si vous utilisez un autre pare-feu, vous devez ajouter les règles ci-dessus.
Réseau client
Le tableau suivant décrit le réseau client pour les utilisateurs internes et externes.
Utilisateurs internes
Description | Protocole | Source | Port source | Destination | Port de destination |
---|---|---|---|---|---|
Connexion interne directe | TCP | Réseau client | 1024–65535 | Réseau VDA | 443 |
Connexion interne directe | UDP | Réseau client | 1024–65535 | Réseau VDA | 443 |
Utilisateurs externes
Description | Protocole | Source | Port source | Destination | Port de destination |
---|---|---|---|---|---|
STUN (utilisateurs externes uniquement) | UDP | Réseau client | 1024–65535 | Internet (voir remarque ci-dessous) | 3478, 19302 |
Connexion utilisateur externe | UDP | Réseau client | 1024–65535 | Adresse IP publique du centre de données | 1024–65535 |
Réseau de centres de données
Le tableau suivant décrit le réseau du centre de données pour les utilisateurs internes et externes.
Utilisateurs internes
Description | Protocole | Source | Port source | Destination | Port de destination |
---|---|---|---|---|---|
Connexion interne directe | TCP | Réseau client | 1024–65535 | Réseau VDA | 443 |
Connexion interne directe | UDP | Réseau client | 1024–65535 | Réseau VDA | 443 |
Utilisateurs externes
Description | Protocole | Source | Port source | Destination | Port de destination |
---|---|---|---|---|---|
STUN (utilisateurs externes uniquement) | UDP | Réseau VDA | 1024–65535 | Internet (voir remarque ci-dessous) | 3478, 19302 |
Connexion utilisateur externe | UDP | DMZ/Réseau interne | 1024–65535 | Réseau VDA | 55000–55250 |
Connexion utilisateur externe | UDP | Réseau VDA | 55000–55250 | IP publique du client | 1024–65535 |
Remarque :
Le VDA et l’application Workspace tentent d’envoyer des requêtes STUN aux serveurs suivants dans le même ordre :
- stunserver.stunprotocol.org:3478
- employees.org:3478
- stun.l.google.com:19302
Si vous modifiez la plage de ports par défaut pour les connexions utilisateur externes à l’aide du paramètre de stratégie Plage de ports HDX Direct, les règles de pare-feu correspondantes doivent correspondre à votre plage de ports personnalisée.
Configuration
HDX Direct est désactivé par défaut. Vous pouvez configurer cette fonctionnalité à l’aide du paramètre HDX Direct dans la stratégie Citrix.
- HDX Direct : permet d’activer ou de désactiver une fonctionnalité.
- Mode HDX Direct : détermine si HDX Direct est disponible pour les clients internes uniquement ou pour les clients internes et externes.
- Plage de ports HDX Direct : définit la plage de ports que le VDA utilise pour les connexions provenant de clients externes.
Considérations
Les points suivants sont à prendre en compte lors de l’utilisation de HDX Direct :
- HDX Direct pour les utilisateurs externes est uniquement disponible avec EDT (UDP) comme protocole de transport. Le transport adaptatif doit donc être activé.
- Si vous utilisez HDX Insight, notez que l’utilisation de HDX Direct empêche la collecte de données HDX Insight, car la session ne serait plus transmise par proxy via NetScaler Gateway.
- Lorsque vous utilisez des machines non persistantes pour vos applications et bureaux virtuels, Citrix recommande d’activer HDX Direct sur les hôtes de session plutôt que dans l’image maître/modèle afin que chaque machine génère ses propres certificats.
- L’utilisation de vos propres certificats avec HDX Direct n’est actuellement pas prise en charge.
Fonctionnement
HDX Direct permet aux clients d’établir une connexion directe avec l’hôte de session lorsqu’une communication directe est disponible. Lorsque des connexions directes sont établies à l’aide de HDX Direct, des certificats auto-signés sont utilisés pour sécuriser la connexion directe à l’aide du cryptage au niveau du réseau (TLS/DTLS).
Utilisateurs internes
Le schéma suivant présente une vue d’ensemble du processus de connexion HDX Direct des utilisateurs internes.
- Le client établit une session HDX via Gateway Service.
- Une fois la connexion établie, le VDA envoie au client le nom de domaine complet de la machine VDA, une liste de ses adresses IP et le certificat de la machine VDA via la connexion HDX.
- Le client analyse les adresses IP pour voir s’il peut accéder directement au VDA.
- Si le client peut accéder directement au VDA avec l’une des adresses IP partagées, il établit une connexion directe avec le VDA, sécurisée par (D)TLS à l’aide d’un certificat correspondant à celui échangé à l’étape (2).
- Une fois la connexion directe établie, la session est transférée vers la nouvelle connexion, mettant fin à la connexion à Gateway Service.
Remarque :
Après avoir établi la connexion à l’étape 2 ci-dessus, la session est active. Les étapes suivantes ne retardent ni n’entravent pas la capacité de l’utilisateur à utiliser l’application ou le bureau virtuel. Si l’une des étapes suivantes échoue, la connexion via Gateway est maintenue sans interrompre la session de l’utilisateur.
Utilisateurs externes
Le schéma suivant présente une vue d’ensemble du processus de connexion HDX Direct pour les utilisateurs externes :
- Le client établit une session HDX via Gateway Service.
- Une fois la connexion établie, le client et le VDA envoient une requête STUN pour découvrir leurs adresses IP et ports publics.
- Le serveur STUN répond au client et au VDA avec leurs adresses IP et ports publics correspondants.
- Par le biais de la connexion HDX, le client et le VDA échangent leurs adresses IP publiques et leurs ports UDP, et le VDA envoie son certificat au client.
- Le VDA envoie des paquets UDP à l’adresse IP publique et au port UDP du client. Le client envoie des paquets UDP à l’adresse IP publique et au port UDP du VDA.
- À la réception d’un message du VDA, le client répond par une demande de connexion sécurisée.
- Lors de la prise de contact DTLS, le client vérifie que le certificat correspond au certificat échangé à l’étape (4). Après validation, le client envoie son jeton d’autorisation. Une connexion directe sécurisée est désormais établie.
- Une fois la connexion directe établie, la session est transférée vers la nouvelle connexion, mettant fin à la connexion à Gateway Service.
Remarque :
Après avoir établi la connexion à l’étape 2 ci-dessus, la session est active. Les étapes suivantes ne retardent ni n’entravent pas la capacité de l’utilisateur à utiliser l’application ou le bureau virtuel. Si l’une des étapes suivantes échoue, la connexion via Gateway est maintenue sans interrompre la session de l’utilisateur.
Gestion des certificats
Hôte de la session
Les deux services suivants de la machine VDA gèrent la création et la gestion des certificats, tous deux configurés pour s’exécuter automatiquement au démarrage de la machine :
- Service Citrix ClxMtp : responsable de la génération et de la rotation des clés de certificats CA.
- Service Citrix Certificate Manager : responsable de la génération et de la gestion du certificat CA racine autosigné et des certificats de machine.
Les étapes suivantes décrivent le processus de gestion des certificats :
- Les services sont lancés au démarrage de la machine.
-
Citrix ClxMtp Service
crée des clés si aucune n’a encore été créée. - Le service Citrix Certificate Manager vérifie si HDX Direct est activé. Dans le cas contraire, le service s’arrête de lui-même.
- Si HDX Direct est activé, le service Citrix Certificate Manager vérifie si un certificat CA racine autosigné existe. Dans le cas contraire, un certificat racine autosigné est créé.
- Une fois qu’un certificat d’autorité de certification racine est disponible, le service Citrix Certificate Manager vérifie s’il existe un certificat de machine autosigné. Dans le cas contraire, le service génère des clés et crée un nouveau certificat à l’aide du nom de domaine complet de la machine.
- Si un certificat de machine existant a été créé par le service Citrix Certificate Manager et que le nom du sujet ne correspond pas au nom de domaine complet de la machine, un nouveau certificat est généré.
Remarque :
Le service Citrix Certificate Manager génère des certificats RSA qui exploitent des clés de 2 048 bits.
Machine cliente
Pour établir une connexion HDX Direct sécurisée, le client doit faire confiance aux certificats utilisés pour sécuriser la session. Pour faciliter cela, le client reçoit le certificat CA pour la session via le fichier ICA (fourni par Workspace). Il n’est donc pas nécessaire de distribuer des certificats CA aux magasins de certificats des appareils clients.